Utiliser le contrôle d’accès basé sur les rôles (RBAC) et les balises d’étendue pour les services IT distribués

Vous pouvez utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour vous assurer que les administrateurs appropriés disposent de l’accès et de la visibilité appropriés aux objets Intune appropriés. Les rôles déterminent les administrateurs d’accès auxquels ont accès les objets. Les balises d’étendue déterminent les objets que les administrateurs peuvent voir.

Par exemple, supposons qu’un administrateur du bureau régional de Seattle ait le rôle Gestionnaire de stratégies et de profils. Vous souhaitez que cet administrateur voie et gère uniquement les profils et les stratégies qui s’appliquent uniquement aux appareils Seattle. Pour configurer cet accès, vous devez :

  1. Créez une balise d’étendue appelée Seattle.
  2. Créez une attribution de rôle pour le rôle Gestionnaire de stratégies et de profils avec :
    • Membres (groupes) = Groupe de sécurité nommé Administrateurs informatiques seattle. Tous les administrateurs de ce groupe ont l’autorisation de gérer les stratégies et les profils des utilisateurs/appareils dans l’étendue (groupes).
    • Étendue (groupes) = groupe de sécurité nommé utilisateurs seattle. Tous les utilisateurs/appareils de ce groupe peuvent avoir leurs profils et stratégies gérés par les administrateurs dans les membres (groupes).
    • Étendue (balises) = Seattle. Les administrateurs du membre (groupes) peuvent voir Intune objets qui ont également la balise d’étendue Seattle.
  3. Ajoutez la balise d’étendue Seattle aux stratégies et profils auxquels vous souhaitez que les administrateurs des membres (groupes) aient accès.
  4. Ajoutez la balise d’étendue Seattle aux appareils que vous souhaitez voir visibles par les administrateurs dans les membres (groupes).

Balise d’étendue par défaut

La balise d’étendue par défaut est automatiquement ajoutée à tous les objets non étiquetés qui prennent en charge les balises d’étendue.

La fonctionnalité de balise d’étendue par défaut est similaire à la fonctionnalité étendues de sécurité dans microsoft endpoint Configuration Manager.

Pour créer une balise d’étendue

  1. Dans le Centre d’administration Microsoft Endpoint Manager, choisissez Étendue des rôles > d’administration > de locataire**(balises)** > Créer.

  2. Dans la page De base , indiquez un nom et une description facultative. Cliquez sur Suivant.

  3. Dans la page Affectations , choisissez les groupes contenant les appareils que vous souhaitez affecter à cette balise d’étendue. Cliquez sur Suivant.

  4. Dans la page Vérifier + créer , choisissez Créer.

    Important

    Les affectations de balises d’étendue automatique remplacent les balises d’étendue affectées de manière managée. Si plusieurs balises d’étendue sont affectées à un appareil par le biais d’une affectation de groupe, toutes les balises d’étendue s’appliquent.

Pour affecter une balise d’étendue à un rôle

  1. Dans le Centre d’administration Microsoft Endpoint Manager, choisissez Rôles > d’administration > de locataire Tous les rôles > choisissez un rôle > Affectations > .

  2. Dans la page Informations de base , indiquez un nom d’affectation et une description. Cliquez sur Suivant.

  3. Dans la page Administration Groupes, choisissez Ajouter des groupes, puis sélectionnez les groupes souhaités dans le cadre de cette affectation. Les utilisateurs de ces groupes disposent des autorisations nécessaires pour gérer les utilisateurs/appareils dans l’étendue (groupes). Cliquez sur Suivant.

    Capture d’écran de la sélection des groupes de membres.

  4. Dans la page Groupes d’étendue , sélectionnez l’une des options suivantes pour les groupes inclus :

    • Ajouter des groupes : sélectionnez les groupes contenant les utilisateurs/appareils que vous souhaitez gérer. Tous les utilisateurs/appareils des groupes sélectionnés sont gérés par les utilisateurs des groupes Administration.
    • Ajouter tous les utilisateurs : tous les utilisateurs peuvent être gérés par les utilisateurs des groupes Administration.
    • Ajouter tous les appareils : tous les appareils peuvent être gérés par les utilisateurs des groupes Administration.
  5. Sélectionnez Suivant

  6. Dans la Balises d’étendue, sélectionnez les balises que vous voulez ajouter à ce rôle. Les utilisateurs des groupes Administration ont accès à Intune objets qui ont également la même balise d’étendue. Vous pouvez affecter un maximum de 100 balises d’étendue à un rôle.

  7. Choisissez Suivant pour accéder à la page Vérifier + créer , puis choisissez Créer.

Affecter des balises d’étendue à d’autres objets

Pour les objets qui prennent en charge les balises d’étendue, les balises d’étendue apparaissent généralement sous Propriétés. Par exemple, pour affecter une balise d’étendue à un profil de configuration, procédez comme suit :

  1. Dans le Centre d’administration Microsoft Endpoint Manager, choisissez Profils de configuration des appareils > > choisissez un profil.

  2. Choisissez l’étendue des propriétés > (balises) > Modifier > les balises d’étendue Select > choisissez les balises que vous souhaitez ajouter au profil. Vous pouvez affecter un maximum de 100 balises d’étendue à un objet.

  3. Sélectionnez Sélectionner > vérifier + enregistrer.

Détails de la balise d’étendue

Lorsque vous utilisez des balises d’étendue, n’oubliez pas les détails suivants :

  • Vous pouvez affecter des balises d’étendue à un type d’objet Intune si le locataire peut avoir plusieurs versions de cet objet (telles que des attributions de rôles ou des applications). Les objets Intune suivants sont des exceptions à cette règle et ne prennent actuellement pas en charge les balises d’étendue :
    • Identificateurs d’appareil Corp
    • Appareils Autopilot
    • Emplacements de conformité des appareils
    • Appareils Jamf
  • Les applications et ebooks du programme d’achat en volume (VPP) associés au jeton VPP héritent des balises d’étendue affectées au jeton VPP associé.
  • Lorsqu’un administrateur crée un objet dans Intune, toutes les balises d’étendue affectées à cet administrateur sont automatiquement affectées au nouvel objet.
  • Intune RBAC ne s’applique pas aux rôles Azure Active Directory. Ainsi, les rôles d’administrateurs de service et d’administrateurs généraux Intune ont un accès administrateur complet à Intune, quelles que soient les balises d’étendue dont ils disposent.
  • Si une attribution de rôle n’a aucune balise d’étendue, l’administrateur informatique peut voir tous les objets en fonction des autorisations des administrateurs informatiques. Les administrateurs qui n’ont aucune balise d’étendue ont essentiellement toutes les balises d’étendue.
  • Vous ne pouvez affecter qu’une balise d’étendue que vous avez dans vos attributions de rôles.
  • Vous ne pouvez cibler que les groupes répertoriés dans l’étendue (groupes) de votre attribution de rôle.
  • Si une balise d’étendue est affectée à votre rôle, vous ne pouvez pas supprimer toutes les balises d’étendue sur un objet Intune. Au moins une balise d’étendue est requise.

Prochaines étapes

Découvrez comment les balises d’étendue se comportent lorsqu’il existe plusieurs attributions de rôles. Gérez vos rôles et profils.