Contrôle d’accès basé sur un rôle dans Microsoft Intune.

Le contrôle d’accès en fonction du rôle (RBAC) vous permet de gérer qui a accès aux ressources de votre organisation et ce qu’ils peuvent faire avec ces ressources. En attribuant des rôles à vos utilisateurs Intune, vous pouvez limiter ce qu’ils peuvent voir et modifier. Chaque rôle a un jeu d’autorisations qui déterminent ce à quoi les utilisateurs disposant de ce rôle peuvent accéder et ce qu’ils peuvent modifier au sein de votre organisation.

Pour créer, modifier ou attribuer des rôles, votre compte doit disposer de l’une des autorisations suivantes dans l’ID Microsoft Entra :

  • Administrateur général
  • Administrateur de service Intune (également appelé Administrateur Intune)

Rôles

Un rôle définit le jeu d’autorisations accordées aux utilisateurs affectés à ce rôle. Vous pouvez utiliser les rôles intégrés et personnalisés. Les rôles intégrés couvrent des scénarios courants dans Intune. Vous pouvez créer vos propres rôles personnalisés avec le jeu d’autorisations exact dont vous avez besoin. Plusieurs rôles Microsoft Entra ont des autorisations sur Intune. Pour afficher un rôle dans le Centre d’administration Intune, accédez à Administration> du locataireRôles>Tous les rôles> choisissent un rôle. Vous pouvez gérer le rôle sur les pages suivantes :

  • Propriétés : nom, description, autorisations et balises d’étendue pour le rôle.
  • Affectations : liste d’attributions de rôles identifiant quels utilisateurs ont accès à quels utilisateurs/appareils. Un rôle peut avoir plusieurs attributions, et un utilisateur peut figurer dans plusieurs attributions.

Remarque

Pour pouvoir administrer Intune, une licence Intune doit vous être attribuée. Vous pouvez également autoriser les utilisateurs sans licence à administrer Intune en définissant l’option Autoriser l’accès aux administrateurs sans licence sur Oui.

Rôles intégrés

Vous pouvez attribuer des rôles intégrés aux groupes sans configuration supplémentaire. Vous ne pouvez pas supprimer ou modifier le nom, la description, le type ou les autorisations d’un rôle intégré.

  • Gestionnaire d’applications : gère les applications mobiles et gérées, peut lire les informations de l’appareil et peut afficher les profils de configuration de l’appareil.
  • Endpoint Privilege Manager : gère les stratégies Endpoint Privilege Management dans la console Intune.
  • Lecteur de privilèges de point de terminaison : les lecteurs de privilèges de point de terminaison peuvent afficher les stratégies de gestion des privilèges de point de terminaison dans la console Intune.
  • Gestionnaire de sécurité des points de terminaison : gère les fonctionnalités de sécurité et de conformité, notamment les bases de référence de sécurité, la conformité des appareils, l’accès conditionnel et Microsoft Defender pour point de terminaison.
  • Opérateur du support technique : effectue des tâches à distance sur les utilisateurs et les appareils, et peut attribuer des applications ou des stratégies aux utilisateurs ou aux appareils.
  • Administrateur de rôles Intune: gère les rôles Intune personnalisés et ajoute des affectations pour les rôles Intune intégrés. C’est le seul rôle Intune qui peut affecter des autorisations aux administrateurs.
  • Gestionnaire de stratégie et de profil : gère la stratégie de conformité, les profils de configuration, l’inscription auprès d’Apple, les identificateurs d’appareils d’entreprise et les bases de référence de la sécurité.
  • Gestionnaire des messages organisationnels : gère les messages organisationnels dans la console Intune.
  • Opérateur en lecture seule : affiche des informations sur les utilisateurs, les appareils, l’inscription, la configuration et les applications. Impossible d’apporter des modifications à Intune.
  • Administrateur scolaire : gère les Windows 10 dans Intune pour l'Éducation.
  • Administrateur de PC cloud : un administrateur de PC cloud dispose d’un accès en lecture et en écriture à toutes les fonctionnalités de PC cloud situées dans la zone PC cloud.
  • Lecteur de PC cloud : un lecteur de PC cloud dispose d’un accès en lecture à toutes les fonctionnalités de PC cloud situées dans la zone PC cloud.

Rôles personnalisés

Vous pouvez créer vos propres rôles avec des autorisations personnalisées. Pour plus d’informations sur les rôles personnalisés, consultez Créer un rôle personnalisé.

Rôles Microsoft Entra avec accès Intune

Rôle Microsoft Entra Toutes les données Intune Données d’audit Intune
Administrateur général Lecture/écriture Lecture/écriture
Administrateur de service Intune Lecture/écriture Lecture/écriture
Administrateur de l’accès conditionnel Aucun Aucun
Administrateur de sécurité Lecture seule (autorisations administratives complètes pour le nœud Sécurité du point de terminaison) Lecture seule
Opérateur de sécurité Lecture seule Lecture seule
Lecteur de sécurité Lecture seule Lecture seule
Administrateur de conformité Aucun Lecture seule
Administrateur de conformité des données Aucun Lecture seule
Lecteur global (ce rôle équivaut au rôle Opérateur du support technique Intune) Lecture seule Lecture seule
Administrateur du support technique (ce rôle équivaut au rôle Opérateur du support technique Intune) Lecture seule Lecture seule
Lecteur de rapports Aucune Lecture seule

Conseil

Intune affiche également trois extensions Microsoft Entra : Utilisateurs, Groupes et Accès conditionnel, qui sont contrôlées à l’aide du RBAC Microsoft Entra. En outre, l’administrateur de compte d’utilisateur effectue uniquement des activités utilisateur/groupe Microsoft Entra et ne dispose pas des autorisations complètes pour effectuer toutes les activités dans Intune. Pour plus d’informations, consultez RBAC avec l’ID Microsoft Entra.

Attributions de rôle

Une attribution de rôle définit :

  • Les utilisateurs affectés au rôle.
  • Les ressources qu’ils peuvent voir.
  • Les ressources qu’ils peuvent modifier.

Vous pouvez affecter des rôles personnalisés et intégrés à vos utilisateurs. Pour être affecté à un rôle Intune, l’utilisateur doit disposer d’une licence Intune. Pour afficher une attribution de rôle, choisissezAdministration> du locataire Intune>Rôles>Tous les rôles> choisissent un rôle >Attributions> choisissez une attribution. Dans la page Propriétés , vous pouvez modifier :

  • Notions de base : nom et description des attributions.
  • Membre : tous les utilisateurs des groupes de sécurité Azure listés sont autorisés à gérer les utilisateurs/appareils figurant dans Étendue (groupes).
  • Étendue (Groupes) : les groupes d’étendues sont des groupes de sécurité Microsoft Entra d’utilisateurs ou d’appareils ou des deux pour lesquels les administrateurs dans cette attribution de rôle sont limités à l’exécution d’opérations. Par exemple, le déploiement d’une stratégie ou d’une application sur un utilisateur ou le verrouillage à distance d’un appareil. Tous les utilisateurs et appareils de ces groupes de sécurité Microsoft Entra peuvent être gérés par les utilisateurs dans Membres.
  • Étendue (balises) : les utilisateurs figurant dans Membres peuvent voir les ressources qui ont les mêmes balises d’étendue.

Remarque

Les balises d’étendue sont des valeurs de texte de forme libre définies par un administrateur, puis ajoutées à une attribution de rôle. La balise d’étendue ajoutée à un rôle contrôle la visibilité du rôle lui-même, tandis que la balise d’étendue ajoutée dans l’attribution de rôle limite la visibilité des objets Intune (tels que les stratégies et les applications) ou des appareils aux seuls administrateurs de cette attribution de rôle, car l’attribution de rôle contient une ou plusieurs balises d’étendue correspondantes.

Attributions de rôles multiples

Si un utilisateur a plusieurs attributions de rôles, autorisations et balises d’étendue, ces attributions de rôles s’étendent à différents objets comme suit :

  • Les autorisations sont incrémentielles dans le cas où deux rôles ou plus accordent des autorisations à un même objet. Un utilisateur disposant d’autorisations de lecture à partir d’un rôle et de lecture/écriture à partir d’un autre rôle, par exemple, dispose d’une autorisation effective de lecture/écriture (en supposant que les affectations pour les deux rôles ciblent les mêmes balises d’étendue).
  • Les autorisations d’affectation et les balises d’étendue s’appliquent uniquement aux objets (tels que les stratégies ou applications) dans l’Étendue (groupe) de l’affectation de ce rôle. Les autorisations d’affectation et les balises d’étendue ne s’appliquent pas aux objets dans d’autres attribution de rôles, sauf si l’autre attribution les accorde spécifiquement.
  • Les autres autorisations (telles que Créer, Lire, Mettre à jour et Supprimer) et balises d’étendue s’appliquent à tous les objets du même type (par exemple toutes les stratégies ou toutes les applications) dans toutes les affectations de l’utilisateur.
  • Les autorisations et les balises d’étendue pour les objets de types différents (tels que les stratégies ou applications) ne s’appliquent pas les unes aux autres. Par exemple, une autorisation de lecture pour une stratégie ne fournit pas d’autorisation de lecture aux applications dans les attributions de l’utilisateur.
  • Lorsqu’il n’y a pas de balises d’étendue ou que certaines balises d’étendue sont affectées à partir de différentes affectations, un utilisateur peut uniquement voir les appareils qui font partie de certaines balises d’étendue et ne peut pas voir tous les appareils.

Prochaines étapes