Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La sécurisation de l’accès à votre organization est une étape de sécurité essentielle. Cet article présente les détails fondamentaux de l’utilisation de Microsoft Intune contrôles d’accès en fonction du rôle (RBAC), qui sont une extension de Microsoft Entra ID contrôles RBAC. Les articles suivants peuvent vous aider à déployer Intune RBAC dans votre organization.
Avec Intune RBAC, vous pouvez accorder des autorisations précises à vos administrateurs pour contrôler qui a accès aux ressources de votre organization et ce qu’ils peuvent faire avec ces ressources. En attribuant des rôles RBAC Intune et en adhérant aux principes de l’accès avec privilège minimum, vos administrateurs peuvent effectuer les tâches qui leur sont attribuées uniquement sur les utilisateurs et appareils qu’ils doivent être habilités à gérer.
Rôles RBAC
Chaque rôle RBAC Intune spécifie un ensemble d’autorisations disponibles pour les utilisateurs affectés à ce rôle. Les autorisations sont composées d’une ou de plusieurs catégories de gestion, telles que les données de configuration de l’appareil ou d’audit, et d’ensembles d’actions qui peuvent être effectuées telles que Lecture, Écriture, Mise à jour et Suppression. Ensemble, ils définissent l’étendue de l’accès administratif et des autorisations dans Intune.
Intune comprend des rôles intégrés et personnalisés. Les rôles intégrés sont identiques dans tous les locataires et sont fournis pour répondre aux scénarios administratifs courants, tandis que les rôles personnalisés que vous créez autorisent des autorisations spécifiques en fonction des besoins d’un administrateur. En outre, plusieurs rôles Microsoft Entra incluent des autorisations dans Intune.
Pour afficher un rôle dans le centre d’administration Intune, accédez àRôles>d’administration> du locataireTous les rôles> et sélectionnez un rôle. Vous pouvez ensuite gérer ce rôle via les pages suivantes :
- Propriétés : nom, description, autorisations et balises d’étendue pour le rôle. Vous pouvez également afficher le nom, la description et les autorisations des rôles intégrés dans cette documentation à la page Autorisations des rôles intégrés.
- Affectations : sélectionnez une attribution pour un rôle afin d’afficher des détails sur celui-ci, y compris les groupes et les étendues inclus dans l’affectation. Un rôle peut avoir plusieurs affectations et un utilisateur peut recevoir plusieurs affectations.
Remarque
En juin 2021, Intune a commencé à prendre en charge les administrateurs sans licence. Les comptes d’utilisateur créés après cette modification peuvent administrer Intune sans licence affectée. Les comptes créés avant cette modification nécessitent toujours une licence pour gérer Intune.
Rôles intégrés
Un administrateur Intune disposant d’autorisations suffisantes peut attribuer l’un des rôles Intune à des groupes d’utilisateurs. Les rôles intégrés accordent des autorisations spécifiques nécessaires pour effectuer des tâches administratives qui s’alignent sur l’objectif du rôle. Intune ne prend pas en charge les modifications de description, de type ou d’autorisations d’un rôle intégré.
- Gestionnaire d’applications : gère les applications mobiles et gérées, peut lire les informations de l’appareil et peut afficher les profils de configuration de l’appareil.
- Endpoint Privilege Manager : gère les stratégies Endpoint Privilege Management dans la console Intune.
- Lecteur de privilèges de point de terminaison : les lecteurs de privilèges de point de terminaison peuvent afficher les stratégies de gestion des privilèges de point de terminaison dans la console Intune.
- Endpoint Security Manager : gère les fonctionnalités de sécurité et de conformité, telles que les bases de référence de sécurité, la conformité des appareils, l’accès conditionnel et les Microsoft Defender pour point de terminaison.
- Opérateur du support technique : effectue des tâches à distance sur les utilisateurs et les appareils, et peut attribuer des applications ou des stratégies aux utilisateurs ou aux appareils.
- Administrateur de rôles Intune: gère les rôles Intune personnalisés et ajoute des affectations pour les rôles Intune intégrés. C’est le seul rôle Intune qui peut affecter des autorisations aux administrateurs.
- Gestionnaire de stratégie et de profil : gère la stratégie de conformité, les profils de configuration, l’inscription auprès d’Apple, les identificateurs d’appareils d’entreprise et les bases de référence de la sécurité.
- Opérateur en lecture seule : affiche des informations sur les utilisateurs, les appareils, l’inscription, la configuration et les applications. Impossible d’apporter des modifications à Intune.
- Administrateur scolaire : gère les Windows 10 dans Intune pour l'Éducation.
Lorsque votre locataire inclut un abonnement à Windows 365 pour prendre en charge les PC cloud, vous trouverez également les rôles PC cloud suivants dans le centre d’administration Intune. Ces rôles ne sont pas disponibles par défaut et incluent des autorisations dans Intune pour les tâches liées aux PC cloud. Pour plus d’informations sur ces rôles, consultez Rôles intégrés pc cloud dans la documentation Windows 365.
- Administrateur de PC cloud : un administrateur de PC cloud dispose d’un accès en lecture et en écriture à toutes les fonctionnalités de PC cloud situées dans la zone PC cloud.
- Lecteur de PC cloud : un lecteur de PC cloud dispose d’un accès en lecture à toutes les fonctionnalités de PC cloud situées dans la zone PC cloud.
Rôles personnalisés
Vous pouvez créer vos propres rôles de Intune personnalisés pour accorder aux administrateurs uniquement les autorisations spécifiques nécessaires à leurs tâches. Ces rôles personnalisés peuvent inclure n’importe quelle autorisation RBAC Intune, ce qui permet d’affiner l’accès administrateur et la prise en charge du principe de l’accès aux privilèges minimum dans le organization.
Consultez Créer un rôle personnalisé.
Microsoft Entra des rôles avec accès Intune
Intune autorisations RBAC sont un sous-ensemble des autorisations RBAC Microsoft Entra. En tant que sous-ensemble, certains rôles Entra incluent des autorisations dans Intune. La plupart des rôles Entra ID qui ont accès à Intune sont considérés comme des rôles privilégiés. L’utilisation et l’attribution de rôles privilégiés doivent être limitées et non utilisées pour les tâches administratives quotidiennes dans Intune.
Microsoft recommande de suivre le principe des autorisations minimales en affectant uniquement les autorisations minimales requises pour permettre à un administrateur d’effectuer ses tâches. Pour prendre en charge ce principe, utilisez les rôles RBAC intégrés de Intune pour les tâches d’administration Intune quotidiennes et évitez d’utiliser des rôles Entra qui ont accès à Intune.
Le tableau suivant identifie les rôles Entra qui ont accès à Intune et les autorisations Intune qu’ils incluent.
Microsoft Entra rôle | Toutes les données Intune | Données d’audit Intune |
---|---|---|
Icône ![]() |
Lecture/écriture | Lecture/écriture |
Intune Icône ![]() |
Lecture/écriture | Lecture/écriture |
Icône ![]() |
Aucun | Aucun |
![]() |
Lecture seule (autorisations administratives complètes pour le nœud Sécurité du point de terminaison) | Lecture seule |
![]() |
Lecture seule | Lecture seule |
![]() |
Lecture seule | Lecture seule |
Administrateur de conformité | Aucun | Lecture seule |
Administrateur de conformité des données | Aucun | Lecture seule |
![]() |
Lecture seule | Lecture seule |
![]() |
Lecture seule | Lecture seule |
Lecteur de rapports | Aucun | Lecture seule |
Outre les rôles Entra avec autorisation dans Intune, les trois zones suivantes de Intune sont des extensions directes d’Entra : Utilisateurs, Groupes et Accès conditionnel. Des instances de ces objets et configurations effectuées à partir de Intune existent dans Entra. En tant qu’objets Entra, ils peuvent être gérés par des administrateurs Entra avec des autorisations suffisantes accordées par un rôle Entra. De même, Intune administrateurs disposant d’autorisations suffisantes pour Intune peuvent afficher et gérer ces types d’objets créés dans Entra.
Privileged Identity Management pour Intune
Lorsque vous utilisez Entra ID Privileged Identity Management (PIM), vous pouvez gérer quand un utilisateur peut utiliser les privilèges fournis par un rôle RBAC Intune ou le rôle Administrateur Intune à partir de Entra ID.
Intune prend en charge deux méthodes d’élévation de rôle. Il existe des différences de performances et de privilèges minimum entre les deux méthodes.
Méthode 1 : Créez une stratégie juste-à-temps (JIT) avec Microsoft Entra Privileged Identity Management (PIM) pour l’Microsoft Entra rôle d’administrateur Intune intégré et attribuez-lui un compte d’administrateur.
Méthode 2 : Utiliser Privileged Identity Management (PIM) pour les groupes avec une attribution de rôle RBAC Intune. Pour plus d’informations sur l’utilisation de PIM pour les groupes avec Intune rôles RBAC, consultez : Configuration de Microsoft Intune accès administrateur juste-à-temps avec Microsoft Entra PIM pour les groupes | Microsoft Community Hub
Lorsque vous utilisez l’élévation PIM pour le rôle Administrateur Intune à partir de Entra ID, l’élévation se produit généralement dans les 10 secondes. L’élévation basée sur les groupes PIM pour les rôles intégrés ou personnalisés de Intune prend généralement jusqu’à 15 minutes.
À propos Intune attributions de rôles
Les rôles Intune personnalisés et intégrés sont attribués à des groupes d’utilisateurs. Un rôle attribué s’applique à chaque utilisateur du groupe et définit :
- Les utilisateurs affectés au rôle.
- Les ressources qu’ils peuvent voir.
- Les ressources qu’ils peuvent modifier.
Chaque groupe auquel un rôle Intune est attribué doit inclure uniquement les utilisateurs autorisés à effectuer les tâches d’administration pour ce rôle.
- Si un rôle intégré aux privilèges minimum accorde des privilèges ou des autorisations excessifs, envisagez d’utiliser un rôle personnalisé pour limiter l’étendue de l’accès administratif.
- Lorsque vous planifiez des attributions de rôles, tenez compte des résultats d’un utilisateur avec plusieurs attributions de rôles.
Pour qu’un utilisateur se voit attribuer un rôle Intune et ait accès à l’administration de Intune, il n’a pas besoin d’une licence Intune tant que son compte a été créé dans Entra après juin 2021. Les comptes créés avant juin 2021 nécessitent l’attribution d’une licence pour utiliser Intune.
Pour afficher une attribution de rôle existante, choisissez Intune>Rôles>d’administration> locataireTous les rôles> choisissent un rôle >Attributions> choisissez une attribution. Dans la page Propriétés des affectations, vous pouvez modifier :
Notions de base : nom et description des attributions.
Membres : les membres sont les groupes configurés sur la page Groupes Administration lors de la création d’une attribution de rôle. Tous les utilisateurs des groupes de sécurité Azure répertoriés sont autorisés à gérer les utilisateurs et les appareils répertoriés dans Étendue (groupes).
Étendue (Groupes) : utilisez l’étendue (groupes) pour définir les groupes d’utilisateurs et d’appareils qu’un administrateur disposant de cette attribution de rôle peut gérer. Les utilisateurs administratifs disposant de cette attribution de rôle peuvent utiliser les autorisations accordées par le rôle pour gérer chaque utilisateur ou appareil au sein des groupes d’étendues définis par les attributions de rôle.
Conseil
Lorsque vous configurez un groupe d’étendues, limitez l’accès en sélectionnant uniquement les groupes de sécurité qui incluent l’utilisateur et les appareils qu’un administrateur disposant de cette attribution de rôle doit gérer. Pour vous assurer que les administrateurs disposant de ce rôle ne peuvent pas cibler tous les utilisateurs ou tous les appareils, ne sélectionnez pas Ajouter tous les utilisateurs ou Ajouter tous les appareils.
Balises d’étendue : les utilisateurs administratifs auxquels cette attribution de rôle est attribuée peuvent voir les ressources qui ont les mêmes balises d’étendue.
Remarque
Les balises d’étendue sont des valeurs de texte de forme libre qu’un administrateur définit, puis ajoute à une attribution de rôle. La balise d’étendue ajoutée sur un rôle contrôle la visibilité du rôle lui-même, tandis que la balise d’étendue ajoutée dans l’attribution de rôle limite la visibilité des objets Intune comme les stratégies, les applications ou les appareils aux seuls administrateurs de cette attribution de rôle, car l’attribution de rôle contient une ou plusieurs balises d’étendue correspondantes.
Attributions de rôles multiples
Si un utilisateur a plusieurs attributions de rôles, autorisations et balises d’étendue, ces attributions de rôles s’étendent à différents objets comme suit :
- Les autorisations sont incrémentielles dans le cas où deux rôles ou plus accordent des autorisations à un même objet. Un utilisateur disposant d’autorisations de lecture à partir d’un rôle et de lecture/écriture à partir d’un autre rôle, par exemple, dispose d’une autorisation effective de lecture/écriture (en supposant que les affectations pour les deux rôles ciblent les mêmes balises d’étendue).
- Les autorisations d’affectation et les balises d’étendue s’appliquent uniquement aux objets (tels que les stratégies ou applications) dans l’Étendue (groupe) de l’affectation de ce rôle. Les autorisations d’affectation et les balises d’étendue ne s’appliquent pas aux objets dans d’autres attribution de rôles, sauf si l’autre attribution les accorde spécifiquement.
- Les autres autorisations (telles que Créer, Lire, Mettre à jour et Supprimer) et balises d’étendue s’appliquent à tous les objets du même type (par exemple toutes les stratégies ou toutes les applications) dans toutes les affectations de l’utilisateur.
- Les autorisations et les balises d’étendue pour les objets de types différents (tels que les stratégies ou applications) ne s’appliquent pas les unes aux autres. Par exemple, une autorisation de lecture pour une stratégie ne fournit pas d’autorisation de lecture aux applications dans les attributions de l’utilisateur.
- Lorsqu’il n’y a pas de balises d’étendue ou que certaines balises d’étendue sont affectées à partir de différentes affectations, un utilisateur peut uniquement voir les appareils qui font partie de certaines balises d’étendue et ne peut pas voir tous les appareils.
Surveiller les affectations RBAC
Ceci et les trois sous-sections sont en cours
Dans le centre d’administration Intune, vous pouvez accéder àRôlesd’administrateur> de locataire et développer Surveiller pour rechercher plusieurs affichages qui peuvent vous aider à identifier les autorisations dont disposent différents utilisateurs au sein de votre locataire Intune. Par exemple, dans un environnement administratif complexe, vous pouvez utiliser la vue autorisations Administration pour spécifier un compte afin de voir son étendue actuelle de privilèges d’administration.
Mes autorisations
Lorsque vous sélectionnez ce nœud, vous voyez une liste combinée des catégories et autorisations RBAC Intune actuelles accordées à votre compte. Cette liste combinée inclut toutes les autorisations de toutes les attributions de rôles, mais pas les attributions de rôles qui les fournissent ou par quelle appartenance de groupe elles sont affectées.
Rôles par autorisation
Avec cette vue, vous pouvez voir des détails sur une catégorie et une autorisation RBAC Intune spécifiques, ainsi que sur les attributions de rôles et sur les groupes auxquels cette combinaison est disponible.
Pour commencer, sélectionnez une Intune catégorie d’autorisation, puis une autorisation spécifique à partir de cette catégorie. Le centre d’administration affiche ensuite une liste d’instances qui entraînent l’attribution de cette autorisation, notamment :
- Nom complet du rôle : nom du rôle RBAC intégré ou personnalisé qui accorde l’autorisation.
- Nom complet de l’attribution de rôle : nom de l’attribution de rôle qui attribue le rôle à des groupes d’utilisateurs.
- Nom du groupe : nom du groupe qui reçoit cette attribution de rôle.
autorisations Administration
Utilisez le nœud autorisations Administration pour identifier les autorisations spécifiques actuellement accordées à un compte.
Commencez par spécifier un compte d’utilisateur . Tant que l’utilisateur a Intune autorisations affectées à son compte, Intune affiche la liste complète de ces autorisations identifiées par Catégorie et Autorisation.