RBAC est un moyen rapide d'attribuer et d'approuver des rôles et des autorisations dans Workspace ONE Intelligence.

Qu'est-ce que RBAC ?

RBAC comporte des rôles prédéfinis que vous pouvez attribuer aux administrateurs pour accéder aux ressources qu'ils utilisent. Attribuez un rôle unique ou combinez des rôles pour les administrateurs qui requièrent des autorisations sur l'ensemble de votre environnement.

Comptes de base et d'annuaire dans Workspace ONE UEM

L'un des systèmes Workspace ONE Intelligence peut obtenir les données utilisateur à partir de Workspace ONE UEM. RBAC prend en charge l'ajout d'administrateurs depuis Workspace ONE UEM à partir des utilisateurs de base et des utilisateurs basés sur l'annuaire.

  • Les utilisateurs de base sont des comptes individuels qui ne sont pas gérés par un service d'identité. Ils ne nécessitent pas d'infrastructure d'entreprise. Ces informations d'identification existent uniquement dans Workspace ONE UEM et n'ont pas de sécurité fédérée.
  • Les utilisateurs basés sur l'annuaire sont gérés dans un service d'identité et sont extraits dans Workspace ONE UEM. Ces utilisateurs accèdent aux ressources avec leurs informations d'identification d'annuaire et toutes les modifications apportées à leurs comptes se synchronisent avec Workspace ONE UEM.

Azure Active Directory (AD) pour utiliser des groupes d'administrateurs

Pour utiliser vos groupes d'administrateurs Azure AD avec RBAC, vous devez autoriser Workspace ONE Intelligence à accéder à votre environnement Azure AD public à l'aide des API Microsoft Graph.

Workspace ONE Intelligence stocke les informations minimales d'Azure, telles que le nom et le prénom de l'utilisateur, son adresse e-mail de contact ou ses groupes affiliés. L'intégration n'inclut pas de planification de synchronisation régulière ni d'opération d'interrogation, mais valide plutôt les informations lorsque l'utilisateur accède à Workspace ONE Intelligence.

Utilisateurs existants et super administrateurs RBAC

Tous les rôles sont attribués aux utilisateurs Workspace ONE Intelligence avec accès avant l'introduction de RBAC. Un administrateur disposant de tous les rôles est un super administrateur. RBAC ne dispose pas d'un rôle unique pour les super administrateurs.

Processus de configuration

Pour configurer RBAC, configurez plusieurs composants dans Paramètres > Administrateurs.

  • Autorisez Workspace ONE Intelligence à se connecter à votre système Azure AD à l'aide de l'assistant de configuration.
  • Ajoutez et modifiez des administrateurs.

Modification des autorisations RBAC

Lorsque vous modifiez les autorisations RBAC dans Workspace ONE Intelligence, le système envoie un e-mail intitulé Rôle du compte modifié à l'utilisateur RBAC. La notification répertorie les éléments suivants : autorisations modifiées, date des modifications et auteur des modifications.

Ajouter des administrateurs depuis Workspace ONE UEM

Pour ajouter des administrateurs de base et des administrateurs basés sur l'annuaire gérés dans Workspace ONE UEM pour le contrôle d'accès basé sur les rôles (RBAC) dans Workspace ONE Intelligence, configurez les paramètres de manière à autoriser les administrateurs à accéder à Workspace ONE Intelligence depuis Workspace ONE UEM.

Ce processus inclut des configurations dans Workspace ONE UEM et Workspace ONE Intelligence. Vous pouvez ajouter ou modifier des administrateurs dans Workspace ONE UEM et leur attribuer un rôle Intelligence Admin. Puis, accordez des autorisations et configurez des comptes RBAC dans Workspace ONE Intelligence.

Si vous n'attribuez pas les rôles administrateurs dans Workspace ONE Intelligence, les nouveaux administrateurs RBAC devront se connecter à la console Workspace ONE Intelligence pour demander l'accès à l'aide du processus de notification Demander l'accès. Le système vous envoie sa demande par e-mail. Ce dernier constitue votre invite pour accorder des autorisations et configurer des comptes RBAC dans Workspace ONE Intelligence.

Procédure

  1. Dans Workspace ONE UEM Console, ajoutez un rôle pour que les administrateurs puissent accéder à Workspace ONE Intelligence.
    1. Sélectionnez le groupe organisationnel.
    2. Accédez à Comptes > Administrateurs > Rôles > Ajouter un rôle.
    3. Entrez un nom et une description pour trouver le rôle dans l'affichage en liste. Intelligence Admin - Grants basic admins access to the WS1 Intelligence console.
    4. Dans la zone de texte Rechercher des ressources, entrez Intelligence pour afficher le rôle Intelligence. Ce rôle se trouve dans Catégories > Surveiller > Intelligence.
    5. Donnez aux administrateurs les autorisations de lecture et de modification. Le rôle Intelligence Admin peut désormais être attribué aux administrateurs dans Workspace ONE UEM.
  2. Dans Workspace ONE UEM Console, ajoutez des administrateurs et attribuez-leur le rôle Intelligence.
    • Accédez à Comptes > Administrateurs > Affichage en liste > Ajouter > Ajouter un administrateur.
    • Sélectionnez l'onglet Basique, pour le paramètre Type d'utilisateur, sélectionnez Basique ou Annuaire.
      • Basique : entrez les paramètres requis dans l'onglet Basique, y compris le nom d'utilisateur, le mot de passe, le prénom et le nom de famille. Vous pouvez activer l'authentification à deux facteurs, qui vous permet de choisir entre les e-mails et les SMS comme méthode de distribution, ainsi que de sélectionner le délai d'expiration du jeton en minutes. Vous pouvez également sélectionner une option de Notification, entre Aucune, E-mail ou SMS. Les administrateurs reçoivent une réponse générée automatiquement.
      • Annuaire : entrez le domaine et le nom d'utilisateur pour les informations d'identification d'annuaire de l'administrateur.
    • Sélectionnez l'onglet Rôles, choisissez le groupe organisationnel, puis entrez le rôle que vous avez ajouté précédemment, Intelligence Admin.
  3. Cette étape est nécessaire si vous n'attribuez pas les rôles affectés dans Workspace ONE Intelligence. Demandez aux administrateurs de se connecter à Workspace ONE Intelligence et de terminer le processus de demande d'accès. Si vous sélectionnez le bouton Demande d'accès sur la page Accès restreint, le système envoie une notification par e-mail à 10 administrateurs qui sont actifs et qui disposent du rôle Administrateur dans la console pour approuver l'entrée. Si les utilisateurs ont déjà demandé l'accès et qu'ils sélectionnent Demande d'accès, la console leur propose leur demande précédente, mais les autorise à en envoyer une autre.
    • Consultez vos e-mails pour savoir si vous avez reçu des notifications de Demande d'accès administrateur. Vous pouvez utiliser le bouton Gérer les utilisateurs pour accéder à la console Workspace ONE Intelligence.
  4. Dans Workspace ONE Intelligence, accordez l'accès et configurez les autorisations d'administrateur.
    • Accédez à Paramètres > Administrateurs > Admin, choisissez l'administrateur dans la liste, puis sélectionnez Modifier.
    • Sélectionnez les autorisations applicables et enregistrez le compte d'administrateur. Les administrateurs Workspace ONE UEM peuvent désormais accéder à Workspace ONE Intelligence.

Ajouter des administrateurs et des groupes d'administrateurs depuis Azure AD

Pour ajouter des administrateurs et des groupes d'administrateurs à partir d'Azure Active Directory (AD) pour le contrôle d'accès basé sur les rôles (RBAC) dans Workspace ONE Intelligence, configurez les paramètres de manière à autoriser les administrateurs à accéder à Workspace ONE Intelligence depuis Workspace ONE UEM.

Conditions prérequises

Vous devez autoriser Workspace ONE Intelligence à se connecter à votre environnement Azure AD.

Procédure

  1. Dans la console Workspace ONE Intelligence, accédez à Paramètres > Administrateurs > Admin et sélectionnez Ajouter. Pour ajouter des groupes Azure AD, sélectionnez l'onglet Groupes d'administrateurs. L'élément de menu Ajouter ne s'affiche pas tant que vous n'avez pas configuré l'intégration avec Azure AD.
  2. Sur la page Ajouter un administrateur, entrez le nom de l'administrateur dans la zone de texte Utilisateur et sélectionnez le nom dans la liste. Si vous ajoutez des groupes d'administrateurs Azure AD, le système accède à la page Ajouter un groupe d'administrateurs. Entrez le nom du groupe d'administrateurs dans la zone de texte Groupe.
  3. Sélectionnez les autorisations applicables et enregistrez le compte d'administrateur. L'administrateur ajouté s'affiche comme Inconnu (non connecté), car le système ne tire pas ces données d'Azure. Cet affichage est résolu avec la connexion de l'administrateur à Workspace ONE Intelligence.
  4. Demandez aux administrateurs de se connecter à Workspace ONE Intelligence. Cette étape de connexion résout le nom d'utilisateur de l'administrateur depuis Inconnu (non connecté) vers le nom d'utilisateur configuré.

Descriptions des rôles RBAC

Le contrôle d'accès basé sur les rôles (RBAC) inclut les titres d'administrateur Analyste, Auditeur, Administrateur et Automatisateur. Chaque rôle dispose d'autorisations spécifiques pour offrir une attribution rapide avec un accès approprié aux fonctionnalités Workspace ONE Intelligence.

Pour créer un super administrateur, attribuez tous les rôles au compte administrateur. Workspace ONE Intelligence n'a pas de rôle unique distinct pour le super administrateur.

Descriptions d'administrateur RBAC

  • Administrateur : l'administrateur peut créer une gestion d'identité et d'accès, des administrateurs et des intégrations.
    • Autorisation d'analyse : lire
    • Autorisations de paramètres : créer, mettre à jour et supprimer
  • Analyste : un analyste peut créer, utiliser et supprimer ses propres objets. Il peut utiliser d'autres objets en fonction de ses autorisations. Il ne peut pas travailler dans Paramètres ou Automatisations.
    • Autorisation d'analyse : lire
    • Autorisations de tableaux de bord : créer, mettre à jour et supprimer
    • Autorisations de rapports : créer, mettre à jour et supprimer
  • Auditeur : l'auditeur peut voir ce que les autres administrateurs créent à des fins d'audit. Il dispose d'un accès en lecture à tout ce qui est créé. Si votre auditeur modifie également des objets, ajoutez l'un des autres rôles au compte.
    • Autorisation d'analyse : lire
    • Autorisation de tableaux de bord : lire
    • Autorisation de rapports : lire
    • Autorisation d'automatisations : lire
    • Autorisation de paramètres : lire
  • Automatiseur : l'automatiseur peut créer, utiliser et supprimer des automatisations. Il peut également configurer des intégrations dans Paramètres qui sont utilisées dans les automatisations. La restriction de la création d'automatisations par d'autres administrateurs permet de contrôler l'impact important des automatisations sur les points de terminaison. Cela permet également de réduire la création d'automatisations qui se chevauchent ou qui sont en conflit.
    • Autorisation d'analyse : lire
    • Autorisations d'automatisations : créer, mettre à jour et supprimer
    • Autorisations de paramètres : créer, mettre à jour et supprimer
check-circle-line exclamation-circle-line close-line
Scroll to top icon