Partager via

Contrôle d’accès basé sur un rôle dans Microsoft Intune.

La sécurisation de l’accès à votre organization est une étape de sécurité essentielle. Cet article présente les détails fondamentaux de l’utilisation des contrôles d’accès en fonction du rôle (RBAC) Microsoft Intune, qui sont une extension des contrôles RBAC d’ID Microsoft Entra. Les articles suivants peuvent vous aider à déployer RBAC Intune dans votre organization.

Avec RBAC Intune, vous pouvez accorder des autorisations précises à vos administrateurs pour contrôler qui a accès aux ressources de votre organization et ce qu’ils peuvent faire avec ces ressources. Lorsque vous attribuez des rôles RBAC Intune et que vous suivez les principes de l’accès au privilège minimum, vos administrateurs peuvent effectuer les tâches qui leur sont attribuées uniquement sur les utilisateurs et appareils qu’ils doivent être habilités à gérer.

Rôles RBAC

Chaque rôle RBAC Intune spécifie un ensemble d’autorisations disponibles pour les utilisateurs affectés à ce rôle. Les autorisations sont composées d’une ou de plusieurs catégories de gestion, telles que les données de configuration de l’appareil ou d’audit, et d’ensembles d’actions qui peuvent être effectuées telles que Lecture, Écriture, Mise à jour et Suppression. Ensemble, ils définissent l’étendue de l’accès administratif et des autorisations dans Intune.

Intune inclut des rôles intégrés et personnalisés. Les rôles intégrés sont identiques dans tous les locataires et sont fournis pour répondre aux scénarios administratifs courants, tandis que les rôles personnalisés que vous créez autorisent des autorisations spécifiques en fonction des besoins d’un administrateur. En outre, plusieurs rôles Microsoft Entra incluent des autorisations dans Intune.

Pour afficher un rôle dans le Centre d’administration Intune, accédez à Administration du locataire>Rôles>Tous les rôles> et sélectionnez un rôle. Vous pouvez ensuite gérer ce rôle via les pages suivantes :

  • Propriétés : nom, description, autorisations et balises d’étendue pour le rôle. Vous pouvez également afficher le nom, la description et les autorisations des rôles intégrés dans cette documentation à la page Autorisations des rôles intégrés.
  • Affectations : sélectionnez une attribution pour un rôle afin d’afficher des détails sur celui-ci, y compris les groupes et les étendues inclus dans l’affectation. Un rôle peut avoir plusieurs affectations et un utilisateur peut recevoir plusieurs affectations.

Remarque

En juin 2021, Intune a commencé à prendre en charge les administrateurs sans licence. Les comptes d’utilisateur créés après cette modification peuvent administrer Intune sans licence attribuée. Les comptes créés avant cette modification et les comptes d’administrateur dans un groupe de sécurité imbriqué affecté à un rôle nécessitent toujours une licence pour gérer Intune.

Rôles intégrés

Un administrateur Intune disposant d’autorisations suffisantes peut attribuer l’un des rôles Intune à des groupes d’utilisateurs. Les rôles intégrés accordent des autorisations spécifiques nécessaires pour effectuer des tâches administratives qui s’alignent sur l’objectif du rôle. Intune ne prend pas en charge les modifications de description, de type ou d’autorisations d’un rôle intégré.

  • Gestionnaire d’applications : gère les applications mobiles et gérées, peut lire les informations de l’appareil et peut afficher les profils de configuration de l’appareil.
  • Endpoint Privilege Manager : gère les stratégies Gestion des privilèges de points de terminaison dans la console Intune.
  • Lecteur de privilèges de point de terminaison : les lecteurs de privilèges de point de terminaison peuvent afficher Gestion des privilèges de points de terminaison stratégies dans la console Intune.
  • Endpoint Security Manager : gère les fonctionnalités de sécurité et de conformité, telles que les bases de référence de sécurité, la conformité des appareils, l’accès conditionnel et les Microsoft Defender pour point de terminaison.
  • Opérateur du support technique : effectue des tâches à distance sur les utilisateurs et les appareils, et peut attribuer des applications ou des stratégies aux utilisateurs ou aux appareils.
  • Administrateur de rôles Intune: gère les rôles Intune personnalisés et ajoute des affectations pour les rôles Intune intégrés. C’est le seul rôle Intune qui peut affecter des autorisations aux administrateurs.
  • Gestionnaire de stratégie et de profil : gère la stratégie de conformité, les profils de configuration, l’inscription auprès d’Apple, les identificateurs d’appareils d’entreprise et les bases de référence de la sécurité.
  • Opérateur en lecture seule : affiche des informations sur les utilisateurs, les appareils, l’inscription, la configuration et les applications. Impossible d’apporter des modifications à Intune.
  • Administrateur scolaire : les administrateurs scolaires gèrent les applications, les paramètres et les appareils de leurs groupes dans Intune pour l’Éducation. Ils peuvent effectuer des actions à distance sur les appareils, notamment les verrouiller à distance, les redémarrer et les mettre hors service de la gestion.

Lorsque votre locataire inclut un abonnement à Windows 365 pour prendre en charge les PC cloud, vous voyez également les rôles PC cloud suivants dans le Centre d’administration Intune. Ces rôles ne sont pas disponibles par défaut et incluent des autorisations dans Intune pour les tâches liées aux PC cloud. Pour plus d’informations sur ces rôles, consultez Rôles intégrés pc cloud dans la documentation Windows 365.

  • Administrateur de PC cloud : un administrateur de PC cloud dispose d’un accès en lecture et en écriture à toutes les fonctionnalités de PC cloud situées dans la zone PC cloud.
  • Lecteur de PC cloud : un lecteur de PC cloud dispose d’un accès en lecture à toutes les fonctionnalités de PC cloud situées dans la zone PC cloud.

Rôles personnalisés

Vous pouvez créer vos propres rôles Intune personnalisés pour accorder aux administrateurs uniquement les autorisations spécifiques nécessaires pour leurs tâches. Ces rôles personnalisés peuvent inclure n’importe quelle autorisation RBAC Intune, ce qui permet d’affiner l’accès administrateur et la prise en charge du principe de l’accès aux privilèges minimum dans le organization.

Consultez Créer un rôle personnalisé.

Microsoft Entra rôles avec accès Intune

Les autorisations RBAC Intune sont un sous-ensemble des autorisations RBAC Microsoft Entra. En tant que sous-ensemble, certains rôles Microsoft Entra incluent des autorisations dans Intune. La plupart des rôles Entra ID qui ont accès à Intune sont considérés comme des rôles privilégiés. L’utilisation et l’attribution de rôles privilégiés doivent être limitées et non utilisées pour les tâches administratives quotidiennes au sein d’Intune.

Microsoft recommande de suivre le principe des autorisations minimales en affectant uniquement les autorisations minimales requises pour permettre à un administrateur d’effectuer ses tâches. Pour prendre en charge ce principe, utilisez les rôles RBAC intégrés d’Intune pour les tâches d’administration Intune quotidiennes et évitez d’utiliser Microsoft Entra rôles qui ont accès à Intune.

Le tableau suivant identifie les rôles Microsoft Entra qui ont accès à Intune et les autorisations Intune qu’ils incluent.

Microsoft Entra rôle Toutes les données Intune Données d’audit Intune
Icône d’étiquette d’administrateur général privilégié Lecture/écriture Lecture/écriture
Icône d’étiquette privilégiée Administrateur de service Intune Lecture/écriture Lecture/écriture
Icône d’étiquette d’administrateur de l’accès conditionnel Aucun Aucun
Icône d’étiquette privilégiée administrateur de la sécurité Lecture seule (autorisations administratives complètes pour le nœud Sécurité du point de terminaison) Lecture seule
Icône d’étiquette privilégiée de l’opérateur de sécurité Lecture seule Lecture seule
Icône d’étiquette privilégiée du lecteur de sécurité Lecture seule Lecture seule
Administrateur de conformité Aucun Lecture seule
Administrateur de conformité des données Aucun Lecture seule
Icône d’étiquette de lecteur global privilégié (ce rôle équivaut au rôle Opérateur du support technique Intune) Lecture seule Lecture seule
Icône d’étiquette privilégiée administrateur du support technique (ce rôle équivaut au rôle Opérateur du support technique Intune) Lecture seule Lecture seule
Lecteur de rapports Aucun Lecture seule

Outre les rôles Microsoft Entra avec autorisation dans Intune, les trois domaines suivants d’Intune sont des extensions directes de Microsoft Entra : Utilisateurs, Groupes et Accès conditionnel. Les instances de ces objets et configurations effectuées à partir d’Intune existent dans Microsoft Entra. En tant qu’objets Microsoft Entra, ils peuvent être gérés par des administrateurs Microsoft Entra disposant d’autorisations suffisantes accordées par un rôle Microsoft Entra. De même, les administrateurs Intune disposant d’autorisations suffisantes pour Intune peuvent afficher et gérer ces types d’objets créés dans Microsoft Entra.

Rôles Administrateur général et Administrateur Intune

Le rôle Administrateur général est un rôle intégré dans Microsoft Entra et dispose d’un accès complet à Microsoft Intune. Les administrateurs généraux ont accès aux fonctionnalités d’administration dans Microsoft Entra ID et aux services qui utilisent des identités Microsoft Entra, y compris Microsoft Intune.

Pour réduire les risques :

  • N’utilisez pas le rôle Administrateur général dans Intune. Microsoft ne recommande pas d’utiliser le rôle Administrateur général pour administrer ou gérer Intune.

    Certaines fonctionnalités d’Intune nécessitent le rôle Administrateur général, comme certains connecteurs de défense contre les menaces mobiles (MTD). Dans ce cas, utilisez le rôle Administrateur général uniquement si nécessaire, puis supprimez-le une fois la tâche terminée.

  • Utilisez les rôles intégrés Intune ou créez des rôles personnalisés pour administrer et gérer Intune.

  • Attribuez le rôle Intune le moins privilégié nécessaire à l’administrateur pour effectuer ses tâches.

Pour en savoir plus sur le rôle d’administrateur général Microsoft Entra, consultez Microsoft Entra rôles intégrés - Administrateur général.

Le rôle Administrateur Intune est un rôle intégré dans Microsoft Entra, également appelé rôle Administrateur de service Intune. Il dispose d’une étendue limitée d’autorisations pour administrer et gérer Intune, ainsi que pour gérer les fonctionnalités associées, telles que la gestion des utilisateurs et des groupes. Ce rôle est adapté aux administrateurs qui ont uniquement besoin d’administrer Intune.

Pour réduire les risques :

  • Attribuez le rôle Administrateur Intune uniquement en fonction des besoins. S’il existe un rôle Intune intégré qui répond aux besoins de l’administrateur, attribuez ce rôle au lieu du rôle Administrateur Intune. Attribuez toujours le rôle Intune le moins privilégié nécessaire à l’administrateur pour effectuer ses tâches.
  • Créez des rôles personnalisés pour limiter davantage l’étendue des autorisations pour vos administrateurs.

Contrôles de sécurité améliorés :

L’approbation multi-Administration prend désormais en charge le contrôle d’accès en fonction du rôle. Lorsque ce paramètre est activé, un deuxième administrateur doit approuver les modifications apportées aux rôles. Ces modifications peuvent inclure des mises à jour des autorisations de rôle, des groupes d’administrateurs ou des attributions de groupes de membres. La modification prend effet uniquement après l’approbation. Ce processus d’autorisation double permet de protéger vos organization contre les modifications non autorisées ou accidentelles du contrôle d’accès en fonction du rôle. Pour plus d’informations, consultez Utiliser l’approbation multi Administration dans Intune.

Pour en savoir plus sur le rôle administrateur Microsoft Entra Intune, consultez Microsoft Entra rôles intégrés - Administrateur Intune.

Privileged Identity Management pour Intune

Lorsque vous utilisez Entra ID Privileged Identity Management (PIM), vous pouvez gérer quand un utilisateur peut utiliser les privilèges fournis par un rôle RBAC Intune ou le rôle Administrateur Intune à partir de Entra ID.

Intune prend en charge deux méthodes d’élévation de rôle. Il existe des différences de performances et de privilèges minimum entre les deux méthodes.

Lorsque vous utilisez l’élévation PIM pour le rôle Administrateur Intune à partir de Entra ID, l’élévation se produit généralement dans les 10 secondes. L’élévation basée sur les groupes PIM pour les rôles intégrés ou personnalisés d’Intune prend généralement jusqu’à 15 minutes.

À propos des attributions de rôles Intune

Les rôles personnalisés et intégrés Intune sont attribués à des groupes d’utilisateurs. Un rôle attribué s’applique à chaque utilisateur du groupe et définit :

  • Les utilisateurs affectés au rôle.
  • Les ressources qu’ils peuvent voir.
  • Les ressources qu’ils peuvent modifier.

Chaque groupe auquel un rôle Intune est attribué doit inclure uniquement les utilisateurs autorisés à effectuer les tâches d’administration pour ce rôle.

  • Si un rôle intégré aux privilèges minimum accorde des privilèges ou des autorisations excessifs, envisagez d’utiliser un rôle personnalisé pour limiter l’étendue de l’accès administratif.
  • Lorsque vous planifiez des attributions de rôles, tenez compte des résultats d’un utilisateur avec plusieurs attributions de rôles.

Pour qu’un utilisateur se voit attribuer un rôle Intune et ait accès à l’administration d’Intune, il n’a pas besoin d’une licence Intune si son compte a été créé dans Entra après juin 2021. Les comptes créés avant juin 2021 nécessitent l’attribution d’une licence pour utiliser Intune.

Pour afficher une attribution de rôle existante, choisissezAdministration> du locataire Intune>Rôles>Tous les rôles> choisissent un rôle >Attributions> choisissez une attribution. Dans la page Propriétés des affectations, vous pouvez modifier :

  • Notions de base : nom et description des attributions.

  • Membres : les membres sont les groupes configurés sur la page Groupes Administration lors de la création d’une attribution de rôle. Tous les utilisateurs des groupes de sécurité Azure répertoriés sont autorisés à gérer les utilisateurs et les appareils répertoriés dans Étendue (groupes).

  • Étendue (Groupes) : utilisez l’étendue (groupes) pour définir les groupes d’utilisateurs et d’appareils qu’un administrateur disposant de cette attribution de rôle peut gérer. Les utilisateurs administratifs disposant de cette attribution de rôle peuvent utiliser les autorisations accordées par le rôle pour gérer chaque utilisateur ou appareil au sein des groupes d’étendues définis par les attributions de rôle.

    Conseil

    Lorsque vous configurez un groupe d’étendues, limitez l’accès en sélectionnant uniquement les groupes de sécurité qui incluent l’utilisateur et les appareils qu’un administrateur disposant de cette attribution de rôle doit gérer. Pour vous assurer que les administrateurs disposant de ce rôle ne peuvent pas cibler tous les utilisateurs ou tous les appareils, ne sélectionnez pas Ajouter tous les utilisateurs ou Ajouter tous les appareils.

    Si vous spécifiez un groupe d’exclusion pour une affectation telle qu’une stratégie ou une affectation d’application, il doit être imbriqué dans l’un des groupes d’étendues d’affectation RBAC, ou il doit être répertorié séparément en tant que groupe d’étendues dans l’attribution de rôle RBAC.

  • Balises d’étendue : les utilisateurs administratifs auxquels cette attribution de rôle est attribuée peuvent voir les ressources qui ont les mêmes balises d’étendue.

Remarque

Les balises d’étendue sont des valeurs de texte de forme libre qu’un administrateur définit, puis ajoute à une attribution de rôle. La balise d’étendue ajoutée à un rôle contrôle la visibilité du rôle lui-même. La balise d’étendue ajoutée dans l’attribution de rôle limite la visibilité des objets Intune, tels que les stratégies, les applications ou les appareils, aux seuls administrateurs de cette attribution de rôle, car l’attribution de rôle contient une ou plusieurs balises d’étendue correspondantes.

Attributions de rôles multiples

Si un utilisateur a plusieurs attributions de rôles, autorisations et balises d’étendue, ces attributions de rôles s’étendent à différents objets comme suit :

  • Les autorisations sont incrémentielles dans le cas où deux rôles ou plus accordent des autorisations à un même objet. Un utilisateur disposant d’autorisations de lecture à partir d’un rôle et de lecture/écriture à partir d’un autre rôle, par exemple, dispose d’une autorisation effective de lecture/écriture (en supposant que les affectations pour les deux rôles ciblent les mêmes balises d’étendue).
  • Les autorisations d’affectation et les balises d’étendue s’appliquent uniquement aux objets (tels que les stratégies ou applications) dans l’Étendue (groupe) de l’affectation de ce rôle. Les autorisations d’affectation et les balises d’étendue ne s’appliquent pas aux objets dans d’autres attribution de rôles, sauf si l’autre attribution les accorde spécifiquement.
  • Les autres autorisations (telles que Créer, Lire, Mettre à jour et Supprimer) et balises d’étendue s’appliquent à tous les objets du même type (par exemple toutes les stratégies ou toutes les applications) dans toutes les affectations de l’utilisateur.
  • Les autorisations et les balises d’étendue pour les objets de types différents (tels que les stratégies ou applications) ne s’appliquent pas les unes aux autres. Par exemple, une autorisation de lecture pour une stratégie ne fournit pas d’autorisation de lecture aux applications dans les attributions de l’utilisateur.
  • Lorsqu’il n’y a pas de balises d’étendue ou que certaines balises d’étendue sont affectées à partir de différentes affectations, un utilisateur peut uniquement voir les appareils qui font partie de certaines balises d’étendue et ne peut pas voir tous les appareils.

Surveiller les affectations RBAC

Ceci et les trois sous-sections sont en cours

Dans le Centre d’administration Intune, vous pouvez accéder àRôlesd’administrateur> de locataire et développer Surveiller pour rechercher plusieurs affichages qui peuvent vous aider à identifier les autorisations dont disposent les différents utilisateurs au sein de votre locataire Intune. Par exemple, dans un environnement administratif complexe, vous pouvez utiliser la vue autorisations Administration pour spécifier un compte afin de voir son étendue actuelle de privilèges d’administration.

Capture d’écran des options de surveillance du contrôle d’accès en fonction du rôle à partir du centre d’administration Intune.

Mes autorisations

Lorsque vous sélectionnez ce nœud, vous voyez une liste combinée des catégories et autorisations RBAC Intune actuelles accordées à votre compte. Cette liste combinée inclut toutes les autorisations de toutes les attributions de rôles, mais pas les attributions de rôles qui les fournissent ou par quelle appartenance de groupe elles sont affectées.

Rôles par autorisation

Avec cette vue, vous pouvez voir des détails sur une catégorie et une autorisation RBAC Intune spécifiques, ainsi que sur les attributions de rôles et sur les groupes auxquels cette combinaison est disponible.

Pour commencer, sélectionnez une catégorie d’autorisation Intune, puis une autorisation spécifique dans cette catégorie. Le centre d’administration affiche ensuite une liste d’instances qui entraînent l’attribution de cette autorisation, notamment :

  • Nom complet du rôle : nom du rôle RBAC intégré ou personnalisé qui accorde l’autorisation.
  • Nom complet de l’attribution de rôle : nom de l’attribution de rôle qui attribue le rôle à des groupes d’utilisateurs.
  • Nom du groupe : nom du groupe qui reçoit cette attribution de rôle.

autorisations Administration

Utilisez le nœud autorisations Administration pour identifier les autorisations spécifiques actuellement accordées à un compte.

Commencez par spécifier un compte d’utilisateur . Tant que l’utilisateur dispose d’autorisations Intune attribuées à son compte, Intune affiche la liste complète de ces autorisations identifiées par Catégorie et Autorisation.

Capture d’écran qui montre un exemple de l’affichage des autorisations Administration dans le Centre d’administration Intune.

Prochaines étapes

  • Last updated on