Principes de base de l’administration basée sur des rôles pour Configuration ManagerFundamentals of role-based administration for Configuration Manager

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Avec Configuration Manager, l’administration basée sur des rôles vous permet de sécuriser l’accès nécessaire à l’administration de Configuration Manager.With Configuration Manager, you use role-based administration to secure the access that is needed to administer Configuration Manager. Vous sécurisez également l’accès aux objets que vous gérez, tels que les regroupements, les déploiements et les sites.You also secure access to the objects that you manage, like collections, deployments, and sites. À présent que vous comprenez les concepts présentés dans cet article, vous pouvez configurer l’administration basée sur des rôles pour Configuration Manager.After you understand the concepts introduced in this article, you can Configure role-based administration for Configuration Manager.

Le modèle d’administration basée sur des rôles définit et gère de façon centralisée les paramètres d’accès de sécurité à l’échelle de la hiérarchie pour tous les sites ainsi que les paramètres de site à l’aide des éléments suivants :The role-based administration model centrally defines and manages hierarchy-wide security access settings for all sites and site settings by using the following items:

  • Les rôles de sécurité sont attribués aux utilisateurs administratifs pour octroyer à ceux-ci (ou à des groupes d’utilisateurs) des autorisations relatives à différents objets Configuration Manager,Security roles are assigned to administrative users to provide those users (or groups of users) permission to different Configuration Manager objects. par exemple, celles de créer ou modifier des paramètres client.For example, permission to create or change client settings.

  • Les étendues de sécurité permettent de regrouper des instances d’objets spécifiques qu’un utilisateur administratif est chargé de gérer, par exemple une application qui installe Microsoft 365 Apps.Security scopes are used to group specific instances of objects that an administrative user is responsible to manage, like an application that installs Microsoft 365 Apps.

  • Les regroupements permettent de spécifier des groupes de ressources d’utilisateurs et d’appareils que l’utilisateur administratif peut gérer.Collections are used to specify groups of user and device resources that the administrative user can manage.

    L’utilisation combinée de rôles de sécurité, d’étendues de sécurité et de regroupements permet de séparer les attributions administratives répondant aux besoins de votre organisation,With the combination of security roles, security scopes, and collections, you segregate the administrative assignments that meet your organization's requirements. ainsi que de définir l’étendue administrative d’un utilisateur, autrement dit ce qu’il peut afficher et gérer dans votre déploiement de Configuration Manager.Used together, they define the administrative scope of a user, which is what that user can view and manage in your Configuration Manager deployment.

Avantages de l’administration basée sur des rôlesBenefits of role-based administration

  • Les sites ne sont pas utilisés comme limites administratives.Sites aren't used as administrative boundaries.
  • Après avoir créé des utilisateurs administratifs pour la hiérarchie, il vous suffit de leur attribuer une étendue de sécurité une seule fois.You create administrative users for a hierarchy and only need to assign security to them one time.
  • Toutes les attributions de sécurité sont répliquées et disponibles dans la hiérarchie.All security assignments are replicated and available throughout the hierarchy.
  • Il existe des rôles de sécurité intégrés permettent d’attribuer les tâches d’administration classiques,There are built-in security roles that are used to assign the typical administration tasks. mais vous pouvez aussi créer vos propres rôles de sécurité personnalisés en fonction des besoins propres à votre activité.Create your own custom security roles to support your specific business requirements.
  • Les utilisateurs administratifs voient uniquement les objets qu'ils sont autorisés à gérer.Administrative users see only the objects that they have permissions to manage.
  • Vous pouvez auditer des actions administratives de sécurité.You can audit administrative security actions.

Quand vous concevez et implémentez la sécurité administrative pour Configuration Manager, créez une étendue administrative pour un utilisateur administratif à l’aide des éléments suivants :When you design and implement administrative security for Configuration Manager, you use the following to create an administrative scope for an administrative user:

L’étendue administrative contrôle les objets qu’un utilisateur administratif peut afficher dans la console Configuration Manager et les autorisations dont dispose cet utilisateur sur ces objets.The administrative scope controls the objects that an administrative user views in the Configuration Manager console, and it controls the permissions that a user has on those objects. Les configurations d'administration basées sur des rôles sont répliquées sur chaque site de la hiérarchie en tant que données globales, puis sont appliquées à toutes les connexions administratives.Role-based administration configurations replicate to each site in the hierarchy as global data, and then are applied to all administrative connections.

Important

Les retards de réplication intersite peuvent empêcher un site de recevoir des modifications pour l'administration basée sur les rôles.Intersite replication delays can prevent a site from receiving changes for role-based administration. Pour plus d’informations sur la façon de surveiller la réplication intersite de base de données, consultez la rubrique Transfert de données entre sites.For information about how to monitor intersite database replication, see the Data transfers between sites topic.

Rôles de sécuritéSecurity roles

Utilisez des rôles de sécurité pour accorder des autorisations de sécurité aux utilisateurs administratifs.Use security roles to grant security permissions to administrative users. Les rôles de sécurité sont des groupes d'autorisations de sécurité que vous affectez aux utilisateurs administratifs afin qu'ils puissent effectuer leurs tâches administratives.Security roles are groups of security permissions that you assign to administrative users so that they can perform their administrative tasks. Ces autorisations de sécurité définissent les actions administratives réalisables par un utilisateur administratif ainsi que les autorisations sont accordées pour des types d'objet particulier.These security permissions define the administrative actions that an administrative user can perform and the permissions that are granted for particular object types. Comme bonne pratique de sécurité, affectez les rôles de sécurité qui fournissent des autorisations minimales.As a security best practice, assign the security roles that provide the least permissions.

Configuration Manager possède plusieurs rôles de sécurité intégrés pour prendre en charge des regroupements typiques de tâches administratives et vous pouvez créer vos propres rôles de sécurité personnalisés pour prendre en charge vos besoins professionnels spécifiques.Configuration Manager has several built-in security roles to support typical groupings of administrative tasks, and you can create your own custom security roles to support your specific business requirements. Exemples de rôles de sécurité intégrés :Examples of the built-in security roles:

  • Administrateur complet : accorde toutes les autorisations dans Configuration Manager.Full Administrator grants all permissions in Configuration Manager.

  • Gestionnaire de biens : accorde des autorisations permettant de gérer le point de synchronisation Asset Intelligence, les classes de création de rapports Asset Intelligence, l’inventaire logiciel, l’inventaire matériel et les règles de contrôle.Asset Manager grants permissions to manage the Asset Intelligence Synchronization Point, Asset Intelligence reporting classes, software inventory, hardware inventory, and metering rules.

  • Gestionnaire des mises à jour logicielles : accorde les autorisations de définir et déployer des mises à jour logicielles.Software Update Manager grants permissions to define and deploy software updates. Les utilisateurs administratifs qui sont associés à ce rôle peuvent créer des regroupements, des groupes de mises à jour logicielles, des déploiements et des modèles.Administrative users who are associated with this role can create collections, software update groups, deployments, and templates.

  • L’Administrateur de la sécurité accorde des autorisations pour ajouter et supprimer des utilisateurs administratifs et associer des utilisateurs administratifs à des rôles de sécurité, des regroupements et des étendues de sécurité.Security Administrator grants permissions to add and remove administrative users and associate administrative users with security roles, collections, and security scopes. Les utilisateurs administratifs associés à ce rôle peuvent également créer, modifier et supprimer des rôles de sécurité, ainsi que les étendues de sécurité et les regroupements qui leur sont attribués.Administrative users who are associated with this role can also create, modify, and delete security roles and their assigned security scopes and collections.

Conseil

Vous pouvez afficher la liste des rôles de sécurité intégrés et les rôles de sécurité personnalisés que vous créez, ainsi que leurs descriptions, dans la console Configuration Manager.You can view the list of built-in security roles and custom security roles you create, including their descriptions, in the Configuration Manager console. Pour afficher les rôles, dans l’espace de travail Administration, développez Sécurité, puis sélectionnez Rôles de sécurité.To view the roles, in the Administration workspace, expand Security, and then select Security Roles.

Chaque rôle de sécurité dispose d'autorisations spécifiques à différents types d'objets.Each security role has specific permissions for different object types. Par exemple, le rôle de sécurité Auteur d’application dispose des autorisations suivantes pour les applications : Approuver, Créer, Supprimer, Modifier, Modifier un dossier, Déplacer un objet, Lecture, Exécuter le rapport et Définir l’étendue de sécurité.For example, the Application Author security role has the following permissions for applications: Approve, Create, Delete, Modify, Modify Folder, Move Object, Read, Run Report, and Set Security Scope.

Vous ne pouvez pas modifier les autorisations pour les rôles de sécurité intégrés, mais vous pouvez copier le rôle, y apporter des modifications, puis enregistrer ces modifications sous un nouveau rôle de sécurité personnalisé.You can't change the permissions for the built-in security roles, but you can copy the role, make changes, and then save these changes as a new custom security role. Vous pouvez également importer des rôles de sécurité que vous avez exportés depuis une autre hiérarchie, par exemple depuis un réseau de test.You can also import security roles that you've exported from another hierarchy, for example, from a test network. Passez en revue les rôles de sécurité et leurs autorisations pour déterminer si vous allez utiliser les rôles de sécurité intégrés ou devoir créer vos propres rôles de sécurité personnalisés.Review the security roles and their permissions to determine whether you'll use the built-in security roles, or whether you have to create your own custom security roles.

Pour faciliter la planification des rôles de sécuritéTo help you plan for security roles

  1. Identifiez les tâches que les utilisateurs administratifs effectuent dans Configuration Manager.Identify the tasks that the administrative users perform in Configuration Manager. Ces tâches peuvent concerner un ou plusieurs groupes de tâches de gestion, tels que le déploiement d'applications et de packages, le déploiement de systèmes d'exploitation et de paramètres pour la conformité, la configuration de sites et de la sécurité, l'audit, le contrôle d'ordinateurs à distance et le recueil de données d'inventaire.These tasks might relate to one or more groups of management tasks, such as deploying applications and packages, deploying operating systems and settings for compliance, configuring sites and security, auditing, remotely controlling computers, and collecting inventory data.

  2. Mappez ces tâches administratives vers un ou plusieurs rôles de sécurité intégrés.Map these administrative tasks to one or more of the built-in security roles.

  3. Si certains des utilisateurs administratifs effectuent les tâches de plusieurs rôles de sécurité, attribuez-leur ces rôles de sécurité, au lieu de créer un nouveau rôle de sécurité permettant d’effectuer toutes ces tâches.If some of the administrative users perform the tasks of multiple security roles, assign the multiple security roles to these administrative users instead of creating a new security role that combines the tasks.

  4. Si les tâches que vous avez identifiées ne correspondent pas aux rôles de sécurité intégrés, créez et testez de nouveaux rôles de sécurité.If the tasks that you identified don't map to the built-in security roles, create and test new security roles.

Pour plus d’informations sur la façon de créer et de configurer des rôles de sécurité pour l’administration basée sur des rôles, consultez Créer des rôles de sécurité personnalisés et Configurer des rôles de sécurité dans l’article Configurer l’administration basée sur des rôles pour Configuration Manager.For information about how to create and configure security roles for role-based administration, see Create custom security roles and Configure security roles in the Configure role-based administration for Configuration Manager article.

RegroupementsCollections

Les regroupements spécifient les ressources d'utilisateur et d'ordinateur qu'un utilisateur administratif peut consulter ou gérer.Collections specify the user and computer resources that an administrative user can view or manage. Par exemple, pour que les utilisateurs administratifs puissent déployer des applications ou effectuer un contrôle à distance, un rôle de sécurité qui leur permet d'accéder à un regroupement contenant ces ressources doit leur être attribué.For example, for administrative users to deploy applications or to run remote control, they must be assigned to a security role that grants access to a collection that contains these resources. Vous pouvez sélectionner des regroupements d'utilisateurs ou d'appareils.You can select collections of users or devices.

Pour plus d’informations sur les regroupements, consultez Présentation des regroupements.For more information about collections, see Introduction to collections.

Avant de configurer l'administration basée sur les rôles, vérifiez si vous devez créer de nouveaux regroupements pour l'une des raisons suivantes :Before you configure role-based administration, check whether you have to create new collections for any of the following reasons:

  • Organisation fonctionnelle.Functional organization. Par exemple, des regroupements distincts de serveurs et de stations de travail.For example, separate collections of servers and workstations.
  • Implantation géographique.Geographic alignment. Par exemple, des regroupements distincts pour l'Amérique du Nord et l'Europe.For example, separate collections for North America and Europe.
  • Exigences de sécurité et procédures commerciales.Security requirements and business processes. Par exemple, des regroupements distincts pour les ordinateurs de production et de test.For example, separate collections for production and test computers.
  • Alignement de l'organisation.Organization alignment. Par exemple, des regroupements distincts pour chaque unité d'exploitation.For example, separate collections for each business unit.

Pour plus d’informations sur la façon de configurer des regroupements pour l’administration basée sur des rôles, consultez Configurer des regroupements pour gérer la sécurité dans l’article Configurer l’administration basée sur des rôles pour Configuration Manager.For information about how to configure collections for role-based administration, see Configure collections to manage security in the Configure role-based administration for Configuration Manager article.

Étendues de sécuritéSecurity scopes

Utilisez les étendues de sécurité pour permettre aux utilisateurs administratifs d'accéder à des objets sécurisables.Use security scopes to provide administrative users with access to securable objects. Une étendue de sécurité est un ensemble nommé d’objets sécurisables attribués aux utilisateurs administratifs en tant que groupe.A security scope is a named set of securable objects that are assigned to administrator users as a group. Tous les objets sécurisables doivent être affectés à une ou plusieurs étendues de sécurité.All securable objects must be assigned to one or more security scopes. Configuration Manager possède deux étendues de sécurité intégrées :Configuration Manager has two built-in security scopes:

  • L’étendue de sécurité intégrée Toutes accorde l’accès à toutes les étendues.The All built-in security scope grants access to all scopes. Vous ne pouvez pas attribuer d’objets à cette étendue de sécurité.You can't assign objects to this security scope.

  • L’étendue de sécurité intégrée Par défaut est utilisée pour tous les objets, par défaut.The Default built-in security scope is used for all objects, by default. Lorsque vous installez Configuration Manager pour la première fois, tous les objets sont attribués à cette étendue de sécurité.When you first install Configuration Manager, all objects are assigned to this security scope.

Si vous souhaitez restreindre les objets que les utilisateurs administratifs peuvent voir et gérer, vous devez créer et utiliser vos propres étendues de sécurité personnalisées.If you want to restrict the objects that administrative users can see and manage, you must create and use your own custom security scopes. Les étendues de sécurité ne prennent pas en charge une structure hiérarchique et ne peuvent pas être imbriquées.Security scopes don't support a hierarchical structure and can't be nested. Les étendues de sécurité peuvent contenir un ou plusieurs types d’objet, dont les éléments suivants :Security scopes can contain one or more object types, which include the following items:

  • Abonnements aux alertesAlert subscriptions
  • ApplicationsApplications
  • Images de démarrageBoot images
  • Groupes de limitesBoundary groups
  • Éléments de configurationConfiguration items
  • Paramètres client personnalisésCustom client settings
  • Points de distribution et groupes de points de distributionDistribution points and distribution point groups
  • Packages de pilotesDriver packages
  • Dossiers (depuis la version 1906)Folders (starting in version 1906)
  • Conditions globalesGlobal conditions
  • Tâches de migrationMigration jobs
  • Images du système d'exploitationOperating system images
  • Packages d'installation du système d'exploitationOperating system installation packages
  • PackagesPackages
  • RequêtesQueries
  • SitesSites
  • Règles de contrôle de logicielSoftware metering rules
  • Groupes de mises à jour logiciellesSoftware update groups
  • Packages de mises à jour logiciellesSoftware updates packages
  • Packages de séquence de tâchesTask sequence packages
  • Éléments et packages des paramètres de l'appareil Windows CEWindows CE device setting items and packages

Certains objets ne peuvent pas être ajoutés aux étendues de sécurité, car ils ne sont sécurisés que par les rôles de sécurité.There are also some objects that you can't include in security scopes because they're only secured by security roles. L’accès administratif à ces objets ne peut pas être limité à un sous-ensemble des objets disponibles.Administrative access to these objects can't be limited to a subset of the available objects. Par exemple, vous pouvez être un utilisateur administratif et créer des groupes de limites qui sont utilisés pour un site spécifique.For example, you might have an administrative user who creates boundary groups that are used for a specific site. Comme l’objet de la limite ne prend pas en charge les étendues de sécurité, vous ne pouvez pas attribuer à cet utilisateur une étendue de sécurité ne lui accordant que l’accès aux limites qui pourraient être associées à ce site.Because the boundary object doesn't support security scopes, you can't assign this user a security scope that provides access to only the boundaries that might be associated with that site. Comme l’objet de la limite ne peut pas être associé à une étendue de sécurité, lorsque vous attribuez un rôle de sécurité qui comprend l’accès aux objets de la limite à un utilisateur, celui-ci peut accéder à toutes les limites de la hiérarchie.Because a boundary object can't be associated to a security scope, when you assign a security role that includes access to boundary objects to a user, that user can access every boundary in the hierarchy.

Parmi les objets qui ne sont pas limités par des étendues de sécurité, on compte les éléments suivants :Objects that aren't limited by security scopes include the following items:

  • Forêts Active DirectoryActive Directory forests
  • Utilisateurs administratifsAdministrative users
  • AlertesAlerts
  • Stratégies anti-programme malveillantAntimalware policies
  • LimitesBoundaries
  • Associations d'ordinateursComputer associations
  • Paramètres client par défautDefault client settings
  • Modèles de déploiementDeployment templates
  • Pilotes d'appareilsDevice drivers
  • Connecteur Exchange ServerExchange Server connector
  • Mappages de site à site de migrationMigration site-to-site mappings
  • Profil d'inscription d'appareil mobileMobile device enrollment profiles
  • Rôles de sécuritéSecurity roles
  • Étendues de sécuritéSecurity scopes
  • Adresses de siteSite addresses
  • Rôles système de siteSite system roles
  • Titres des logicielsSoftware titles
  • Mises à jour logiciellesSoftware updates
  • Messages d'étatStatus messages
  • Affinités des appareils d'utilisateurUser device affinities

Créez des étendues de sécurité lorsque vous devez limiter l'accès à des instances d'objets distinctes.Create security scopes when you have to limit access to separate instances of objects. Par exemple :For example:

  • Vous disposez d'un groupe d'utilisateurs administratifs qui doit être capable de consulter les applications de production, mais pas les applications de test.You have a group of administrative users who must be able to see production applications and not test applications. Créer une étendue de sécurité pour les applications de production et une autre pour les applications de test.Create one security scope for production applications and another for the test applications.

  • Différents utilisateurs administratifs nécessitent différents accès pour certaines instances d'un type d'objet.Different administrative users require different access for some instances of an object type. Par exemple, un groupe d’utilisateurs administratifs requiert l’autorisation Lire pour des groupes de mises à jour logicielles spécifiques et un autre groupe d’utilisateurs administratifs requiert les autorisations Modifier et Supprimer pour d’autres groupes de mises à jour logicielles.For example, one group of administrative users requires Read permission to specific software update groups, and another group of administrative users requires Modify and Delete permissions for other software update groups. Créez différentes étendues de sécurité pour ces groupes de mises à jour logicielles.Create different security scopes for these software update groups.

Pour plus d’informations sur la façon de configurer des étendues de sécurité pour l’administration basée sur des rôles, consultez Configurer des étendues de sécurité pour un objet dans l’article Configurer l’administration basée sur des rôles pour Configuration Manager.For information about how to configure security scopes for role-based administration, see the Configure security scopes for an object in the Configure role-based administration for Configuration Manager article.

Étapes suivantesNext steps

Configurer l’administration basée sur des rôles pour Configuration ManagerConfigure role-based administration for Configuration Manager