Vous pouvez créer des rôles qui accordent des types spécifiques d'accès à Workspace ONE UEM à technologie AirWatch. Vous définissez les rôles des utilisateurs individuels et des groupes en fonction des niveaux d'accès à UEM Console qui vous sont utiles.
Par exemple, les administrateurs du support technique au sein de votre entreprise pourraient avoir un accès limité dans la console, tandis que les gestionnaires informatiques disposent de privilèges plus étendus. Pour plus d'informations sur cet exemple, reportez-vous au cas d'utilisation Comment créer un administrateur de support technique restrictif et ajouter un rôle lui donnant des fonctions spécifiques.
Pour permettre un contrôle de l'accès basé sur les rôles, vous devez d'abord configurer des rôles utilisateur et administrateur dans UEM Console. Les ressources spécifiques, également appelées autorisations, définissent ces rôles qui permettent ou non l'accès à diverses fonctionnalités au sein d'UEM Console. Vous pouvez créer des rôles utilisateur autorisant l’accès au portail self-service.
Étant donné que les rôles (en particulier les ressources ou les autorisations) déterminent ce que les utilisateurs et les administrateurs peuvent et ne peuvent pas faire dans UEM Console, veillez à accorder les autorisations ou les ressources appropriées. Par exemple, si vous avez besoin que les administrateurs saisissent un commentaire avant qu'un effacement des données professionnelles ne soit effectué sur un terminal, le rôle doit non seulement avoir l'autorisation de procéder à l'effacement des données professionnelles sur un terminal, mais aussi d'ajouter un commentaire.
Les rôles sont importants pour maintenir la sécurité de votre flotte de terminaux, par exemple, la création d'utilisateurs préenrôlés, qui est un privilège administrateur de niveau élevé. Traitez les informations d'identification de l'utilisateur préenrôlé de la même manière que les privilèges d'administrateur et ne divulguez pas les informations d'identification de l'utilisateur.
Vous pouvez sélectionner l'un des nombreux rôles par défaut déjà définis par Workspace ONE UEM à technologie AirWatch. Ces rôles par défaut sont disponibles avec chaque mise à niveau et vous aident à attribuer rapidement des rôles aux nouveaux utilisateurs. Vous pouvez personnaliser davantage les privilèges et les autorisations utilisateur si besoin.
Contrairement aux rôles par défaut, les rôles personnalisés doivent être mis à jour manuellement avec chaque mise à niveau de Workspace ONE UEM.
Chaque type de rôle présente des avantages et des inconvénients. Les rôles par défaut représentent un gain de temps à la création intégrale de rôles : ils correspondent à un certain nombre de droits administratifs et sont mis à jour automatiquement en même temps que les nouveaux paramètres et fonctions. Cependant, les rôles par défaut pourraient ne pas correspondre exactement à votre organisation ou à votre déploiement MDM, c'est pourquoi vous pouvez créer des rôles personnalisés.
Les rôles sont disponibles par défaut pour les utilisateurs finaux dans UEM Console.
Les rôles personnalisés vous permettent de personnaliser autant de rôles que vous le souhaitez et d'apporter des modifications plus ou moins importantes à différents utilisateurs et administrateurs. Cependant, vous devez conserver manuellement les rôles personnalisés dans le temps et les mettre à jour avec de nouvelles fonctionnalités.
Si aucun des rôles par défaut disponibles ne convient à votre entreprise, nous vous conseillons de modifier un rôle existant et de créer un rôle utilisateur personnalisé.
Créez un rôle utilisateur final personnalisé en modifiant un rôle par défaut inclus avec UEM console.
Les rôles suivants sont disponibles par défaut pour les administrateurs dans Workspace ONE UEM Console.
Utilisez l'outil de comparaison des rôles admin pour comparer les autorisations spécifiques de deux rôles admin. Pour plus d'informations, reportez-vous à la section sur cette page intitulée Créer un rôle d'administrateur.
Rôles | Description |
---|---|
Administrateur système | Le rôle Administrateur système permet un accès complet à un environnement Workspace ONE UEM. Ceci comprend l'accès aux paramètres de sécurité et de mot de passe, à la gestion de sessions et aux informations d'audit d'UEM console contenues dans l'onglet Administration de la page Configuration du système. Ce rôle est limité aux responsables de l'environnement, par exemple, les équipes opérationnelles SaaS pour tous les environnements SaaS hébergés par VMware. |
Administrateur AirWatch | Le rôle d'administrateur AirWatch offre un accès complet à l'environnement Workspace ONE UEM. Cependant, cet accès exclut l'onglet Administration de la page Configuration du système, car cet onglet gère les paramètres d'UEM Console au plus haut niveau. Ce rôle est limité aux employés de VMware ayant accès aux environnements à des fins de dépannage, d'installation et de configuration. |
Console administrateur | Le rôle administrateur de la console est le rôle par défaut pour les environnements SaaS partagés. Ce rôle comprend des fonctionnalités limitées pour les attributs de politique de conformité, la création de rapports et la sélection de groupes organisationnels. |
Gestionnaire de terminaux | Le rôle de gestionnaire de terminaux offre un accès important à UEM Console. Toutefois, ce rôle n'est pas conçu pour configurer la plupart des configurations système. Ces configurations incluent Active Directory (AD) /Lightweight Directory Access Protocol (LDAP), le protocole SMTP (Simple Mail Transfer Protocol), les hubs d'interface terminal-UEM tels qu'Intelligent Hub, etc. À la place, nous vous conseillons de recourir à un rôle de niveau supérieur comme celui d'administrateur AirWatch ou d'administrateur système. |
Affichage des rapports | Le rôle d’affichage des rapports permet d’afficher les données collectées via la gestion de terminaux mobiles (MDM). Ce rôle limite l'accès à la génération, à l'affichage, à l'exportation et au suivi des rapports depuis UEM Console. |
Gestion de contenu | Le rôle de gestion du contenu comprend uniquement l'accès à la gestion de VMware Content Locker. Utilisez ce rôle pour les administrateurs spécialisés en charge de l'importation et de la gestion du contenu d'un terminal. |
Gestion d'applications | Le rôle de Gestion d'applications offre un accès pour déployer et gérer les applications internes et publiques de la flotte de terminaux. Utilisez ce rôle pour les administrateurs de gestion d'applications. |
Support technique | Le rôle de support technique fournit les outils nécessaires à la plupart des fonctions de support technique informatique de Niveau 1. L'outil principal disponible dans ce rôle consiste à afficher les informations du terminal et à résoudre les problèmes par des commandes à distance. Cependant, ce rôle contient également des capacités de recherche de terminaux et de visualisation des rapports. |
Administrateur App Catalog uniquement | Le rôle Administrateur App Catalog uniquement a globalement les mêmes autorisations que le rôle Gestion d'applications. À ces autorisations s'ajoute la possibilité d'ajouter et de gérer les comptes administrateur et utilisateur, les groupes d'administrateurs et d'utilisateurs, les détails sur les terminaux et les étiquettes. |
Lecture seule | Le rôle en lecture seule offre un accès à la plupart des éléments d'UEM Console, mais en lecture seule uniquement. Utilisez ce rôle pour vérifier ou enregistrer les paramètres dans un environnement Workspace ONE UEM. Ce rôle n'est pas utile pour les opérateurs ou administrateurs système. |
Administrateur Horizon | Le rôle Administrateur Horizon est un ensemble de permissions spécifiquement conçu pour compléter une configuration Workspace ONE UEM intégrée à VMware Horizon View. |
Administration de NSX | Le rôle Administrateur NSX est un ensemble de permissions spécifiquement conçu pour compléter VMware NSX intégré à Workspace ONE UEM. Ce rôle propose un ensemble complet d'autorisations pour la gestion du système et des certificats, et permet aux administrateurs de relier la sécurité des points de terminaison à celle des centres de données. |
Officier de confidentialité | Le rôle Responsable de la protection fournit un accès en lecture à l'aperçu du Monitor, à l'affichage en liste des terminaux, aux paramètres du système View et aux autorisations de modification complètes des paramètres de confidentialité. |
Si les rôles par défaut disponibles conviennent à votre entreprise, nous vous conseillons de modifier un rôle existant en un rôle utilisateur personnalisé.
Créez un rôle administrateur personnalisé en modifiant un rôle par défaut inclus avec UEM console.
Étapes suivantes : Pour plus d'informations, reportez-vous à la section sur cette page intitulée Créer un rôle d'administrateur.
Vous pouvez activer ou désactiver les autorisations pour tous les paramètres et ressources disponibles dans Workspace ONE UEM à technologie AirWatch. Ces paramètres accordent ou limitent les fonctionnalités de la console pour chaque membre de votre équipe d'administrateurs, vous permettant ainsi d'établir une hiérarchie d'administrateurs adaptée à vos besoins.
La création de plusieurs rôles administrateurs représente un gain de temps. Effectuer des configurations complètes au sein de différents groupes organisationnels signifie que vous pouvez modifier les autorisations d'un administrateur spécifique à tout moment.
Si vous modifiez un rôle qui est utilisé par un administrateur, la modification ne s'applique que lorsque l'administrateur se déconnecte, puis se reconnecte.
Naviguez vers Comptes > Administrateurs > Rôles.
Vous pouvez supprimer un rôle inutilisé de votre bibliothèque des rôles d'administrateur. Vous ne pouvez pas supprimer un rôle attribué. Sélectionnez un rôle non attribué et sélectionnez le bouton Supprimer.
Vous pouvez modifier le nom, la description et les autorisations spécifiques d’un rôle. Sélectionnez l'icône en forme de crayon à gauche du nom du rôle dans la liste. L'écran Modifier le rôle s'affiche.
Vous pouvez également Exporter un fichier CSV (valeurs séparées par des virgules) contenant l'intégralité de l'Affichage en liste des rôles d'administrateur. Vous pouvez utiliser Microsoft Excel pour afficher et analyser ce fichier. Sélectionnez le bouton Exporter, accédez à Surveillance > Rapports et analyses > Exportations pour afficher et télécharger le rapport résultant.
Naviguez vers Comptes > Administrateurs > Rôles et cliquez sur Ajouter un rôle dans UEM Console.
Sur la page Créer un rôle, saisissez le nom et la description du rôle.
Faites une sélection dans la liste Catégories.
La section Catégories organise les catégories de niveau supérieur telles que la gestion des terminaux sous lesquelles se trouvent des sous-catégories, notamment Applications, Navigateur et Gestion en masse. Cette sous-division des catégories facilite la procédure de création des rôles. Chaque paramètre de sous-catégorie situé à droite de l'écran possède les cases Lire et Modifier.
Lorsque vous sélectionnez des éléments dans la section Catégories, ses contenus classés en sous-catégories (paramètres individuels) se remplissent automatiquement dans le panneau de droite. Chaque paramètre dispose de ses propres cases Lire et Modifier en plus des cases Lire et Modifier situées dans l'en-tête et permettant de tout sélectionner. Ce système permet un niveau de contrôle et de personnalisation très flexible lors de la création de rôles.
Utilisez la zone de texte Rechercher des ressources pour limiter le nombre de ressources parmi lesquelles faire votre choix. Les ressources sont généralement étiquetées de la même manière, car elles sont référencées dans UEM Console lui-même. Par exemple, si vous souhaitez limiter un rôle d'administrateur à l'édition des journaux d'applications, puis entrez « Journaux d'applications » dans la zone Rechercher des ressources. Une liste de toutes les ressources qui contiennent la chaîne « Journaux d'applications » s'affiche.
Cochez les cases Lire et Modifier dans les champs correspondants Vous pouvez aussi choisir de désélectionner toutes les ressources sélectionnées.
Pour une sélection globale des catégories, sélectionnez directement Aucun(e), Lire ou Modifier dans la section Catégories sans jamais remplir le panneau de droite. Cliquez sur l'icône circulaire à droite de l'étiquette Catégorie, qui est un menu déroulant. Optez pour cette méthode si vous êtes sûr de sélectionner les fonctionnalités Aucun(e), Lecture seule ou Modifier pour l'ensemble des paramètres de la catégorie.
Étapes suivantes : Vous devez mettre à jour le rôle personnalisé à chaque mise à jour de la version de Workspace ONE UEM pour prendre en compte les nouvelles permissions de la dernière version.
Les rôles d'administrateur sont des ressources portables. Cette portabilité permet de gagner du temps si vous gérez plusieurs environnements Workspace ONE UEM. Vous pouvez exporter les paramètres d'un environnement en tant que fichier XML, puis importer ce fichier XML dans un autre environnement. Une telle procédure peut entraîner des problèmes de version.
Naviguez vers Comptes ► Administrateurs ► Rôles et cliquez sur Importer un rôle.
Sur la page « Importer un rôle », cliquez sur le bouton Parcourir et localisez le dernier fichier XML enregistré. Importez le rôle d'administrateur dans la liste des catégories pour validation en sélectionnant Télécharger.
Il peut y avoir des cas où un rôle exporté est importé dans un environnement exécutant une version antérieure de Workspace ONE UEM. Cette version antérieure pourrait ne pas avoir les mêmes ressources et autorisations que le rôle importé.
Dans de tels cas, Workspace ONE UEM vous avise avec le message suivant.
Certaines autorisations de cet environnement sont introuvables dans votre fichier importé. Vérifiez et corrigez les autorisations soulignées avant d'enregistrer.
Utilisez la page de la liste des catégories pour désélectionner les autorisations soulignées. Cette action vous permet d'enregistrer le rôle dans le nouvel environnement.
Vous pouvez gagner du temps en créant une copie d'un rôle existant. Vous pouvez également modifier les autorisations de la copie et l'enregistrer sous un autre nom.
Si vous importez un rôle administrateur qui porte le même nom qu'un rôle administrateur existant, vous pourriez trouver utile de renommer au préalable le rôle existant. Le fait de changer le nom d'un rôle vous permet de garder à la fois le nouveau et l'ancien rôle dans le même environnement.
Un indicateur visuel est situé dans la section Catégories et reflète la sélection actuelle des paramètres Lecture seule, Modifier ou la combinaison des deux. Il vous permet de voir quel paramètre a été sélectionné sans ouvrir et examiner les paramètres de sous-catégorie individuels.
L'indicateur est représenté par une icône circulaire située à droite de la liste de catégorie qui rend compte des éléments suivants.
Icône | Description |
---|---|
Toutes les options de cette catégories disposent de la fonction Modifier (qui, par définition implique également la fonction Lecture seule) | |
La fonction Modifier est activée pour la plupart des paramètres de la catégorie mais les modifications sont désactivées pour une sous-catégorie au moins. | |
Tous les paramètres de la catégorie disposent de la fonction Lecture seule (fonction Modifier désactivée). | |
La fonction Lecture seule est activée pour la plupart des paramètres de la catégorie mais les modifications sont activées pour une sous-catégorie au moins. |
Vous pouvez attribuer des rôles qui étendent les fonctionnalités d'un administrateur dans Workspace ONE UEM Console. Vous pouvez également modifier la portée d'un rôle existant, limitant ou étendant potentiellement les capacités d'un administrateur.
Si vous modifiez la portée d'un rôle qui est utilisé par un administrateur, la modification ne prend effet que lorsque l'administrateur se déconnecte, puis se reconnecte.
Sélectionnez l'onglet Rôles, puis choisissez parmi les éléments suivants : a, b ou une combinaison des deux :
a. Si vous souhaitez ajouter un nouveau rôle au compte d'administrateur, cliquez sur le bouton Ajouter un rôle, puis saisissez le Groupe d'organisation et les détails du Rôle pour chaque rôle que vous ajoutez.
b. Si vous souhaitez supprimer un rôle existant du compte d'administrateur, sélectionnez le rôle, puis cliquez sur le bouton Supprimer.
Cliquez sur Enregistrer.
Vous pouvez afficher toutes les ressources, ou les autorisations, de n'importe quel rôle d'administrateur, y compris les rôles Personnalisé et Par défaut. Cet affichage peut vous aider à déterminer ce qu'un administrateur est (ou non) en mesure de faire dans UEM Console.
Les rôles sont constitués de plusieurs centaines de ressources, aussi appelées autorisations, qui permettent d'accéder (en lecture seule ou en écriture) à une fonction spécifique au sein d'UEM Console.
Les écrans Afficher le rôle et Modifier le rôle sont identiques, sauf que l'écran Modifier le rôle vous permet d'effectuer et d'enregistrer des modifications à l'aide du bouton Enregistrer.
Pour afficher ou modifier les ressources d'un rôle d'administrateur, procédez comme suit.
Sélectionnez le choix a ou b :
a. Pour afficher le rôle, sélectionnez le nom du rôle, qui est un lien. L'écran Afficher le rôle qui s'ouvre contient toutes les autorisations associées au rôle. Lorsque vous avez terminé l'audit des rôles d'administrateur, sélectionnez Fermer.
b. Pour modifier le rôle, sélectionnez l'icône Modifier () à gauche du nom du rôle, et l'écran Modifier le rôle s'ouvre. Modifiez le rôle en ajoutant ou en supprimant des coches dans les cases Lire et Modifier. Une fois la modification du rôle terminée, sélectionnez Enregistrer.
Les informations suivantes sur la liste sont valables pour les choix Afficher et Modifier.
Vous pouvez utiliser la zone de texte Rechercher des ressources pour rechercher une fonction spécifique par nom. Cette fonction de recherche facilite la localisation d'une fonction spécifique de balise et l'attribue à un rôle.
Par exemple, si vous souhaitez créer un rôle administrateur qui peut uniquement ajouter une balise à un terminal, saisissez le mot « balise » dans la zone de texte Rechercher des ressources et appuyez sur la touche Entrée. Chaque ressource contenant la chaîne « balise » dans la catégorie ou le nom ou dans la description ou les Détails de la description s'affiche dans le panneau de droite.
Remarque : Rappelez-vous que le « préenrôlement », comme dans le préenrôlement de terminaux, inclut également la chaîne « balise ».
Étapes suivantes : Vous pouvez procéder ainsi pour créer vos propres rôles en consultant la section Créer un rôle administrateur sur cette page.
Lorsque vous créez un rôle d'administrateur, il est souvent plus facile de modifier un rôle existant que d'en créer un de toutes pièces. L'outil Comparer les rôles vous permet de comparer les paramètres d'autorisation de deux administrateurs par souci de précision ou pour confirmer votre volonté de définir des différences.
Cliquez sur Comparer. La page Comparer les rôles affiche une liste de catégories. Lorsque vous sélectionnez une catégorie spécifique à gauche, tous les détails correspondants sont complétés à droite.
« Aucune différence d'autorisation entre les deux rôles. »
Étapes suivantes : Vous pouvez aussi cliquer sur le bouton Exporter pour créer un fichier .xlsx ou .csv (valeurs séparées par des virgules) pouvant être ouvert dans Excel. L'export contient l'ensemble des paramètres pour le rôle 1 et le rôle 2, afin de vous permettre d'analyser au mieux les différences entre les deux rôles.
Les rôles d'utilisateur dans Workspace ONE UEM à technologie AirWatch vous permettent d'activer ou de désactiver des actions spécifiques que les utilisateurs peuvent effectuer. Ces actions comprennent le contrôle de l'accès à la réinitialisation du terminal, à la demande d'informations et à la gestion du contenu personnel. Les rôles utilisateur peuvent également personnaliser les pages de lancement et limiter l'accès au portail en libre-service.
La création de plusieurs rôles utilisateur représente un gain de temps. Vous pouvez effectuer des configurations complètes au sein de différents groupes organisationnels ou modifier le rôle utilisateur pour un utilisateur spécifique à tout moment.
En plus des rôles d'accès total ou d'accès basique, vous pouvez aussi créer des rôles personnalisés. Avoir plusieurs rôles utilisateur disponibles encourage la flexibilité et peut vous faire gagner du temps lors de l'attribution de rôles à de nouveaux utilisateurs.
Saisissez un nom, une description et sélectionnez la page de lancement initiale du SSP pour les utilisateurs disposant de ce nouveau rôle.
Pour les rôles d'utilisateur existants, la page de lancement initiale par défaut est Mes terminaux.
Sélectionnez à partir d'une liste d'options le niveau d'accès et de contrôle dans le SSP dont bénéficieront les utilisateurs auxquels ce rôle sera attribué.
Étapes suivantes : Depuis la page Rôles, vous pouvez afficher, modifier ou supprimer les rôles.
Le rôle par défaut est le rôle basique sur lequel tous les utilisateurs sont basés. La configuration d'un rôle par défaut vous permet de définir les permissions et les privilèges que reçoivent les utilisateurs après l'enrôlement.
Configurez un niveau d'accès par défaut dans le portail self-service (SSP) en cliquant sur Rôle par défaut.
Ces paramètres de rôle sont personnalisables en fonction du groupe organisationnel. Les choix sont les suivants :
Vous pouvez modifier le rôle d'un utilisateur spécifique, par exemple, pour accorder ou limiter un accès aux fonctions Workspace ONE UEM.
Si vous modifiez un rôle qui est utilisé par un utilisateur, la modification ne prend effet que lorsque l'utilisateur se déconnecte, puis se reconnecte.
Voir également : Comment créer un administrateur de support technique restrictif et ajouter un rôle lui donnant des fonctions spécifiques.
Vous pouvez créer un rôle personnalisé qui permet à un administrateur du service d'assistance d'effectuer uniquement les tâches que vous lui autorisez à effectuer dans Workspace ONE UEM à technologie AirWatch. Découvrez comment les comptes, les rôles et les autorisations programmables fonctionnent ensemble pour vous amener là où vous devez aller.