Utiliser le contrôle d’accès basé sur les rôles (RBAC) et les balises d’étendue pour les services IT distribués

Vous pouvez utiliser le contrôle d’accès en fonction du rôle et les balises d’étendue pour vous assurer que les administrateurs appropriés disposent de l’accès et de la visibilité appropriés aux objets Intune requis. Les rôles déterminent l’accès des administrateurs aux objets. Les balises d’étendue déterminent les objets que les administrateurs peuvent voir.

Par exemple, supposons qu’un administrateur de bureau régional de Seattle a le rôle Gestionnaire des stratégies et des profils. Vous souhaitez que cet administrateur affiche et gère uniquement les profils et les stratégies qui s’appliquent uniquement aux appareils Seattle. Pour configurer cet accès, vous devez :

  1. Créez une balise d’étendue appelée Seattle.
  2. Créez une attribution de rôle pour le rôle Gestionnaire de stratégies et de profils avec :
    • Members (Groups) = groupe de sécurité nommé Seattle IT admins. Tous les administrateurs de ce groupe auront l’autorisation de gérer les stratégies et les profils pour les utilisateurs/appareils dans l’étendue (groupes).
    • Étendue (Groupes) = groupe de sécurité nommé Seattle users. Tous les utilisateurs/appareils de ce groupe peuvent avoir leurs profils et stratégies gérés par les administrateurs dans les membres (groupes).
    • Scope (Tags) = Seattle. Les administrateurs du membre (groupes) peuvent voir les objets Intune qui ont également la balise d’étendue Seattle.
  3. Ajoutez la balise d’étendue Seattle aux stratégies et profils auxquels vous souhaitez que les administrateurs dans Membres (groupes) aient accès.
  4. Ajoutez la balise d’étendue Seattle aux appareils que vous souhaitez voir pour les administrateurs dans membres (groupes).

Balise d’étendue par défaut

La balise d’étendue par défaut est automatiquement ajoutée à tous les objets sans étiquette qui prennent en charge les balises d’étendue.

La fonctionnalité de balise d’étendue par défaut est similaire à la fonctionnalité étendues de sécurité dans Microsoft Configuration Manager.

Remarque

Lors de la configuration ou de la modification de stratégies Intune, certains types de stratégies peuvent ne pas afficher la page de configuration Des balises d’étendue s’il n’existe pas de balises d’étendue définies personnalisées pour le locataire. Si vous ne voyez pas l’option Balise d’étendue, vérifiez qu’au moins une balise en plus de la balise d’étendue par défaut a été définie.

Pour créer une balise d’étendue

  1. Dans le centre d’administration Microsoft Intune, choisissez Étenduedes rôles>d’administration> des locataires(balises)>Créer.

  2. Dans la page Informations de base , fournissez un nom et une description facultative. Cliquez sur Suivant.

  3. Dans la page Affectations , choisissez les groupes contenant les appareils auxquels vous souhaitez affecter cette balise d’étendue. Cliquez sur Suivant.

  4. Dans la page Vérifier + créer , choisissez Créer.

    Importante

    Les affectations de balises d’étendue automatique remplacent les balises d’étendue affectées manuellement. Si plusieurs balises d’étendue sont affectées à un appareil via l’attribution de groupe, toutes les balises d’étendue s’appliquent.

Pour affecter une balise d’étendue à un rôle

  1. Dans le centre d’administration Microsoft Intune, choisissez Administration du locataire>Rôles>Tous les rôles> choisissent un rôle >Attributions>.

  2. Dans la page Informations de base , indiquez un nom d’affectation et une description. Cliquez sur Suivant.

  3. Dans la page Administration Groupes, choisissez Ajouter des groupes, puis sélectionnez les groupes souhaités dans le cadre de cette affectation. Les utilisateurs de ces groupes disposent des autorisations nécessaires pour gérer les utilisateurs/appareils dans l’étendue (groupes). Cliquez sur Suivant.

    Capture d’écran de la sélection de groupes de membres.

  4. Dans la page Groupes d’étendues , sélectionnez l’une des options suivantes pour Groupes inclus :

    • Ajouter des groupes : sélectionnez les groupes contenant les utilisateurs/appareils que vous souhaitez gérer. Tous les utilisateurs/appareils des groupes sélectionnés seront gérés par les utilisateurs des groupes Administration.
    • Ajouter tous les utilisateurs : tous les utilisateurs peuvent être gérés par les utilisateurs des groupes Administration.
    • Ajouter tous les appareils : tous les appareils peuvent être gérés par les utilisateurs des groupes Administration.
  5. Sélectionnez Suivant

  6. Dans la Balises d’étendue, sélectionnez les balises que vous voulez ajouter à ce rôle. Les utilisateurs des groupes Administration ont accès aux objets Intune qui ont également la même balise d’étendue. Vous pouvez affecter un maximum de 100 balises d’étendue à un rôle.

  7. Choisissez Suivant pour accéder à la page Vérifier + créer , puis choisissez Créer.

Affecter des balises d’étendue à d’autres objets

Pour les objets qui prennent en charge les balises d’étendue, les balises d’étendue apparaissent généralement sous Propriétés. Par exemple, pour affecter une balise d’étendue à un profil de configuration, procédez comme suit :

  1. Dans le centre d’administration Microsoft Intune, choisissezConfiguration>des appareils> choisissez un profil.

  2. Choisissez Propriétés>Étendue (Balises)>Modifier Sélectionner>les balises> d’étendue choisissez les balises que vous souhaitez ajouter au profil. Vous pouvez affecter un maximum de 100 balises d’étendue à un objet.

  3. Choisissez Sélectionner>vérifier + enregistrer.

Détails de la balise d’étendue

Lorsque vous utilisez des balises d’étendue, n’oubliez pas ces détails :

  • Vous pouvez affecter des balises d’étendue à un type d’objet Intune si le locataire peut avoir plusieurs versions de cet objet (par exemple, des attributions de rôles ou des applications). Les objets Intune suivants sont des exceptions à cette règle et ne prennent actuellement pas en charge les balises d’étendue :
    • Identificateurs d’appareil d’entreprise
    • Appareils Autopilot
    • Emplacements de conformité des appareils
    • Appareils Jamf
  • Les applications du programme d’achat en volume (VPP) et les livres électroniques associés au jeton VPP héritent des balises d’étendue affectées au jeton VPP associé.
  • Lorsqu’un administrateur crée un objet dans Intune, toutes les balises d’étendue affectées à cet administrateur sont automatiquement affectées au nouvel objet.
  • RBAC Intune ne s’applique pas aux rôles Microsoft Entra. Par conséquent, les rôles Administrateurs de service Intune et Administrateurs généraux disposent d’un accès administrateur complet à Intune, quelles que soient les balises d’étendue dont ils disposent.
  • Si une attribution de rôle n’a pas de balise d’étendue, cet administrateur informatique peut voir tous les objets en fonction des autorisations des administrateurs informatiques. Les administrateurs qui n’ont pas de balises d’étendue ont essentiellement toutes les balises d’étendue.
  • Vous pouvez uniquement affecter une balise d’étendue que vous avez dans vos attributions de rôles.
  • Vous pouvez cibler uniquement les groupes répertoriés dans l’étendue (groupes) de votre attribution de rôle.
  • Si une balise d’étendue est affectée à votre rôle, vous ne pouvez pas supprimer toutes les balises d’étendue sur un objet Intune. Au moins une balise d’étendue est requise.

Prochaines étapes

Découvrez comment les balises d’étendue se comportent lorsqu’il existe plusieurs attributions de rôles. Gérez vos rôles et profils.