Configurer l’administration basée sur les rôles pour Configuration Manager

S’applique à : Gestionnaire de Configuration (branche actuelle)

Dans Configuration Manager, l’administration basée sur les rôles combine des rôles de sécurité, des étendues de sécurité et des regroupements attribués pour définir l’étendue administrative de chaque utilisateur administratif. Une étendue administrative inclut les objets qu’un utilisateur administratif peut afficher dans la console Configuration Manager et les tâches associées à ces objets qu’il a l’autorisation d’effectuer.

Si vous n’êtes pas encore familiarisé avec ces concepts, consultez Principes de base de l’administration basée sur les rôles.

Utilisez les informations de cet article pour créer et configurer l’administration basée sur les rôles et les paramètres de sécurité associés.

Remarque

Les procédures décrites dans cet article supposent que votre utilisateur administratif est dans un rôle de sécurité avec les autorisations requises. Par exemple, les rôles Administrateur complet ou Administrateur de la sécurité .

Conseil

Utilisez l’outil d’administration et d’audit basé sur les rôles pour vous aider à effectuer les actions suivantes :

  • Autorisations de modèle pour un nouveau rôle que vous souhaitez créer.
  • Auditez tous les utilisateurs administratifs, collections et étendues de sécurité existants.
  • Auditer un utilisateur spécifique

Créer des rôles de sécurité personnalisés

Configuration Manager fournit plusieurs rôles de sécurité intégrés. Vous ne pouvez pas modifier les autorisations des rôles intégrés. Si vous avez besoin d’autres rôles, créez-en un personnalisé. Vous pouvez créer un rôle personnalisé pour accorder aux utilisateurs administratifs d’autres autorisations dont ils ont besoin et qui ne sont pas incluses dans un rôle intégré. En utilisant un rôle de sécurité personnalisé, vous pouvez leur attribuer les autorisations minimales requises. Un rôle personnalisé peut vous aider à éviter d’attribuer un rôle de sécurité qui accorde plus d’autorisations qu’il n’en a besoin.

Comment créer des rôles de sécurité personnalisés

Dans la console Configuration Manager, accédez à l’espace de travail Administration. Développez Sécurité, puis sélectionnez le nœud Rôles de sécurité . Utilisez ensuite l’un des processus suivants pour créer un rôle de sécurité :

Créer un rôle de sécurité personnalisé en copiant un rôle intégré

  1. Sélectionnez un rôle de sécurité existant à utiliser comme source pour le nouveau rôle.

  2. Sous l’onglet Accueil du ruban, dans le groupe Rôle de sécurité , sélectionnez Copier. Cette action crée une copie du rôle de sécurité source.

  3. Dans l’Assistant Copier le rôle de sécurité, spécifiez un Nom pour le nouveau rôle de sécurité personnalisé. La longueur maximale est de 256 caractères.

  4. Facultatif, mais recommandé, spécifiez une Description pour résumer l’objectif de ce rôle de sécurité personnalisé. La longueur maximale est de 512 caractères.

  5. Sous Autorisations, développez chaque type d’objet pour afficher les autorisations disponibles.

  6. Pour modifier une autorisation, sélectionnez la liste déroulante, puis choisissez Oui ou Non.

    Attention

    Lorsque vous configurez un rôle de sécurité personnalisé, accordez uniquement les autorisations requises par les utilisateurs affectés à ce rôle. Par exemple, l’autorisation Modifier pour l’objet Rôles de sécurité permet aux utilisateurs affectés de modifier n’importe quel rôle de sécurité accessible, même s’ils ne sont pas affectés à ce rôle de sécurité.

  7. Après avoir configuré les autorisations, sélectionnez OK pour enregistrer le nouveau rôle de sécurité.

Importer un rôle de sécurité qui a été exporté à partir d’une autre hiérarchie Configuration Manager

Importante

Importez uniquement les fichiers de configuration de rôle de sécurité personnalisés à partir d’une source approuvée. Lorsque vous exportez un rôle de sécurité personnalisé, enregistrez-le dans un emplacement sécurisé. Les fichiers XML ne sont pas signés numériquement.

  1. Sous l’onglet Accueil du ruban, dans le groupe Créer , choisissez Importer le rôle de sécurité.

  2. Spécifiez le fichier XML qui contient la configuration du rôle de sécurité exporté. Sélectionnez Ouvrir pour terminer la procédure et créer le rôle de sécurité.

  3. Après avoir importé un rôle de sécurité personnalisé, ouvrez ses propriétés. Affichez les autorisations pour confirmer qu’elles incluent les autorisations les moins nécessaires pour ce rôle. Modifiez les autorisations qui ne sont pas requises dans cet environnement.

Remarque

Vous ne pouvez pas exporter les rôles de sécurité intégrés.

Configurer des rôles de sécurité

Vous pouvez modifier les autorisations d’un rôle de sécurité personnalisé, mais vous ne pouvez pas modifier les rôles de sécurité intégrés.

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Sécurité, puis sélectionnez le nœud Rôles de sécurité.

  2. Sélectionnez le rôle de sécurité personnalisé que vous souhaitez modifier ou afficher.

  3. Sous l’onglet Accueil du ruban, dans le groupe Propriétés , sélectionnez Propriétés.

  4. Sous l’onglet Général de la fenêtre propriétés, modifiez le nom ou la description si nécessaire.

  5. Sous l’onglet Utilisateurs administratifs , affichez les utilisateurs associés à ce rôle. Pour modifier l’affectation, accédez aux propriétés de l’utilisateur administratif.

  6. Sous l’onglet Autorisations , développez chaque type d’objet pour afficher les autorisations disponibles.

  7. Pour modifier une autorisation, sélectionnez la liste déroulante, puis choisissez Oui ou Non.

    Attention

    Lorsque vous configurez un rôle de sécurité personnalisé, accordez uniquement les autorisations requises par les utilisateurs affectés à ce rôle. Par exemple, l’autorisation Modifier pour l’objet Rôles de sécurité permet aux utilisateurs affectés de modifier n’importe quel rôle de sécurité accessible, même s’ils ne sont pas affectés à ce rôle de sécurité.

  8. Lorsque vous avez terminé, sélectionnez OK pour enregistrer le rôle de sécurité personnalisé.

Configurer des étendues de sécurité pour un objet

Gérez les étendues de sécurité à partir de l’objet sécurisable, et non à partir de l’étendue de sécurité. Les seules propriétés que vous pouvez modifier sur une étendue de sécurité personnalisée sont le nom et la description. Vous ne pouvez pas modifier les deux étendues intégrées. Pour modifier le nom et la description d’une étendue personnalisée, vous avez besoin de l’autorisation Modifier pour l’objet Étendues de sécurité .

Lorsque vous créez un objet dans Configuration Manager, il est associé à chaque étendue de sécurité associée aux rôles de sécurité du compte utilisé pour créer l’objet. Ce comportement se produit lorsque ces rôles de sécurité fournissent l’autorisation Créer ou Définir l’étendue de sécurité . Après avoir créé un objet, vous pouvez modifier les étendues de sécurité et l’affecter à plusieurs étendues.

Par exemple, vous êtes affecté à un rôle de sécurité qui vous accorde l’autorisation de créer un groupe de limites. Ce rôle est associé à l’étendue de sécurité Administrateurs . Lorsque vous créez un groupe de limites, vous n’avez pas la possibilité d’attribuer des étendues de sécurité spécifiques. L’étendue de sécurité Administrateurs est automatiquement affectée au nouveau groupe de limites. Après avoir enregistré le nouveau groupe de limites, vous pouvez modifier les étendues de sécurité du groupe de limites.

Pour plus d’informations sur l’ajout d’une étendue pour un utilisateur, consultez Modifier l’étendue administrative d’un utilisateur administratif.

Comment créer une étendue de sécurité personnalisée

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Sécurité, puis sélectionnez le nœud Étendues de sécurité.

  2. Sous l’onglet Accueil du ruban, dans le groupe Créer , sélectionnez Créer une étendue de sécurité.

  3. Dans la fenêtre Créer une étendue de sécurité, spécifiez un nom d’étendue de sécurité. La longueur maximale est de 256 caractères.

  4. Facultatif, mais recommandé, spécifiez une Description pour résumer l’objectif de cette étendue de sécurité personnalisée. La longueur maximale est de 512 caractères.

  5. Sélectionnez ou supprimez les affectations d’utilisateurs administratifs. Vous pouvez les modifier après avoir créé l’étendue de sécurité.

  6. Pour enregistrer l’étendue de sécurité personnalisée, sélectionnez OK.

Comment configurer des étendues de sécurité pour un objet

  1. Dans la console Configuration Manager, sélectionnez un objet qui prend en charge l’affectation à une étendue de sécurité. Pour obtenir la liste des objets pris en charge, consultez Principes de base de l’administration basée sur les rôles - Étendues de sécurité.

  2. Sous l’onglet Accueil du ruban, dans le groupe Classifier , sélectionnez Définir les étendues de sécurité.

    Pour un dossier, accédez à l’onglet Dossier du ruban. Dans le groupe Actions , sélectionnez Définir les étendues de sécurité.

    Remarque

    Un élément peut faire l’objet d’une recherche dans des dossiers en dehors de l’étendue de sécurité d’un utilisateur si cet utilisateur partage une étendue de sécurité avec la personne qui a créé l’objet.

  3. Dans la fenêtre Définir les étendues de sécurité , sélectionnez ou effacez les étendues de sécurité de cet objet. Sélectionnez au moins une étendue de sécurité.

  4. Sélectionnez OK pour enregistrer les étendues de sécurité affectées.

Configurer des regroupements pour gérer la sécurité

Il n’existe aucune procédure pour configurer des regroupements pour l’administration basée sur les rôles. Les regroupements n’ont pas de configuration d’administration basée sur les rôles. Au lieu de cela, vous affectez des regroupements à un utilisateur administratif. Pour déterminer les actions qu’un utilisateur administratif peut effectuer sur une collection et ses membres, consultez les autorisations pour le type d’objet Collection sur le rôle de sécurité.

Lorsqu’un utilisateur administratif dispose d’autorisations sur une collection, il dispose également d’autorisations sur les regroupements qui sont limités à cette collection. Par exemple, votre organisation utilise un regroupement nommé Tous les bureaux. Il existe également une collection nommée All Amérique du Nord Desktops qui est limitée à la collection Tous les bureaux. Si un utilisateur administratif dispose d’autorisations sur Tous les bureaux, il dispose des mêmes autorisations pour la collection Tous les bureaux Amérique du Nord.

Un utilisateur administratif ne peut pas utiliser les autorisations Supprimer ou Modifier sur une collection qui lui est directement affectée. Ils peuvent utiliser ces autorisations sur les collections qui sont limitées à cette collection. Dans l’exemple précédent, l’utilisateur administratif peut supprimer ou modifier la collection All Amérique du Nord Desktops, mais il ne peut pas supprimer ou modifier la collection Tous les bureaux.

Créer un utilisateur administratif

Pour accorder aux individus ou aux membres d’un groupe de sécurité l’accès à la gestion des Configuration Manager, créez un utilisateur administratif. Spécifiez un compte Windows de l’utilisateur ou du groupe d’utilisateurs. Attribuez à chaque utilisateur administratif au moins un rôle de sécurité et une étendue de sécurité. Vous pouvez également affecter des regroupements pour limiter l’étendue administrative de l’utilisateur ou du groupe.

Comment créer un utilisateur administratif

  1. Dans la console Configuration Manager, accédez à l’espace de travail Administration, développez Sécurité, puis sélectionnez le nœud Utilisateurs administratifs.

  2. Sous l’onglet Accueil du ruban, dans le groupe Créer , sélectionnez Ajouter un utilisateur ou un groupe.

  3. Sélectionnez Parcourir, puis sélectionnez le compte d’utilisateur ou le groupe à utiliser pour ce nouvel utilisateur administratif dans Configuration Manager.

    Remarque

    Pour l’administration basée sur la console, vous pouvez uniquement spécifier des utilisateurs de domaine ou des groupes de sécurité de domaine en tant qu’utilisateur administratif.

  4. Pour rôles de sécurité associés, sélectionnez Ajouter pour ouvrir la liste des rôles de sécurité disponibles. Sélectionnez un ou plusieurs rôles de sécurité, puis sélectionnez OK.

  5. Choisissez l’une des options suivantes pour définir le comportement de l’objet sécurisable pour le nouvel utilisateur :

    • Toutes les instances des objets liés aux rôles de sécurité attribués : Cette option a les comportements suivants :

      • Étendue de sécurité : Tous
      • Regroupements : tous les systèmes et tous les utilisateurs et groupes d’utilisateurs
      • Les rôles de sécurité que vous attribuez à l’utilisateur définissent son accès aux objets.
      • Les nouveaux objets créés par cet utilisateur sont affectés à l’étendue de sécurité par défaut .
    • Seules les instances d’objets qui sont affectés aux étendues de sécurité et aux regroupements spécifiés : Cette option a les comportements suivants :

      • Étendue de sécurité : par défaut
      • Regroupements : tous les systèmes et tous les utilisateurs et groupes d’utilisateurs
      • Ces valeurs par défaut peuvent être différentes, car les étendues de sécurité et les collections réelles sont limitées à celles associées au compte que vous utilisez pour créer l’utilisateur administratif.
      • Ajoutez ou supprimez des étendues de sécurité et des regroupements pour personnaliser l’étendue administrative de cet utilisateur.

    Importante

    Après avoir créé l’utilisateur, affichez ses propriétés pour sélectionner une troisième option, Associer des rôles de sécurité attribués à des étendues de sécurité et des regroupements spécifiques. Pour plus d’informations, consultez Modifier l’étendue administrative d’un utilisateur administratif.

  6. Sélectionnez OK pour fermer la fenêtre et créer l’utilisateur administratif.

Modifier l’étendue administrative d’un utilisateur administratif

Vous pouvez modifier l’étendue administrative d’un utilisateur administratif en ajoutant ou en supprimant des rôles de sécurité, des étendues de sécurité et des regroupements associés à l’utilisateur. Chaque utilisateur administratif doit être associé à au moins un rôle de sécurité et une étendue de sécurité. Vous devrez peut-être affecter un ou plusieurs regroupements à l’étendue administrative de l’utilisateur. La plupart des rôles de sécurité interagissent avec les regroupements et ne fonctionnent pas correctement sans une collection affectée.

Lorsque vous modifiez un utilisateur administratif, vous pouvez modifier le comportement de l’association des objets sécurisables aux rôles de sécurité attribués. Les trois comportements que vous pouvez sélectionner sont les suivants :

  • Toutes les instances des objets liés aux rôles de sécurité attribués : cette option associe l’utilisateur administratif à l’étendue Tous , ainsi qu’aux collections Tous les systèmes et Tous les utilisateurs et Groupes d’utilisateurs . Les rôles de sécurité attribués à l’utilisateur définissent l’accès aux objets.

  • Uniquement les instances d’objets affectés aux étendues et regroupements de sécurité spécifiés : cette option associe l’utilisateur administratif aux mêmes étendues de sécurité et regroupements que ceux associés au compte que vous utilisez pour configurer l’utilisateur administratif. Cette option prend en charge l’ajout ou la suppression de rôles de sécurité et de regroupements pour personnaliser l’étendue administrative de l’utilisateur administratif.

  • Associer des rôles de sécurité attribués à des étendues de sécurité et des regroupements spécifiques : cette option vous permet de créer des associations spécifiques entre des rôles de sécurité individuels et des étendues de sécurité et des regroupements spécifiques pour l’utilisateur.

    Remarque

    Cette option est disponible uniquement lorsque vous modifiez les propriétés d’un utilisateur administratif.

La configuration actuelle du comportement de l’objet sécurisable modifie le processus que vous utilisez pour attribuer des rôles de sécurité supplémentaires. Utilisez les procédures suivantes basées sur les différentes options d’objets sécurisables pour vous aider à gérer un utilisateur administratif.

Utilisez la procédure suivante pour afficher et gérer la configuration des objets sécurisables pour un utilisateur administratif.

Pour afficher et gérer le comportement de l’objet sécurisable pour un utilisateur administratif

  1. Dans la console Configuration Manager, choisissez Administration.
  2. Dans l’espace de travail Administration , développez Sécurité, puis choisissez Utilisateurs administratifs.
  3. Sélectionnez l’utilisateur administratif que vous souhaitez modifier.
  4. Sous l’onglet Accueil , dans le groupe Propriétés , choisissez Propriétés.
  5. Choisissez l’onglet Étendues de sécurité pour afficher la configuration actuelle des objets sécurisables pour cet utilisateur administratif.
  6. Pour modifier le comportement de l’objet sécurisable, sélectionnez une nouvelle option pour le comportement de l’objet sécurisable. Après avoir modifié cette configuration, consultez la procédure appropriée pour obtenir des conseils supplémentaires sur la configuration des étendues de sécurité et des regroupements, ainsi que des rôles de sécurité pour cet utilisateur administratif.
  7. Choisissez OK pour terminer la procédure.

Utilisez la procédure suivante pour modifier un utilisateur administratif dont le comportement de l’objet sécurisable est défini sur Toutes les instances des objets liés aux rôles de sécurité attribués.

  1. Dans la console Configuration Manager, choisissez Administration.

  2. Dans l’espace de travail Administration , développez Sécurité, puis choisissez Utilisateurs administratifs.

  3. Sélectionnez l’utilisateur administratif que vous souhaitez modifier.

  4. Sous l’onglet Accueil , dans le groupe Propriétés , choisissez Propriétés.

  5. Choisissez l’onglet Étendues de sécurité pour confirmer que l’utilisateur administratif est configuré pour Toutes les instances des objets liés aux rôles de sécurité attribués.

  6. Pour modifier les rôles de sécurité attribués, choisissez l’onglet Rôles de sécurité .

    • Pour attribuer des rôles de sécurité supplémentaires à cet utilisateur administratif, choisissez Ajouter, cochez la case pour chaque rôle de sécurité supplémentaire que vous souhaitez attribuer, puis choisissez OK.
    • Pour supprimer des rôles de sécurité, sélectionnez un ou plusieurs rôles de sécurité dans la liste, puis choisissez Supprimer.
  7. Pour modifier le comportement de l’objet sécurisable, choisissez l’onglet Étendues de sécurité et choisissez une nouvelle option pour le comportement de l’objet sécurisable. Après avoir modifié cette configuration, consultez la procédure appropriée pour obtenir des conseils supplémentaires sur la configuration des étendues de sécurité et des regroupements, ainsi que des rôles de sécurité pour cet utilisateur administratif.

    Remarque

    Lorsque le comportement de l’objet sécurisable est défini sur Toutes les instances des objets liés aux rôles de sécurité attribués, vous ne pouvez pas ajouter ou supprimer des étendues de sécurité et des regroupements spécifiques.

  8. Choisissez OK pour effectuer cette procédure.

Utilisez la procédure suivante pour modifier un utilisateur administratif dont le comportement de l’objet sécurisable est défini sur Uniquement les instances d’objets affectés aux étendues de sécurité et aux collections spécifiées.

Option For : seules les instances d’objets qui sont affectés aux étendues de sécurité et aux regroupements spécifiés

  1. Dans la console Configuration Manager, choisissez Administration.

  2. Dans l’espace de travail Administration , développez Sécurité, puis choisissez Utilisateurs administratifs.

  3. Sélectionnez l’utilisateur administratif que vous souhaitez modifier.

  4. Sous l’onglet Accueil , dans le groupe Propriétés , choisissez Propriétés.

  5. Choisissez l’onglet Étendues de sécurité pour confirmer que l’utilisateur est configuré uniquement pour les instances d’objets affectés aux étendues de sécurité et aux regroupements spécifiés.

  6. Pour modifier les rôles de sécurité attribués, choisissez l’onglet Rôles de sécurité .

    • Pour attribuer des rôles de sécurité supplémentaires à cet utilisateur, choisissez Ajouter, cochez la case pour chaque rôle de sécurité supplémentaire que vous souhaitez attribuer, puis choisissez OK.
    • Pour supprimer des rôles de sécurité, sélectionnez un ou plusieurs rôles de sécurité dans la liste, puis choisissez Supprimer.
  7. Pour modifier les étendues de sécurité et les regroupements associés aux rôles de sécurité, choisissez l’onglet Étendues de sécurité .

    • Pour associer de nouvelles étendues de sécurité ou regroupements à tous les rôles de sécurité attribués à cet utilisateur administratif, choisissez Ajouter et sélectionnez l’une des quatre options. Si vous sélectionnez Étendue de sécurité ou Collection, cochez la case pour un ou plusieurs objets pour terminer cette sélection, puis choisissez OK.
    • Pour supprimer une étendue de sécurité ou une collection, choisissez l’objet , puis choisissez Supprimer.
  8. Choisissez OK pour effectuer cette procédure.

Utilisez la procédure suivante pour modifier un utilisateur administratif dont le comportement de l’objet sécurisable est défini sur Associer des rôles de sécurité attribués à des étendues de sécurité et des regroupements spécifiques.

Option For : Associer des rôles de sécurité attribués à des étendues de sécurité et des regroupements spécifiques

  1. Dans la console Configuration Manager, choisissez Administration.

  2. Dans l’espace de travail Administration , développez Sécurité, puis choisissez Utilisateurs administratifs.

  3. Sélectionnez l’utilisateur administratif que vous souhaitez modifier.

  4. Sous l’onglet Accueil , dans le groupe Propriétés , choisissez Propriétés.

  5. Choisissez l’onglet Étendues de sécurité pour confirmer que l’utilisateur administratif est configuré pour Associer des rôles de sécurité attribués à des étendues de sécurité et des regroupements spécifiques.

  6. Pour modifier les rôles de sécurité attribués, choisissez l’onglet Rôles de sécurité .

    • Pour attribuer des rôles de sécurité supplémentaires à cet utilisateur administratif, choisissez Ajouter. Dans la boîte de dialogue Ajouter un rôle de sécurité , sélectionnez un ou plusieurs rôles de sécurité disponibles, choisissez Ajouter, puis sélectionnez un type d’objet à associer aux rôles de sécurité sélectionnés. Si vous sélectionnez Étendue de sécurité ou Collection, cochez la case pour un ou plusieurs objets pour terminer cette sélection, puis choisissez OK.

      Remarque

      Vous devez configurer au moins une étendue de sécurité pour que les rôles de sécurité sélectionnés puissent être attribués à l’utilisateur administratif. Lorsque vous sélectionnez plusieurs rôles de sécurité, chaque étendue de sécurité et chaque collection que vous configurez sont associées à chacun des rôles de sécurité sélectionnés.

    • Pour supprimer des rôles de sécurité, sélectionnez un ou plusieurs rôles de sécurité dans la liste, puis choisissez Supprimer.

  7. Pour modifier les étendues de sécurité et les regroupements associés à un rôle de sécurité spécifique, choisissez l’onglet Étendues de sécurité , sélectionnez le rôle de sécurité, puis choisissez Modifier.

    • Pour associer de nouveaux objets à ce rôle de sécurité, choisissez Ajouter, puis sélectionnez un type d’objet à associer aux rôles de sécurité sélectionnés. Si vous sélectionnez Étendue de sécurité ou Collection, cochez la case pour un ou plusieurs objets pour terminer cette sélection, puis choisissez OK.

      Remarque

      Vous devez configurer au moins une étendue de sécurité.

    • Pour supprimer une étendue de sécurité ou une collection associée à ce rôle de sécurité, sélectionnez l’objet, puis choisissez Supprimer.

    • Une fois que vous avez terminé de modifier les objets associés, choisissez OK.

  8. Choisissez OK pour effectuer cette procédure.

    Attention

    Lorsqu’un rôle de sécurité accorde aux utilisateurs administratifs l’autorisation de déploiement de regroupement, ces utilisateurs administratifs peuvent distribuer des objets à partir de n’importe quelle étendue de sécurité pour laquelle ils disposent d’autorisations de lecture d’objet, même si cette étendue de sécurité est associée à un autre rôle de sécurité.

Automatiser avec Windows PowerShell

Vous pouvez utiliser les applets de commande PowerShell suivantes pour automatiser certaines de ces tâches :

Gérer les utilisateurs administratifs :

Gérer les rôles et les étendues sur les utilisateurs :

Gérer les rôles de sécurité :

Gérer les autorisations sur les rôles de sécurité :

Gérer les étendues de sécurité :

Gérer l’étendue de sécurité des objets :

Prochaines étapes

Outil d’administration et d’audit basé sur les rôles

Comptes utilisés dans Configuration Manager