Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Votre abonnement Microsoft 365 ou Office 365 est fourni avec un ensemble de rôles d’administrateur que vous pouvez attribuer à tous les utilisateurs de votre organization à l’aide de la Centre d’administration Microsoft 365 sur https://admin.microsoft.com. Chaque rôle d’administrateur correspond à des fonctions d’entreprise courantes et donne aux personnes concernées dans votre organisation des autorisations pour effectuer des tâches spécifiques dans les centres d’administration. Par conséquent, ces rôles ne sont qu'un sous-ensemble de tous les rôles disponibles dans le centre d'administration d' Intune, qui comprend des rôles supplémentaires spécifiques à Intune lui-même.
Avant d’ajouter des rôles Intune spécifiques, les rôles doivent être attribués dans Microsoft Entra ID. Pour afficher ces rôles, connectez-vous au centre >d’administration Microsoft IntuneRôlesd’administration> des locatairesRôles>Tous les rôles. Vous pouvez gérer le rôle sur les pages suivantes :
- Propriétés : nom, description, autorisations et balises d’étendue pour le rôle.
- Affectations : Une liste d'affectations de rôles définissant quels utilisateurs ont accès à quels utilisateurs ou appareils. Un rôle peut avoir plusieurs attributions, et un utilisateur peut figurer dans plusieurs attributions.
À propos du contrôle d'accès basé sur les rôles dans Intune
Le contrôle d'accès basé sur les rôles (RBAC) vous aide à gérer les personnes qui ont accès aux ressources de votre organisation et ce qu'elles peuvent faire avec ces ressources. En attribuant des rôles à vos utilisateurs Intune, vous pouvez limiter ce qu’ils peuvent voir et modifier. Il existe des rôles intégrés et personnalisés, et chaque rôle est assorti d'un ensemble de permissions qui déterminent ce à quoi les utilisateurs dotés de ce rôle peuvent accéder ou modifier au sein de votre organisation. Les informations suivantes couvrent les deux types de rôles dans Intune.
Pour créer, modifier ou attribuer des rôles, votre compte doit avoir l’administrateur de service Intune (également appelé administrateur Intune, mais ne pas confondre avec le rôle d’administrateur de rôle Intune intégré.)
Pour plus d’informations, consultez rôles Microsoft Entra et RBAC.
Rôles intégrés de Microsoft Intune
Les rôles intégrés utilisent des règles prédéfinies basées sur des scénarios Intune courants. Par ailleurs, les rôles personnalisés sont construits sur la base de règles strictement définies par vous.
Voici les rôles intégrés que vous pouvez attribuer :
Rôle d’administrateur | À qui doit être affecté ce rôle ? |
---|---|
Gestionnaire d’applications | Attribuez le rôle de gestionnaire d'applications aux utilisateurs qui gèrent le cycle de vie des applications pour les applications mobiles, qui configurent les applications gérées par des stratégies et qui affichent les informations sur les appareils et les profils de configuration. |
Opérateur du support technique | Attribuez le rôle d’opérateur du support technique aux utilisateurs qui attribuent des applications et des stratégies aux utilisateurs et aux appareils. |
Administrateur de rôle Intune | Attribuez le rôle d'administrateur de rôle Intune aux utilisateurs qui peuvent attribuer des autorisations Intune à d'autres administrateurs et gérer des rôles Intune personnalisés et intégrés. |
Gestionnaire des stratégies et des profils | Attribuez le rôle de gestionnaire des stratégies et des profils aux utilisateurs qui gèrent la stratégie de conformité, les profils de configuration et l'inscription Apple. |
Opérateur en lecture seule | Attribuez le rôle d’opérateur en lecture seule aux utilisateurs qui peuvent uniquement consulter les utilisateurs, les appareils, les détails d’inscription et les configurations. |
Administrateur scolaire | Attribuez le rôle d'administrateur scolaire aux utilisateurs pour un accès complet à la gestion des appareils, des applications et des configurations Windows 10-11 et iOS dans Intune pour l'éducation. |
Administrateur de PC en cloud | Un administrateur de PC en cloud computing a un accès en lecture et en écriture à toutes les fonctionnalités de PC en cloud computing situées dans la lame de PC en cloud computing. |
Lecteur PC en cloud | Un lecteur de PC en cloud computing a un accès en lecture à toutes les fonctionnalités du PC en cloud computing situées dans la lame du PC en cloud computing. |
Rôles personnalisés de Microsoft Intune
Vous pouvez créer des rôles personnalisés dans Intune qui incluent toutes les autorisations requises pour une fonction spécifique. Par exemple, si un groupe du service informatique gère les applications, les stratégies et les profils de configuration, vous pouvez ajouter toutes ces autorisations ensemble à un même rôle personnalisé. Après avoir créé un rôle personnalisé, vous pouvez l’attribuer à tout utilisateur ayant besoin de ces autorisations.
Pour créer un rôle personnalisé :
Dans le centre d’administration Intune, choisissez Rôles d’administration>> de locataireTous les rôles>Créer.
Dans la page De base, entrez un nom et une description pour le nouveau rôle, puis choisissez Suivant.
Dans la page Autorisations, choisissez les autorisations que vous voulez utiliser avec ce rôle.
Dans la page Étendue (balises), choisissez les balises pour ce rôle. Lorsque ce rôle est attribué à un utilisateur, celui-ci peut accéder à des ressources ayant également ces balises. Cliquez sur Suivant.
Dans la page Vérifier + créer, quand vous avez terminé, choisir Créer. Le nouveau rôle s’affiche dans la liste du panneau Rôles Intune - Tous les rôles.
Pour copier un rôle :
Dans le centre d’administration Intune, choisissezRôles d’administration>>du locataireTous les rôles > cochez la case pour un rôle dans la liste, puis choisissez Dupliquer.
Dans la page De base, entrez un nom. Veillez à utiliser un nom unique.
Toutes les autorisations et balises d’étendue du rôle d’origine sont déjà sélectionnées. Vous pouvez ensuite modifier le nom, la description, les autorisations et le champ d'application (balises) du rôle dupliqué.
Une fois que vous avez apporté toutes les modifications souhaitées, choisissez Suivant pour accéder à la page Vérifier + créer. Sélectionnez Créer.
Remarque
Pour pouvoir administrer Intune, une licence Intune doit vous être attribuée. Vous pouvez également autoriser les utilisateurs sans licence à administrer Intune en définissant l'option Autoriser l'accès aux administrateurs sans licence sur Oui.
Comment attribuer un rôle
Dans le centre d’administration Intune, choisissezRôlesd’administration>> deslocataires Tous les rôles.
Choisissez le rôle intégré que vous souhaitez attribuer, sélectionnez Affectations, puis + Attribuer.
Sur la page Principes de base, saisissez un nom d'affectation et une description facultative de l'affectation, puis sélectionnez Suivant .
Dans la page Groupes d'administrateurs, sélectionnez le groupe contenant l’utilisateur à qui vous voulez accorder les autorisations. Cliquez sur Suivant.
Sur la page Scope (Groupes), choisissez un groupe contenant les utilisateurs et les dispositifs que le membre ci-dessus sera autorisé à gérer. Vous avez également la possibilité de choisir tous les utilisateurs ou tous les appareils. Cliquez sur Suivant.
Remarque
Tous les utilisateurs et Tous les appareils sont Intune groupes virtuels et non Microsoft Entra groupes de sécurité. Par conséquent, à des fins d’affectation d’étendue (Groupes), vous ne pouvez pas les utiliser en tant que parents de groupes de sécurité Microsoft Entra. Si vous avez besoin de Tous les utilisateurs et Tous les appareils et de groupes de sécurité Microsoft Entra spécifiques pour les affectations d’étendue (Groupes), vous devez les ajouter séparément avec des affectations distinctes. Sinon, même si l’attribution d’étendue (Groupes) pour un rôle est définie sur Tous les utilisateurs, l’administrateur de ce rôle n’aura pas accès à des groupes d’utilisateurs Microsoft Entra spécifiques. Pour Microsoft Entra groupes de sécurité, l’imbrication est prise en charge.
Dans la page Étendue (balises), choisissez des balises où cette attribution de rôle s’appliquera. Cliquez sur Suivant.
Dans la page Vérifier + créer, quand vous avez terminé, choisissez Créer. La nouvelle affectation s’affiche dans la liste des affectations.
Remarque
Lorsque vous créez des groupes d’étendue et affectez une balise d’étendue, vous ne pouvez cibler que les groupes répertoriés dans l’étendue (groupes) de votre attribution de rôle.
Administration déléguée pour les partenaires Microsoft
Si vous travaillez avec un partenaire Microsoft, vous pouvez lui attribuer un rôle d’administrateur. Il peut à son tour attribuer des rôles d'administrateur aux utilisateurs de votre entreprise ou de la sienne. Vous pouvez souhaiter qu’ils le fassent, par exemple, s’ils configurent et gèrent vos organization en ligne pour vous.
Pour que le partenaire puisse attribuer ces rôles à des utilisateurs, vous devez ajouter le partenaire en tant qu’administrateur délégué de votre compte. Ce processus est initié par un partenaire autorisé. Le partenaire vous envoie un e-mail pour vous demander l’autorisation d’agir en tant qu’administrateur délégué. Pour consulter des instructions, voir Autoriser ou supprimer des relations de partenaire.
Voir aussi
Ressources pour les partenaires Microsoft travaillant avec les petites et moyennes entreprises