Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuéeUse role-based access control (RBAC) and scope tags for distributed IT

Vous pouvez utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour garantir que les administrateurs ont la visibilité et l’accès appropriés pour les bons objets Intune.You can use role-based access control and scope tags to make sure that the right admins have the right access and visibility to the right Intune objects. Les rôles déterminent quel accès ont les administrateurs sur quels objets.Roles determine what access admins have to which objects. Les balises d’étendue déterminent quels objets les administrateurs peuvent voir.Scope tags determine which objects admins can see.

Par exemple, supposons que l’administrateur d’un bureau régional de Seattle a le rôle de gestionnaire de stratégie et de profil.For example, let's say a Seattle regional office admin has the Policy and Profile Manager role. Vous voulez que cet administrateur voie et gère seulement les profils et les stratégies qui s’appliquent uniquement aux appareils de Seattle.You want this admin to see and manage only the profiles and policies that only apply to Seattle devices. Pour configurer cet accès, vous pouvez :To set up this access, you would:

  1. Créer une balise d’étendue nommée Seattle.Create a scope tag called Seattle.
  2. Créer une attribution de rôle pour le rôle de gestionnaire de stratégie et de profil avec :Create a role assignment for the Policy and Profile Manager role with:
    • Membres (Groupes) = un groupe de sécurité nommé Administrateurs informatiques Seattle.Members (Groups) = A security group named Seattle IT admins. Tous les administrateurs de ce groupe disposent des autorisations pour gérer les stratégies et les profils des utilisateurs/appareils dans Étendue (Groupes).All admins in this group will have permission to manage policies and profiles for users/devices in the Scope (Groups).
    • Étendue (Groupes) = un groupe de sécurité nommé Utilisateurs Seattle.Scope (Groups) = A security group named Seattle users. Les profils et les stratégies de tous les utilisateurs/appareils de ce groupe peuvent être gérés par les administrateurs de Membres (Groupes).All users/devices in this group can have their profiles and policies managed by the admins in the Members (Groups).
    • Étendue (balises) = Seattle.Scope (Tags) = Seattle. Les administrateurs dans Membre (Groupes) peuvent voir des objets Intune qui ont également la balise d’étendue Seattle.Admins in the Member (Groups) can see Intune objects that also have the Seattle scope tag.
  3. Ajoutez la balise d’étendue Seattle aux stratégies et aux profils auxquels vous voulez que les administrateurs de Membres (Groupes) aient accès.Add the Seattle scope tag to policies and profiles that you want admins in Members (Groups) to have access to.
  4. Ajoutez la balise d’étendue Seattle aux appareils que vous voulez rendre visibles par les administrateurs de Membres (Groupes).Add the Seattle scope tag to devices that you want visible to admins in the Members (Groups).

Balise d’étendue par défautDefault scope tag

La balise d’étendue par défaut est automatiquement ajoutée à tous les objets non balisés qui prennent en charge les balises d’étendue.The default scope tag is automatically added to all untagged objects that support scope tags.

La fonctionnalité de balise d’étendue par défaut est similaire à la fonctionnalité d’étendues de sécurité de Microsoft Endpoint Configuration Manager.The default scope tag feature is similar to the security scopes feature in Microsoft Endpoint Configuration Manager.

Pour créer une étiquette de délimitationTo create a scope tag

  1. Dans le Centre d’administration Microsoft Endpoint Manager, choisissez Administration de locataire > Rôles > Étendue (Balises) > Créer.In the Microsoft Endpoint Manager admin center, choose Tenant administration > Roles > Scope (Tags) > Create.
  2. Dans la page Informations de base, entrez un Nom et une Description (facultative).On the Basics page, provide a Name and optional Description. Choisissez Suivant.Choose Next.
  3. Dans la page Affectations, choisissez les groupes contenant les appareils auxquels vous souhaitez affecter cette balise d’étendue.On the Assignments page, choose the groups containing the devices that you want to assign this scope tag. Choisissez Suivant.Choose Next.
  4. Dans la page Vérifier + créer, choisissez Créer.On the Review + create page, choose Create.

Pour affecter une étiquette de délimitation à un rôleTo assign a scope tag to a role

  1. Dans le Centre d’administration Microsoft Endpoint Manager, choisissez Administration de locataire > Rôles > Tous les rôles > choisissez un rôle > Affectations > Affecter.In the Microsoft Endpoint Manager admin center, choose Tenant administration > Roles > All roles > choose a role > Assignments > Assign.

  2. Dans la page Informations de base, entrez le Nom de l’affectation et une Description.On the Basics page, provide an Assignment name and Description. Choisissez Suivant.Choose Next.

  3. Dans la page Groupes Administrateurs, choisissez Sélectionner les groupes à inclure, puis sélectionnez les groupes que vous souhaitez inclure dans le cadre de cette affectation.On the Admin Groups page, choose Select groups to include, and select the groups that you want as part of this assignment. Les utilisateurs membres de ces groupes disposeront des autorisations pour gérer les utilisateurs/appareils dans l’étendue (groupes).Users in these group will have permissions to manage users/devices in the Scope (Groups). Choisissez Suivant.Choose Next.

    Capture d’écran de la sélection de groupes de membres

  4. Dans la page Étendue (Groupes) , sélectionnez l’une des options suivantes pour Affecter àOn the Scope Groups page, select one of the following options for Assign to

    • Groupes sélectionnés : sélectionnez les groupes contenant les utilisateurs/appareils que vous souhaitez gérer.Selected groups: select the groups containing the users/deivces that you want to manage. Tous les utilisateurs/appareils dans les groupes sélectionnés seront gérés par les utilisateurs figurant dans Groupes Administrateurs.All users/devices in the selected groups will be managed by the users in the Admin Groups.
    • Tous les utilisateurs : tous les utilisateurs peuvent être gérés par les utilisateurs figurant dans Groupes Administrateurs.All users: All users can be managed by the users in the Admin Groups.
    • Tous les appareils : tous les appareils peuvent être gérés par les utilisateurs figurant dans Groupes Administrateurs.All devices: All devices can be managed by the users in the Admin Groups.
    • Tous les utilisateurs et tous les appareils : tous les utilisateurs et appareils peuvent être gérés par les utilisateurs figurant dans Groupes Administrateurs.All users and all devices: All users and devices can be managed by the users in the Admin Groups.
  5. Sélectionnez SuivantChoose Next

  6. Dans la page Balises d’étendue, sélectionnez les balises que vous voulez ajouter à ce rôle.On the Scope tags page, select the tags that you want to add to this role. Les utilisateurs figurant dans Groupes Administrateurs auront accès aux objets Intune qui ont aussi la même balise d’étendue.Users in the Admin Groups will have access to Intune objects that also have the same scope tag. Vous pouvez attribuer un maximum de 100 balises d’étendue à un rôle.You can assign a maximum of 100 scope tags to a role.

  7. Choisissez Suivant pour accéder à la page Vérifier + créer, puis choisissez Créer.Choose Next to go to the Review + create page and then choose Create.

Affecter des balises d’étendue à d’autres objetsAssign scope tags to other objects

Pour les objets qui prennent en charge les balises d’étendue, celles-ci s’affichent généralement sous Propriétés.For objects that support scope tags, scope tags usually appear under Properties. Par exemple, pour affecter une étiquette d’étendue à un profil de configuration, effectuez ces étapes :For example, to assign a scope tag to a configuration profile, follow these steps:

  1. Dans le Centre d’administration Microsoft Endpoint Manager, choisissez Appareils > Profils de configuration > choisissez un profil.In the Microsoft Endpoint Manager admin center, choose Devices > Configuration profiles > choose a profile.

  2. Choisissez Propriétés > Étendue (Balises) > Modifier > Sélectionner des balises d’étendue > choisissez les balises que vous voulez ajouter au profil.Choose Properties > Scope (Tags) > Edit > Select scope tags > choose the tags that you want to add to the profile. Vous pouvez attribuer un maximum de 100 balises d’étendue à un objet.You can assign a maximum of 100 scope tags to an object.

  3. ChoisissezSélectionner > Vérifier + enregistrer.Choose Select > Review + save.

Informations détaillées sur les balises d’étendueScope tag details

Quand vous utilisez des balises d’étendue, rappelez-vous de ceci :When working with scope tags, remember these details:

  • Vous pouvez affecter des balises d’étendue à un type d’objet Intune si le locataire peut contenir plusieurs versions de cet objet (par exemple, des attributions de rôles ou des applications).You can assign scope tags to an Intune object type if the tenant can have multiple versions of that object (such as role assignments or apps). Les objets Intune suivants sont les exceptions à cette règle, car ils ne prennent actuellement pas en charge les balises d’étendue :The following Intune objects are exceptions to this rule and don't currently support scope tags:
    • Profils ESP WindowsWindows ESP profiles
    • Identificateurs d’appareils d’entrepriseCorp Device Identifiers
    • Appareils AutopilotAutopilot Devices
    • Emplacements de conformité des appareilsDevice compliance locations
    • Appareils JamfJamf devices
  • Les applications VPP et les livres électroniques associés au jeton VPP héritent des balises d’étendue qui sont affectées au jeton VPP associé.VPP apps and ebooks associated with the VPP token inherit the scope tags assigned to the associated VPP token.
  • Quand un administrateur crée un objet dans Intune, toutes les balises d’étendue affectées à cet administrateur sont automatiquement affectées au nouvel objet.When an admin creates an object in Intune, all scope tags assigned to that admin will be automatically assigned to the new object.
  • Le contrôle d’accès en fonction du rôle (RBAC) d’Intune ne s’applique pas aux rôles Azure Active Directory.Intune RBAC doesn't apply to Azure Active Directory roles. Ainsi, les rôles Administrateur de service et Administrateur général d’Intune ont un accès d’administrateur complet à Intune, quelles que soient leurs balises d’étendue.So, the Intune Service Admins and Global Admins roles have full admin access to Intune no matter what scope tags they have.
  • Si une attribution de rôle n’a pas de balise d’étendue, l’administrateur informatique peut voir tous les objets pour lesquels les administrateurs informatiques ont les autorisations d’accès.If a role assignment has no scope tag, that IT admin can see all objects based on the IT admins permissions. Globalement, quand l’administrateur n’a aucune balise d’étendue, cela revient à ce qu’il ait toutes les balises d’étendue.Admins that have no scope tags essentially have all scope tags.
  • Vous pouvez affecter seulement une balise d’étendue que vous avez dans vos attributions de rôles.You can only assign a scope tag that you have in your role assignments.
  • Vous pouvez cibler seulement des groupes qui sont listés dans l’étendue (groupes) de votre attribution de rôle.You can only target groups that are listed in the Scope (Groups) of your role assignment.
  • Si une balise d’étendue est affectée à votre rôle, vous ne pouvez pas supprimer toutes les balises d’étendue sur un objet Intune.If you have a scope tag assigned to your role, you can't delete all scope tags on an Intune object. Au moins une balise d’étendue est obligatoire.At least one scope tag is required.

Étapes suivantesNext steps

Découvrez comment les balises d’étendue se comportent quand il existe des attributions de rôles multiples.Learn how scope tags behave when there are multiple role assignments. Gérez vos rôles et vos profils.Manage your roles and profiles.