Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez le contrôle d’accès en fonction du rôle dans le centre d’administration Microsoft Intune pour gérer qui a accès aux ressources de votre organization et ce qu’ils peuvent faire avec ces ressources.
Rôles intégrés
Windows Autopatch permet au contrôle d’accès en fonction du rôle d’utiliser l’accès le moins privilégié pour distribuer et déléguer la gestion des Windows Update dans Microsoft Intune.
Important
Pour gérer correctement windows Autopatch en tant que rôle à privilèges inférieurs, l’utilisateur doit disposer des autorisations d’Administration autopatch et des autorisations d’administrateur de stratégie et de profil.
Les autorisations définies dans les rôles d’administrateur Windows Autopatch ou de lecteur Windows Autopatch sont utilisées pour gérer les groupes autopatch, les demandes de support, les messages Autopatch et les rapports Autopatch.
Pour gérer les stratégies de mise à jour et les rapports Windows Update, l’autorisation Configuration de l’appareil est requise. Cette autorisation est disponible dans les rôles intégrés tels que les rôles Policy et Profile Manager.
Rôles de gestionnaire de stratégies et de profils
Les rôles De stratégie et gestionnaire de profils incluent des autorisations de configuration d’appareil pour la gestion des stratégies Intune, notamment les stratégies de mise à jour suivantes :
- Anneaux de mise à jour
- Mises à jour qualité
- Mises à jour des fonctionnalités
- Mises à jour du pilote
Administrateur de la mise à jour automatique Windows
Le rôle Administrateur d’autopatch Windows gère tous les aspects de Windows Autopatch :
- Groupes autopatch
-
Rapports autopatch
- Mise à jour de la qualité et des fonctionnalités status et rapports tendances
- Demandes et messages de support
Lecteur Windows Autopatch
Le lecteur Windows Autopatch peut afficher les données Windows Autopatch disponibles dans Microsoft Intune mais ne peut pas apporter de modifications.
Mettre à jour les rôles de stratégie
Pour gérer la mise à jour de qualité Windows, les anneaux de mise à jour, la mise à jour des fonctionnalités Windows, la mise à jour des pilotes, les Microsoft 365 Apps et les stratégies Microsoft Edge, l’utilisateur doit disposer des autorisations complètes de configuration de l’appareil. Le tableau suivant répertorie la liste complète des rôles de gestion des mises à jour :
| Intune rôle | Stratégies de mise à jour |
|---|---|
| Gestionnaire de profils & de stratégie | Lecture/écriture |
| Opérateur du support technique | Read |
| Opérateur en lecture seule | Read |
| Administrateur de la mise à jour automatique | Aucune autorisation |
| Lecteur autopatch | Aucune autorisation |
Pour gérer correctement windows Autopatch en tant que rôle à privilèges inférieurs, l’utilisateur doit disposer des autorisations autopatch Administration et des autorisations d’administrateur Stratégie et Profil.
Microsoft Entra rôles
Les rôles Microsoft Entra suivants peuvent accéder aux fonctionnalités windows autopatch via le portail Microsoft Intune.
| Microsoft Entra rôle | Toutes les données Windows Autopatch | Mise à jour automatique Windows d’administration > du locataire |
|---|---|---|
| Administrateur global | Lecture/écriture | Lecture/écriture |
| administrateur de service Intune | Lecture/écriture | Lecture/écriture |
| Lecteur global | Read | Read |
| Administrateur du support technique du service | Aucune autorisation | Read Administration du locataire/Autopatch Windows/All |
| Administration de sécurité | Aucune autorisation | Read Administration du locataire/Autopatch Windows/All |
| Lecteur de sécurité | Aucune autorisation | Read Administration du locataire/Autopatch Windows/All |
| Administrateur de facturation | Aucune autorisation | Read Administration du locataire/Autopatch Windows/All |
| Administrateur du support technique | Aucune autorisation | Read Administration du locataire/Autopatch Windows/All |
Rôles personnalisés
Vous pouvez créer deux rôles personnalisés qui incluent les autorisations requises pour un rôle de travail spécifique.
Pour bénéficier d’une gestion des mises à jour globale, assurez-vous que les groupes affectés au rôle personnalisé Autopatch sont également membres du rôle Gestionnaire de profils policy & ou d’un rôle personnalisé avec des autorisations équivalentes.
Accédez àRôles>d’administration> de locataireCréer un rôle> personnaliséWindows Autopatch pour créer un rôle personnalisé.
| Autorisation | Description |
|---|---|
| Attributions de rôles/Créer | Créez un rôle Autopatch pour les opérations effectuées sur les ressources Autopatch. |
| Attributions de rôles/mise à jour | Mettre à jour le rôle pour Autopatch, où les opérations de modification sont effectuées sur les ressources Autopatch. |
| Attributions de rôles/Suppression | Supprimer le rôle pour Autopatch, où les opérations de suppression sont effectuées sur les ressources Autopatch. |
| Rôles/Lecture | Affichez les autorisations, les définitions de rôle et les attributions de rôles pour le rôle Autopatch. Les opérations d’affichage ou les actions sont effectuées sur les ressources autopatch. |
| Autopatch Groups/Read | Lisez les groupes autopatch et leurs propriétés. |
| Autopatch Groups/Create | Créez des groupes autopatch, ajoutez des affectations de groupe et configurez les paramètres de mise en production. |
| Autopatch Groups/Edit | Modifier les groupes de mise en production automatique, modifier les paramètres de mise en production et gérer les affectations de groupes. |
| Autopatch Groups/Delete | Supprimer les groupes de mise à jour automatique. |
| Rapports/Lecture | Lisez et exportez les rapports de mise à jour de la qualité et des fonctionnalités autopatch. |
| Rapports/DiscoverDevices | Autorise l’action de rapport d’appareil à découvrir les appareils. |
| Reports/AssignRing | Autorise l’attribution d’anneau d’appareil aux groupes autopatch. |
| Reports/ExcludeDevices | Effectuez une action d’exclusion d’appareils sur les rapports d’appareil. |
| Reports/RestoreExcludedDevices | Effectuez l’action Restaurer sur les rapports De l’appareil. |
| Demandes de support/Lecture | Lisez les demandes et réponses de support Autopatch existantes. |
| Messages/Lecture | Lisez les messages publiés du tableau de bord Autopatch et Service Health. |
Étendues
Windows Autopatch prend en charge Intune balises d’étendue et les groupes délimités à utiliser pour la gestion distribuée des mises à jour. Utilisez Microsoft Intune pour créer et gérer des balises d’étendue.
- Windows Autopatch prend en charge Intune étendue pour les groupes Autopatch, les attributions de rôles autopatch, les stratégies de mise à jour et les rapports.
- Les messages, le support et les contacts Administration autopatch ne prennent pas en charge les étendues.
- Les groupes autopatch créés par les administrateurs délimités sont affectés aux mêmes balises d’étendue que l’utilisateur.
- Seuls les administrateurs délimités, avec les mêmes balises d’étendue qui leur sont affectées, peuvent modifier et gérer des groupes de mise à jour automatique.
- Lorsque vous créez des groupes autopatch et attribuez des balises d’étendue, les stratégies de mise à jour créées héritent des mêmes balises d’étendue.
- Les appareils affectés aux groupes Autopatch n’héritent pas des balises d’étendue de groupe Autopatch. Utilisez Intune pour attribuer une balise d’étendue aux appareils.
Autorisations pour les groupes autopatch
Les groupes de mise à jour automatique créent des groupes Microsoft Entra et mettent à jour des stratégies et attribuent les stratégies au groupe dans le cadre de son flux de travail. Pour terminer correctement le flux de travail, les deux autorisations sont requises. L’option permettant de créer des groupes autopatch n’est disponible que lorsque l’utilisateur a les deux autorisations activées.
- Configuration de l’appareil, toutes les autorisations
- Groupe Windows Autopatch, toutes les autorisations
Les groupes Windows Autopatch auxquels des balises délimitées sont affectées ne sont visibles que par les utilisateurs disposant de ces balises d’étendue exactes. Cela garantit que l’administrateur informatique peut gérer les déploiements en anneau à l’aide de groupes autopatch et ne sont pas affectés par les différences d’étendue.
Remarque
Le workflow de groupe Autopatch crée des anneaux de déploiement et leur attribue des stratégies de mise à jour. Si le rôle Autopatch inclut Tous les appareils dans l’étendue, le rôle d’administration de stratégie doit avoir Tous les appareils et Tous les utilisateurs dans son étendue.
L’absence d’autorisations Microsoft Entra peut empêcher l’utilisateur connecté de créer des groupes. L’utilisateur doit disposer des autorisations suffisantes pour créer des groupes. Pour plus d’informations, consultez Comment configurer la gestion des groupes en libre-service ou Créer des autorisations de groupes.
Lorsque l’utilisateur se voit attribuer des groupes délimités, il peut uniquement affecter des groupes délimités pour la distribution dans des anneaux de déploiement.
Administrateurs délimités et groupes de mise à l’échelle automatique
Dans Intune administrateurs délimités, seul un utilisateur administrateur auquel des balises d’étendue et des groupes délimités spécifiques peuvent affecter des stratégies uniquement aux groupes délimités.
Remarque
les administrateurs Intune ou les administrateurs de mise à jour avec les étendues Tous les appareils et Tous les utilisateurs ne peuvent pas voir le flux de travail Affectation en attente ; cela affecte uniquement les rôles auxquels des étendues sont attribuées via des groupes délimités spécifiques.
Administrateurs délimités et flux de travail de groupe autopatch
Dans le cadre du flux de travail de création de groupe Autopatch, Windows Autopatch crée des groupes Microsoft Entra et des stratégies de mise à jour pour les paramètres de déploiement sélectionnés. Pour affecter les stratégies de mise à jour aux anneaux de déploiement nouvellement créés, vous devez inclure le groupe Autopatch en tant que groupe délimité dans le rôle qui contient les autorisations de configuration de l’appareil.
Remarque
Un administrateur Intune ou un administrateur de rôle doit affecter le groupe Windows Autopatch nouvellement créé en tant que groupe délimité avant que le groupe Autopatch puisse être utilisé par le Administration délimité.
Une fois que le groupe Autopatch, dans le status affectation en attente, est ajouté en tant que groupe délimité, l’administrateur délimité peut affecter les stratégies de mise à jour que le groupe Autopatch devient Actif.
Le tableau suivant décrit le flux de travail de haut niveau :
| Étape | Description | Qui |
|---|---|---|
| Étape 1 : Créer un groupe Autopatch | Créez un groupe Autopatch. Les groupes autopatch inscrivent les appareils auprès du service Windows Autopatch lorsque vous créez ou modifiez un groupe Autopatch. Le groupe Autopatch, les anneaux de déploiement et les stratégies de mise à jour sont créés. Vous pouvez afficher les stratégies de mise à jour sous Mises à jour Windows. |
Administrateur délimité |
| Étape 2 : Contactez votre administrateur Intune ou administrateur de rôle pour affecter le groupe parent autopatch en tant que groupe délimité pour votre rôle | Incluez les informations suivantes :
|
Administrateur délimité |
| Étape 3 : Affecter le groupe parent Autopatch en tant que groupe délimité pour le rôle avec l’autorisation Configuration de l’appareil | Ajoutez le parent Autopatch en tant que groupe délimité à l’aide de l’option Affecter un groupe délimité. | Administrateur Intune ou administrateur de rôle Intune |
| Étape 4 : Terminer les affectations de stratégie afin que les groupes de correction automatique soient prêts à être utilisés | Sélectionnez Terminer les affectations de groupe si le groupe Autopatch reste en status Affectation en attente et que l’étape Attribuer un groupe délimité n’est pas encore terminée. Une fois l’affectation de stratégie réussie, le groupe Autopatch est défini sur Actif et prêt à être utilisé. L’affectation de groupe délimitée peut ne pas être immédiatement disponible. L’application peut prendre jusqu’à 10 minutes. |
Administrateur délimité |
Affecter des balises d’étendue à des groupes autopatch
Remarque
Si vous affectez des balises d’étendue à des groupes Autopatch existants, l’administrateur d’étendue doit être inclus en tant que groupe délimité dans son rôle avec les autorisations Configuration de l’appareil pour gérer le groupe Autopatch.
Windows Autopatch crée un groupe parent qui imbrique le groupe autopatch et les anneaux de déploiement qui peuvent être ajoutés en tant que groupe délimité. Vous trouverez le nom du groupe parent dans les propriétés du groupe Autopatch.
- Dans le centre d’administration Microsoft Intune, accédez à Groupes d’administration>du locataire Autopatch>sélectionnez un groupe. Tous les anneaux et stratégies du groupe Autopatch ont la même étendue.
- Dans l’option Ajouter un groupe à sonner, sélectionnez les groupes Microsoft Entra à affecter au groupe Autopatch. Seuls les groupes avec des objets d’étendue sont disponibles pour la sélection.
- Accédez à Propriétés>Étendue (Balises)>Modifier>Sélectionner les balises> d’étendue sélectionnez les balises que vous souhaitez ajouter au profil. Vous pouvez affecter un maximum de 100 balises d’étendue à un objet.
- La section Groupe d’étendues s’affiche lorsque le service détecte les groupes de mise à jour automatique créés avant les contrôles d’accès en fonction du rôle. Cela indique qu’un groupe Microsoft Entra est créé, qui peut être ajouté en tant que groupe délimité. Un administrateur délimité peut gérer ce groupe autopatch s’il est inclus dans son étendue.
- Suivez les étapes de la section Administrateurs délimités et Flux de travail de groupe autopatch pour affecter des groupes délimités.
- Sélectionnez Vérifier + enregistrer.
Problèmes connus
Windows 365 Entreprise permet aux administrateurs informatiques d’inscrire des appareils auprès de Windows Autopatch dans le cadre de la création de stratégie d’approvisionnement Windows 365. Vous devez être administrateur de service Intune pour effectuer cette action.
Résolution des problèmes généraux
| Scénario | Message | Cause | Solution |
|---|---|---|---|
| Vous recevez un message d’erreur lorsque vous essayez de créer, de modifier ou de supprimer un groupe de mise à jour automatique. | Vous ne disposez pas des autorisations suffisantes pour modifier ce groupe de mise à jour automatique. Vous pouvez uniquement modifier les groupes de correction automatique qui correspondent à l’étendue qui vous est attribuée. Ce groupe Autopatch a des balises d’étendue affectées supplémentaires qui ne correspondent pas à votre attribution de rôle. Ou L’envoi du groupe Autopatch a échoué et des balises d’étendue sont attribuées à l’utilisateur connecté. |
Le problème se produit lorsque vous modifiez un groupe Autopatch et que le service a détecté une incompatibilité dans vos balises d’étendue. | Vérifiez les balises d’étendue affectées au groupe Autopatch et au rôle d’attribution de stratégie. Le rôle d’attribution de stratégie peut avoir plus de balises d’étendue, mais doit inclure toutes les balises d’étendue affectées au groupe Autopatch. |
| Vous recevez un message d’erreur lorsque vous choisissez un appareil et l’action Attribuer un appareil en anneau dans le rapport d’appartenance aux groupes de correction automatique. | Vous ne disposez pas des autorisations suffisantes ou de l’étendue requise pour attribuer des appareils. | Le problème se produit lorsque autopatch ne parvient pas à remplir la liste des groupes autopatch, en raison d’une incompatibilité dans les balises d’étendue. | Vérifiez les balises d’étendue pour les groupes autopatch et votre rôle. Vérifiez qu’ils partagent au moins une balise d’étendue . |
| Vous recevez un message d’erreur lorsque vous choisissez un appareil et l’action Attribuer un appareil en anneau dans le rapport d’appartenance aux groupes de correction automatique. | Vous ne disposez pas des autorisations de groupe Autopatch suffisantes pour effectuer cette action. Le minimum de l’autorisation Lecture de groupe autopatch est requis. | Pour déplacer des appareils entre des anneaux de déploiement Autopatch, vous devez être autorisé à lire les groupes Autopatch. | Vérifiez que votre rôle inclut le groupe/l’autorisation Lecture autopatch. Accédez à Rôles d’administration > de > locataire Mon autorisation. |
| Vous recevez un message d’erreur lorsque vous sélectionnez un appareil dans le rapport d’appartenance des groupes autopatch. | Accès refusé | Vous n’avez pas l’autorisation Intune pour afficher les propriétés de l’appareil. | Vérifiez que votre rôle inclut appareils/l’autorisation Lecture gérés. Accédez à Rôles d’administration > de > locataire Mon autorisation. |
| Vous ne pouvez voir les onglets Mises en production, Anneaux de mise à jour et Surveiller que lorsque vous êtes connecté en tant qu’administrateur Windows Autopatch délégué. | Vous ne disposez pas de toutes les autorisations nécessaires pour afficher Windows Update. | Vérifiez que votre rôle inclut Organisation/l’autorisation Lecture. Accédez à Rôles d’administration > de > locataire Mon autorisation. | |
| Vous recevez un message d’erreur lorsque vous essayez de modifier un groupe autopatch existant qui vient d’être affecté à une balise d’étendue. Vous avez correctement ajouté le groupe d’étendues parent dans le rôle d’attribution de stratégie. | Vous ne disposez pas des autorisations suffisantes pour modifier ce groupe de mise à jour automatique. Vous pouvez uniquement modifier les groupes de correction automatique qui correspondent à l’étendue qui vous est attribuée. Ce groupe Autopatch a des balises d’étendue affectées supplémentaires qui ne correspondent pas à votre attribution de rôle. | Le problème se produit lorsque le service détecte que l’utilisateur connecté « Groupe Entra affecté » n’est pas dans le groupe délimité pour le rôle d’administrateur autopatch. Cela se produit avec les groupes autopatch préexistants. | Ajoutez le groupe Entra affecté en tant que groupe délimité au rôle d’administrateur Autopatch. |