Contrôle d’accès en fonction du rôle Intune pour les clients attachés au locataire

S’applique à : Configuration Manager (branche actuelle)

À compter de Configuration Manager version 2207, vous pouvez utiliser le contrôle d’accès en fonction du rôle (RBAC) Intune lors de l’interaction avec des appareils attachés au locataire à partir du Centre d’administration Microsoft Intune. Par exemple, lorsque vous utilisez Intune comme autorité de contrôle d’accès en fonction du rôle, un utilisateur disposant du rôle Opérateur de support technique n’a pas besoin d’un rôle de sécurité attribué ou d’autorisations supplémentaires de Configuration Manager. Le contrôle d’accès en fonction du rôle Intune gère les autorisations sur toutes les pages d’appareils connectés au cloud dans le Centre d’administration Microsoft Intune, telles que la chronologie des appareils, CMPivot et les scripts.

Importante

Actuellement, toute application du contrôle d’accès en fonction du rôle Intune pour l’affichage et l’exécution d’actions sur les appareils attachés au locataire à partir du Centre d’administration Microsoft Intune est facultative. Nous recommandons à tous les administrateurs disposant d’environnements Configuration Manager connectés au cloud de commencer à vérifier les autorisations de contrôle d’accès en fonction du rôle à partir d’Intune.

Les trois étapes générales pour configurer Intune en tant qu’autorité de contrôle d’accès en fonction du rôle pour les appareils attachés au locataire sont les suivantes :

Configuration requise

Limitations

  • Actuellement, l’étendue n’est pas prise en charge lorsque vous utilisez uniquement le contrôle d’accès en fonction du rôle Intune pour l’affichage et l’exécution d’actions sur les appareils attachés au locataire à partir du Centre d’administration Microsoft Intune.
  • Actuellement, la page Mises à jour logicielles n’est pas disponible pour les utilisateurs cloud uniquement lors de l’utilisation de l’anneau de mise à jour anticipée de Configuration Manager version 2207.

Désactiver l’application du contrôle d’accès en fonction du rôle Configuration Manager pour les clients attachés au cloud

Pour utiliser le contrôle d’accès en fonction du rôle Intune pour l’attachement de locataire plutôt que le contrôle d’accès en fonction du rôle Configuration Manager, suivez les instructions ci-dessous :

  1. Dans la console Configuration Manager, accédez à Administration>Cloud Services>Cloud Attach.

  2. L’emplacement de l’option de contrôle d’accès en fonction du rôle varie selon que votre environnement est déjà attaché au cloud ou non.

    • Si votre environnement est déjà attaché au cloud, ouvrez les propriétés de CoMgmtSettingsProd. Si vous n’avez pas d’appareils chargés dans le centre d’administration, configurez d’abord cette option. Pour plus d’informations, consultez Activer l’attachement cloud.
    • Si votre environnement n’est pas attaché au cloud, sélectionnez Configurer l’attachement au cloud pour ouvrir l’Assistant Configuration de l’attachement au cloud.
  3. Dans l’onglet Configurer le chargement ou la page de l’Assistant, décochez la case de l’option suivante sous l’en-tête Contrôle d’accès en fonction du rôle :

    Appliquer le contrôle d’accès en fonction du rôle (RBAC) de Configuration Manager pour les demandes de console cloud qui interagissent avec Configuration Manager

  4. Choisissez OK pour enregistrer la modification apportée aux propriétés CoMgmtSettingsProd , ou continuez pour terminer l’Assistant Attachement au cloud.

Capture d’écran des propriétés CoMgmtSettingsProd dans Configuration Manager. Dans la capture d’écran, l’onglet Configurer le chargement s’affiche avec une zone rouge décrivant la section contrôle d’accès en fonction du rôle.

Activer le contrôle d’accès en fonction du rôle à partir d’Intune

Pour permettre à Intune de gérer les autorisations utilisateur pour les appareils connectés au cloud, procédez comme suit :

  1. Ouvrez le Centre d’administration Microsoft Intune et connectez-vous en tant qu’utilisateur disposant de l’autorisation Rôles/Mise à jour . Pour plus d’informations sur l’autorisation, consultez Autorisations de rôle personnalisées dans Intune.
  2. Sélectionnez Administration client>Connecteurs et jetons>Microsoft Endpoint Configuration Manager.
  3. Dans la bannière, sélectionnez Vous pouvez également gérer les autorisations utilisateur à partir d’Intune. Cliquez ici pour en savoir plus sur cette option.
  4. Le menu volant Utiliser le RBAC Intune s’affiche.
  5. Sélectionnez Activé pour l’option Utiliser RBAC Intune , puis choisissez Appliquer.
  6. La modification peut prendre environ 10 minutes pour prendre effet.

Capture d’écran de la page des jetons et des connecteurs Microsoft Configuration Manager dans le Centre d’administration Microsoft Intune. Le menu volant Utiliser RBAC Intune s’affiche dans la capture d’écran.

Vérifier les autorisations de contrôle d’accès en fonction du rôle à partir d’Intune

Une fois qu’Intune est défini sur l’autorité de contrôle d’accès en fonction du rôle, vérifiez les autorisations pour vos rôles. Si nécessaire, vous pouvez ajouter ces autorisations aux rôles personnalisés que vous avez créés dans Intune.

  1. Ouvrez le Centre d’administration Microsoft Intune et connectez-vous.
  2. Sélectionnez Rôles d’administration> deslocataires.
  3. Sélectionnez un rôle, tel que Gestionnaire d’applications, et passez en revue les autorisations répertoriées pour les appareils connectés au cloud. Si nécessaire, modifiez les autorisations pour les rôles personnalisés que vous avez créés dans Intune.

Les autorisations Intune suivantes contrôlent l’accès aux appareils connectés au cloud Configuration Manager :

Autorisation Description Rôles intégrés Intune avec l’autorisation
Appareils attachés au cloud\Afficher les collections Affiche la page Regroupements pour les appareils connectés au cloud Configuration Manager Gestionnaire d’applications, Endpoint Security Manager, opérateur lecture seule, administrateur scolaire, gestionnaire de profil de stratégie, opérateur de support technique
Appareils connectés au cloud\Afficher l’Explorateur de ressources Affiche la page Explorateur de ressources pour les appareils connectés au cloud Configuration Manager Gestionnaire d’applications, Endpoint Security Manager, opérateur lecture seule, administrateur scolaire, gestionnaire de profil de stratégie, opérateur de support technique
Appareils connectés au cloud\Afficher la chronologie Affiche la page Chronologie pour les appareils connectés au cloud Configuration Manager Gestionnaire d’applications, Endpoint Security Manager, opérateur lecture seule, administrateur scolaire, gestionnaire de profil de stratégie, opérateur de support technique
Appareils connectés au cloud\Afficher les mises à jour logicielles Affiche la page Mises à jour logicielles pour les appareils connectés au cloud Configuration Manager Gestionnaire d’applications, Endpoint Security Manager, opérateur lecture seule, administrateur scolaire, opérateur de support technique
Appareils attachés au cloud\Afficher les scripts Affiche la page Scripts pour les appareils connectés au cloud Configuration Manager Endpoint Security Manager, opérateur Lecture seule, administrateur scolaire, gestionnaire de profil de stratégie, opérateur de support technique
Appareils attachés au cloud\Exécuter le script Affiche l’action Exécuter le script et permet à l’utilisateur d’exécuter des scripts sur des appareils connectés au cloud Configuration Manager Administrateur scolaire, opérateur du support technique
Appareils connectés au cloud\Exécuter une requête CMPivot Affiche la page CMPivot pour les appareils connectés au cloud Configuration Manager Gestionnaire de sécurité des points de terminaison, administrateur scolaire, opérateur du support technique
Appareils connectés au cloud\Afficher les détails du client Affiche la page Détails du client pour les appareils connectés au cloud Configuration Manager Gestionnaire d’applications, Endpoint Security Manager, opérateur lecture seule, administrateur scolaire, gestionnaire de profils de stratégie, opérateur de support technique
Appareils connectés au cloud\Afficher les applications Affiche la page Applications pour les appareils connectés au cloud Configuration Manager Gestionnaire d’applications, opérateur lecture seule, administrateur scolaire, gestionnaire de profil de stratégie, opérateur de support technique
Appareils connectés au cloud\Effectuer des actions d’application Affiche les actions de l’application dans la page Applications et permet à l’utilisateur d’effectuer des actions d’application sur les appareils connectés au cloud Configuration Manager Gestionnaire d’applications, administrateur scolaire, opérateur du support technique
Tâches distantes/Rotation de BitLockerKeys (préversion) Lance une rotation de clé pour les mots de passe de récupération BitLocker sur l’appareil. Affiche la page Clés de récupération pour les appareils connectés au cloud Configuration Manager. Endpoint Security Manager, opérateur du support technique

Foire aux questions

J’ai des utilisateurs cloud uniquement qui ont besoin d’accéder aux appareils attachés au locataire dans Intune. Cela leur donnera-t-il accès ?

Oui. Lorsqu’un utilisateur est dans le cloud uniquement, dans ce scénario, ce qui signifie qu’il se trouve dans l’ID Microsoft Entra et qu’il peut accéder à Intune, le RBAC Intune lui donne accès aux appareils attachés au locataire.

Que se passe-t-il si plusieurs hiérarchies Configuration Manager sont connectées à mon locataire ?

Le paramètre Utiliser RBAC Intune dans le Centre d’administration Microsoft Intune s’applique à toutes les hiérarchies Configuration Manager répertoriées dans le locataire.

Que se passe-t-il si les paramètres Configuration Manager et Intune ne sont pas incompatibles ?

Si le bouton bascule Utiliser le contrôle d’accès en fonction du rôle Intune dans Intune est défini sur Désactivé, l’accès en fonction du rôle à Configuration Manager est appliqué, même si la case Appliquer le contrôle d’accès en fonction du rôle Configuration Manager pour les demandes de console cloud qui interagissent avec Configuration Manager est désactivée. La désactivation de l’option Appliquer le RBAC Configuration Manager pour les requêtes de console cloud qui interagissent avec Configuration Manager n’a aucun effet tant que le bouton bascule Utiliser RBAC Intune dans Intune n’est pas défini sur Activé.

Que se passe-t-il si ma hiérarchie de test est configurée pour utiliser intune RBAC, mais que ma hiérarchie de production ne l’est pas et qu’elle se trouve dans le même locataire ?

Le paramètre Utiliser RBAC Intune s’applique à toutes les hiérarchies Configuration Manager répertoriées dans le locataire. Les utilisateurs cloud uniquement peuvent accéder aux appareils attachés au locataire qui sont chargés à partir de la hiérarchie de test, car vous avez également décoché la case pour appliquer le contrôle d’accès en fonction du rôle (RBAC) de Configuration Manager. Si un utilisateur cloud uniquement tente d’accéder à un appareil attaché au locataire chargé à partir de l’environnement de production, il reçoit une erreur, car les appareils de production appliquent configuration Manager RBAC. L’utilisateur cloud uniquement reçoit une erreur similaire au message suivant : Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.

Étapes suivantes

  • Passer en revue la chronologie d’un appareil connecté au cloud
  • Exécuter une requête CMPivot sur un appareil attaché au cloud