Options d’accès utilisateur avec Windows Admin CenterUser access options with Windows Admin Center

S'applique à : Windows Admin Center, Windows Admin Center PreviewApplies To: Windows Admin Center, Windows Admin Center Preview

Une fois déployé sur Windows Server, Windows Admin Center fournit un point de gestion centralisé pour votre environnement serveur.When deployed on Windows Server, Windows Admin Center provides a centralized point of management for your server environment. En contrôlant l’accès à Windows Admin Center, vous pouvez améliorer la sécurité de votre environnement de gestion.By controlling access to Windows Admin Center, you can improve the security of your management landscape.

Rôles d’accès à la passerelleGateway access roles

Windows Admin Center définit deux rôles pour l’accès au service de passerelle : utilisateurs de passerelle et administrateurs de passerelle.Windows Admin Center defines two roles for access to the gateway service: gateway users and gateway administrators.

Notes

L’accès à la passerelle n’implique pas l’accès aux serveurs cibles visibles par la passerelle.Access to the gateway does not imply access to the target servers visible by the gateway. Pour gérer un serveur cible, un utilisateur doit se connecter avec des informations d’identification disposant de privilèges d’administrateur sur le serveur cible.To manage a target server, a user must connect with credentials that have administrative privileges on the target server.

Les utilisateurs de passerelle peuvent se connecter au service de passerelle Windows Admin Center pour gérer les serveurs par le biais de cette passerelle, mais ils ne peuvent pas modifier les autorisations d’accès ni le mécanisme d’authentification utilisé pour l’authentification auprès de la passerelle.Gateway users can connect to the Windows Admin Center gateway service in order to manage servers through that gateway, but they cannot change access permissions nor the authentication mechanism used to authenticate to the gateway.

Les administrateurs de passerelle peuvent configurer qui obtient l’accès à la passerelle, ainsi que la façon dont les utilisateurs s’authentifieront auprès d’elle.Gateway administrators can configure who gets access as well as how users will authenticate to the gateway.

Notes

Si aucun groupe d’accès n’est défini dans Windows Admin Center, les rôles reflètent l’accès du compte Windows au serveur de passerelle.If there are no access groups defined in Windows Admin Center, the roles will reflect the Windows account access to the gateway server.

Configurer l’accès des utilisateurs et des administrateurs de passerelle dans Windows Admin Center.Configure gateway user and administrator access in Windows Admin Center.

Options du fournisseur d’identitéIdentity provider options

Les administrateurs de passerelle peuvent choisir l’un des éléments suivants :Gateway administrators can choose either of the following:

Authentification par carte à puceSmartcard authentication

Quand vous utilisez Active Directory ou des groupes d’ordinateurs locaux comme fournisseur d’identité, vous pouvez appliquer l’authentification par carte à puce en imposant aux utilisateurs qui accèdent à Windows Admin Center d’être membres d’autres groupes de sécurité basés sur une carte à puce.When using Active Directory or local machine groups as the identity provider, you can enforce smartcard authentication by requiring users who access Windows Admin Center to be a member of additional smartcard-based security groups. Configurer l’authentification par carte à puce dans Windows Admin Center.Configure smartcard authentication in Windows Admin Center.

Accès conditionnel et authentification multifacteurConditional access and multi-factor authentication

En exigeant l’authentification Azure AD pour la passerelle, vous pouvez tirer parti de fonctionnalités de sécurité supplémentaires telles que l’accès conditionnel et l’authentification multifacteur fournies par Azure AD.By requiring Azure AD authentication for the gateway, you can leverage additional security features like conditional access and multi-factor authentication provided by Azure AD. En savoir plus sur la configuration de l’accès conditionnel avec Azure Active Directory.Learn more about configuring conditional access with Azure Active Directory.

Contrôle d'accès basé sur les rôlesRole-based access control

Par défaut, les utilisateurs ont besoin de privilèges d’administrateur local complets sur les ordinateurs qu’ils souhaitent gérer à l’aide de Windows Admin Center.By default, users require full local administrator privileges on the machines they wish to manage using Windows Admin Center. Cela leur permet de se connecter à distance à l’ordinateur, et garantit qu’ils disposent d’autorisations suffisantes pour afficher et modifier les paramètres système.This allows them to connect to the machine remotely and ensures they have sufficient permissions to view and modify system settings. Toutefois, certains utilisateurs n’auront peut-être pas besoin d’un accès illimité à l’ordinateur pour effectuer leurs tâches.However, some users may not need unrestricted access to the machine to perform their jobs. Vous pouvez utiliser le contrôle d’accès en fonction du rôle dans Windows Admin Center pour fournir à ces utilisateurs un accès limité à l’ordinateur au lieu d’en faire des administrateurs locaux complets.You can use role-based access control in Windows Admin Center to provide such users with limited access to the machine instead of making them full local administrators.

Le contrôle d’accès en fonction du rôle dans Windows Admin Center configure chaque serveur managé avec un point de terminaison PowerShell Just Enough Administration.Role-based access control in Windows Admin Center works by configuring each managed server with a PowerShell Just Enough Administration endpoint. Ce point de terminaison définit les rôles, notamment quels aspects du système chaque rôle est autorisé à gérer et quels utilisateurs sont affectés au rôle.This endpoint defines the roles, including what aspects of the system each role is allowed to manage and which users are assigned to the role. Quand un utilisateur se connecte au point de terminaison restreint, un compte d’administrateur local temporaire est créé pour gérer le système en son nom.When a user connects to the restricted endpoint, a temporary local administrator account is created to manage the system on their behalf. Cela permet de s’assurer que même les outils qui n’ont pas leur propre modèle de délégation peuvent toujours être gérés avec Windows Admin Center.This ensures that even tools which do not have their own delegation model can still be managed with Windows Admin Center. Le compte temporaire est supprimé automatiquement quand l’utilisateur cesse de gérer l’ordinateur par le biais de Windows Admin Center.The temporary account is automatically removed when the user stops managing the machine through Windows Admin Center.

Quand un utilisateur se connecte à un ordinateur configuré avec le contrôle d’accès en fonction du rôle, Windows Admin Center vérifie d’abord s’il s’agit d’un administrateur local.When a user connects to a machine configured with role-based access control, Windows Admin Center will first check if they are a local administrator. Si c’est le cas, il bénéficiera de l’expérience Windows Admin Center complète sans aucune restriction.If they are, they will receive the full Windows Admin Center experience with no restrictions. Sinon, Windows Admin Center vérifie si l’utilisateur appartient à l’un des rôles prédéfinis.Otherwise, Windows Admin Center will check if the user belongs to any of the pre-defined roles. Un utilisateur est considéré comme ayant un accès limité s’il appartient à un rôle Windows Admin Center, mais qu’il ne s’agit pas d’un administrateur complet.A user is said to have limited access if they belong to a Windows Admin Center role but are not a full administrator. Pour finir, si l’utilisateur n’est ni administrateur ni membre d’un rôle, il se voit refuser l’accès à la gestion de l’ordinateur.Finally, if the user is neither an administrator nor a member of a role, they will be denied access to manage the machine.

Le contrôle d’accès en fonction du rôle est disponible pour les solutions Cluster de basculement et Gestionnaire de serveur.Role-based access control is available for the Server Manager and Failover Cluster solutions.

Rôles disponiblesAvailable roles

Windows Admin Center prend en charge les rôles d’utilisateur final suivants :Windows Admin Center supports the following end-user roles:

Nom de rôleRole name Usage prévuIntended use
AdministrateursAdministrators Permet aux utilisateurs d’utiliser la plupart des fonctionnalités de Windows Admin Center sans que l’accès à Bureau à distance ou à PowerShell leur soit accordé.Allows users to use most of the features in Windows Admin Center without granting them access to Remote Desktop or PowerShell. Ce rôle convient aux scénarios « Jump Server » dans lesquels vous souhaitez limiter les points d’entrée de gestion sur un ordinateur.This role is good for "jump server" scenarios where you want to limit the management entry points on a machine.
LecteursReaders Permet aux utilisateurs d’afficher des informations et des paramètres sur le serveur, mais pas d’apporter des modifications.Allows users to view information and settings on the server, but not make changes.
Administrateurs Hyper-VHyper-V Administrators Permet aux utilisateurs d’apporter des modifications aux commutateurs et aux machines virtuelles Hyper-V, mais limite les autres fonctionnalités à un accès en lecture seule.Allows users to make changes to Hyper-V virtual machines and switches, but limits other features to read-only access.

Les extensions intégrées suivantes ont des fonctionnalités réduites quand un utilisateur se connecte avec un accès limité :The following built-in extensions have reduced functionality when a user connects with limited access:

  • Fichiers (pas de chargement ou de téléchargement de fichiers)Files (no file upload or download)
  • PowerShell (non disponible)PowerShell (unavailable)
  • Bureau à distance (non disponible)Remote Desktop (unavailable)
  • Réplica de stockage (non disponible)Storage Replica (unavailable)

À l’heure actuelle, vous ne pouvez pas créer de rôles personnalisés pour votre organisation, mais vous pouvez choisir les utilisateurs qui disposent d’un accès à chaque rôle.At this time, you cannot create custom roles for your organization, but you can choose which users are granted access to each role.

Préparation du contrôle d’accès en fonction du rôlePreparing for role-based access control

Pour tirer parti des comptes locaux temporaires, chaque ordinateur cible doit être configuré pour prendre en charge le contrôle d’accès en fonction du rôle dans Windows Admin Center.To leverage the temporary local accounts, each target machine needs to be configured to support role-based access control in Windows Admin Center. Le processus de configuration implique l’installation de scripts PowerShell et d’un point de terminaison Just Enough Administration sur l’ordinateur à l’aide de Desired State Configuration.The configuration process involves installing PowerShell scripts and a Just Enough Administration endpoint on the machine using Desired State Configuration.

Si vous n’avez que quelques ordinateurs, vous pouvez facilement appliquer la configuration individuellement à chaque ordinateur par le biais de la page de contrôle d’accès en fonction du rôle dans Windows Admin Center.If you only have a few computers, you can easily apply the configuration individually to each computer using the role-based access control page in Windows Admin Center. Quand vous configurez le contrôle d’accès en fonction du rôle sur un ordinateur, des groupes de sécurité locaux sont créés pour contrôler l’accès à chaque rôle.When you set up role-based access control on an individual computer, local security groups are created to control access to each role. Vous pouvez accorder l’accès à des utilisateurs ou à d’autres groupes de sécurité en les ajoutant en tant que membres des groupes de sécurité de rôle.You can grant access to users or other security groups by adding them as members of the role security groups.

Pour un déploiement à l’échelle de l’entreprise sur plusieurs ordinateurs, vous pouvez télécharger le script de configuration à partir de la passerelle et le distribuer à vos ordinateurs à l’aide d’un serveur Pull Desired State Configuration, d’Azure Automation ou de vos outils de gestion préférés.For an enterprise-wide deployment on multiple machines, you can download the configuration script from the gateway and distribute it to your computers using a Desired State Configuration pull server, Azure Automation, or your preferred management tooling.