Les fonctionnalités de Gestion des utilisateurs de VMware Workspace ONE Intelligence incluent le contrôle d'accès basé sur les rôles (RBAC), les stratégies d'accès aux données, la configuration de Microsoft Azure Active Directory et la gestion des limites système allouées aux administrateurs. Vous pouvez trouver ces fonctionnalités dans la zone  Paramètres de la console.

Qu'est-ce que RBAC ?

Le contrôle d'accès basé sur les rôles (RBAC) comporte des rôles prédéfinis que vous pouvez attribuer aux administrateurs pour accéder aux ressources qu'ils utilisent. Attribuez un rôle unique ou combinez des rôles pour les administrateurs qui requièrent des autorisations sur l'ensemble de votre environnement.

Comptes de base et d'annuaire dans Workspace ONE UEM

L'un des systèmes Workspace ONE Intelligence peut obtenir les données utilisateur à partir de Workspace ONE UEM. RBAC prend en charge l'ajout d'administrateurs depuis Workspace ONE UEM à partir des utilisateurs de base et des utilisateurs basés sur l'annuaire.

  • Les utilisateurs de base sont des comptes individuels qui ne sont pas gérés par un service d'identité. Ils ne nécessitent pas d'infrastructure d'entreprise. Ces informations d'identification existent uniquement dans Workspace ONE UEM et n'ont pas de sécurité fédérée.
  • Les utilisateurs basés sur l'annuaire sont gérés dans un service d'identité et sont extraits dans Workspace ONE UEM. Ces utilisateurs accèdent aux ressources avec leurs informations d'identification d'annuaire et toutes les modifications apportées à leurs comptes se synchronisent avec Workspace ONE UEM.

Azure Active Directory (AD) pour utiliser des groupes d'administrateurs

Pour utiliser vos groupes d'administrateurs Azure AD avec RBAC, vous devez autoriser Workspace ONE Intelligence à accéder à votre environnement Azure AD public à l'aide des API Microsoft Graph.

Workspace ONE Intelligence stocke les informations minimales d'Azure, telles que le nom et le prénom de l'utilisateur, son adresse e-mail de contact ou ses groupes affiliés. L'intégration n'inclut pas de planification de synchronisation régulière ni d'opération d'interrogation, mais valide plutôt les informations lorsque l'utilisateur accède à Workspace ONE Intelligence.

Utilisateurs existants et super administrateurs RBAC

Tous les rôles sont attribués aux utilisateurs Workspace ONE Intelligence avec accès avant l'introduction de RBAC. Un administrateur disposant de tous les rôles est un super administrateur. RBAC ne dispose pas d'un rôle unique pour les super administrateurs.

Processus de configuration

Pour configurer RBAC, configurez plusieurs composants dans Paramètres > Administrateurs.

  • Autorisez Workspace ONE Intelligence à se connecter à votre système Azure AD à l'aide de l'assistant de configuration.
  • Ajoutez et modifiez des administrateurs.

Modification des autorisations RBAC

Lorsque vous modifiez les autorisations RBAC dans Workspace ONE Intelligence, le système envoie un e-mail intitulé Rôle du compte modifié à l'utilisateur RBAC. La notification répertorie les éléments suivants : autorisations modifiées et auteur des modifications.

Transfert de la propriété des tableaux de bord et des rapports

Vous pouvez partager Mes tableaux de bord et les Rapports avec d'autres utilisateurs de Workspace ONE Intelligence. Le propriétaire de l'objet (tableau de bord ou rapport) est désigné par un accès complet, tandis que les utilisateurs qui partagent l'objet sont désignés par l'accès Peut afficher (lecture seule) ou l'accès Peut modifier (lecture et écriture). En tant qu'extension de la fonctionnalité de partage, les administrateurs disposant du rôle Administrateur peuvent également transférer la propriété des tableaux de bord et des rapports. Cette fonctionnalité est utile après le départ d'administrateurs de l'organisation, car leurs objets Workspace ONE Intelligence ne disposent plus d'un administrateur actif pour les gérer. Pour attribuer ces objets à un administrateur actif, les administrateurs peuvent rechercher des objets sans propriétaire et les réattribuer.

Ajouter des administrateurs depuis Workspace ONE UEM

Pour ajouter des administrateurs de base et des administrateurs basés sur l'annuaire gérés dans Workspace ONE UEM pour le contrôle d'accès basé sur les rôles (RBAC) dans Workspace ONE Intelligence, configurez les paramètres de manière à autoriser les administrateurs à accéder à Workspace ONE Intelligence depuis Workspace ONE UEM.

Ce processus inclut des configurations dans Workspace ONE UEM et Workspace ONE Intelligence. Vous pouvez ajouter ou modifier des administrateurs dans Workspace ONE UEM et leur attribuer un rôle Intelligence Admin. Puis, accordez des autorisations et configurez des comptes RBAC dans Workspace ONE Intelligence.

Si vous n'attribuez pas les rôles administrateurs dans Workspace ONE Intelligence, les nouveaux administrateurs RBAC devront se connecter à la console Workspace ONE Intelligence pour demander l'accès à l'aide du processus de notification Demander l'accès. Le système vous envoie sa demande par e-mail. Ce dernier constitue votre invite pour accorder des autorisations et configurer des comptes RBAC dans Workspace ONE Intelligence.

Procédure

  1. Dans Workspace ONE UEM Console, ajoutez un rôle pour que les administrateurs puissent accéder à Workspace ONE Intelligence.
    1. Sélectionnez le groupe organisationnel.
    2. Accédez à Comptes > Administrateurs > Rôles > Ajouter un rôle.
    3. Entrez un nom et une description pour trouver le rôle dans l'affichage en liste. Intelligence Admin - Grants basic admins access to the WS1 Intelligence console.
    4. Dans la zone de texte Rechercher des ressources, entrez Intelligence pour afficher le rôle Intelligence. Ce rôle se trouve dans Catégories > Surveiller > Intelligence.
    5. Donnez aux administrateurs les autorisations de lecture et de modification. Le rôle Intelligence Admin peut désormais être attribué aux administrateurs dans Workspace ONE UEM.
  2. Dans Workspace ONE UEM Console, ajoutez des administrateurs et attribuez-leur le rôle Intelligence.
    • Accédez à Comptes > Administrateurs > Affichage en liste > Ajouter > Ajouter un administrateur.
    • Sélectionnez l'onglet Basique, pour le paramètre Type d'utilisateur, sélectionnez Basique ou Annuaire.
      • Basique : entrez les paramètres requis dans l'onglet Basique, y compris le nom d'utilisateur, le mot de passe, le prénom et le nom de famille. Vous pouvez activer l'authentification à deux facteurs, qui vous permet de choisir entre les e-mails et les SMS comme méthode de distribution, ainsi que de sélectionner le délai d'expiration du jeton en minutes. Vous pouvez également sélectionner une option de Notification, entre Aucune, E-mail ou SMS. Les administrateurs reçoivent une réponse générée automatiquement.
      • Annuaire : entrez le domaine et le nom d'utilisateur pour les informations d'identification d'annuaire de l'administrateur.
    • Sélectionnez l'onglet Rôles, choisissez le groupe organisationnel, puis entrez le rôle que vous avez ajouté précédemment, Intelligence Admin.
  3. Cette étape est nécessaire si vous n'attribuez pas les rôles affectés dans Workspace ONE Intelligence. Demandez aux administrateurs de se connecter à Workspace ONE Intelligence et de terminer le processus de demande d'accès. Si vous sélectionnez le bouton Demande d'accès sur la page Accès restreint, le système envoie une notification par e-mail à 10 administrateurs qui sont actifs et qui disposent du rôle Administrateur dans la console pour approuver l'entrée. Si les utilisateurs ont déjà demandé l'accès et qu'ils sélectionnent Demande d'accès, la console leur propose leur demande précédente, mais les autorise à en envoyer une autre.
    • Consultez vos e-mails pour savoir si vous avez reçu des notifications de Demande d'accès administrateur. Vous pouvez utiliser le bouton Gérer les utilisateurs pour accéder à la console Workspace ONE Intelligence.
  4. Dans Workspace ONE Intelligence, accordez l'accès et configurez les autorisations d'administrateur.
    • Accédez à Paramètres > Administrateurs > Admin, choisissez l'administrateur dans la liste, puis sélectionnez Modifier.
    • Sélectionnez les autorisations applicables et enregistrez le compte d'administrateur. Les administrateurs Workspace ONE UEM peuvent désormais accéder à Workspace ONE Intelligence.

Ajouter des administrateurs et des groupes d'administrateurs à partir d'Azure AD

Pour ajouter des administrateurs et des groupes d'administrateurs à partir d'Azure Active Directory (AD) pour le contrôle d'accès basé sur les rôles (RBAC) dans Workspace ONE Intelligence, configurez les paramètres de manière à autoriser les administrateurs à accéder à Workspace ONE Intelligence depuis Workspace ONE UEM.

Conditions prérequises

Vous devez autoriser Workspace ONE Intelligence à se connecter à votre environnement Azure AD.

Procédure

  1. Dans la console Workspace ONE Intelligence, accédez à Paramètres > Administrateurs > Admin et sélectionnez Ajouter. Pour ajouter des groupes Azure AD, sélectionnez l'onglet Groupes d'administrateurs. L'élément de menu Ajouter ne s'affiche pas tant que vous n'avez pas configuré l'intégration avec Azure AD.
  2. Sur la page Ajouter un administrateur, entrez le nom de l'administrateur dans la zone de texte Utilisateur et sélectionnez le nom dans la liste. Si vous ajoutez des groupes d'administrateurs Azure AD, le système accède à la page Ajouter un groupe d'administrateurs. Entrez le nom du groupe d'administrateurs dans la zone de texte Groupe.
  3. Sélectionnez les autorisations applicables et enregistrez le compte d'administrateur. L'administrateur ajouté s'affiche comme Inconnu (non connecté), car le système ne tire pas ces données d'Azure. Cet affichage est résolu avec la connexion de l'administrateur à Workspace ONE Intelligence.
  4. Demandez aux administrateurs de se connecter à Workspace ONE Intelligence. Cette étape de connexion résout le nom d'utilisateur de l'administrateur depuis Inconnu (non connecté) vers le nom d'utilisateur configuré.

Descriptions des rôles RBAC

Le contrôle d'accès basé sur les rôles (RBAC) inclut les titres d'administrateur Analyste, Auditeur, Administrateur et Automatisateur. Chaque rôle dispose d'autorisations spécifiques pour offrir une attribution rapide avec un accès approprié aux fonctionnalités Workspace ONE Intelligence.

Pour créer un super administrateur, attribuez tous les rôles au compte administrateur. Workspace ONE Intelligence n'a pas de rôle unique distinct pour le super administrateur.

  • Administrateur : l'administrateur peut créer une gestion d'identité et d'accès, des administrateurs et des intégrations.
    • Autorisation d'analyse : lire
    • Autorisations de paramètres : créer, mettre à jour et supprimer
  • Analyste : un analyste peut créer, utiliser et supprimer ses propres objets. Il peut utiliser d'autres objets en fonction de ses autorisations. Il ne peut pas travailler dans Paramètres ou Automatisations.
    • Autorisation d'analyse : lire
    • Autorisations de tableaux de bord : créer, mettre à jour et supprimer
    • Autorisations de rapports : créer, mettre à jour et supprimer
  • Auditeur : l'auditeur peut voir ce que les autres administrateurs créent à des fins d'audit. Il dispose d'un accès en lecture à tout ce qui est créé. Si votre auditeur modifie également des objets, ajoutez l'un des autres rôles au compte.
    • Autorisation d'analyse : lire
    • Autorisation de tableaux de bord : lire
    • Autorisation de rapports : lire
    • Autorisation d'automatisations : lire
    • Autorisation de paramètres : lire
  • Automatiseur : l'automatiseur peut créer, utiliser et supprimer des automatisations. Il peut également configurer des intégrations dans Paramètres qui sont utilisées dans les automatisations. La restriction de la création d'automatisations par d'autres administrateurs permet de contrôler l'impact important des automatisations sur les points de terminaison. Cela permet également de réduire la création d'automatisations qui se chevauchent ou qui sont en conflit.
    • Autorisation d'analyse : lire
    • Autorisations d'automatisations : créer, mettre à jour et supprimer
    • Autorisations de paramètres : créer, mettre à jour et supprimer

Que sont les stratégies d'accès aux données ?

Les stratégies d'accès aux données de Workspace ONE Intelligence contrôlent les données que les utilisateurs, en particulier les analystes, voient dans les tableaux de bord et les rapports. Pour contrôler l'accès, Workspace ONE Intelligence utilise les groupes organisationnels configurés dans VMware Workspace ONE UEM.

Contrôler l'accès par groupe organisationnel ou autoriser tous les accès

Vous pouvez limiter l'accès d'un utilisateur aux données de Workspace ONE UEM en lui attribuant une stratégie d'accès aux données restrictive. Workspace ONE Intelligence contrôle les données à l'aide des groupes organisationnels de Workspace ONE UEM. Pour limiter le jeu de données d'un utilisateur, attribuez-lui la stratégie d'accès aux données configurée avec le groupe organisationnel applicable. Pour plus d'informations sur les groupes organisationnels dans Workspace ONE UEM, consultez la section Groupes organisationnels.

Si vous ne souhaitez pas limiter l'accès d'un utilisateur aux données, attribuez-lui la stratégie d'accès aux données configurée pour autoriser tous les accès.

L'activation est immédiate

Après avoir activé votre première stratégie d'accès aux données, les utilisateurs qui disposent uniquement d'autorisations Analyste et qui n'ont pas de stratégies d'accès aux données attribuées ne peuvent pas consulter les données de Workspace ONE UEM dans Workspace ONE Intelligence. Pour vous assurer que les analystes peuvent consulter les données, attribuez-leur une stratégie.

Uniquement pour les analystes

Les utilisateurs auxquels vous souhaitez attribuer des stratégies d'accès aux données doivent disposer de l'autorisation RBAC Analyste et uniquement de cette autorisation. Ces utilisateurs ne peuvent pas disposer d'autres autorisations RBAC.

Attribuer à une seule stratégie

Pour éviter de restreindre ou d'autoriser accidentellement l'accès aux données, attribuez une seule stratégie à un utilisateur. N'attribuez pas plusieurs stratégies d'accès aux données à un utilisateur.

Partage d'objets et aperçus d'objets

Les stratégies d'accès aux données s'appliquent aux requêtes des objets. Lorsque vous partagez des objets, vous partagez ces requêtes. Tenez compte de ce comportement lorsque vous partagez des objets. Il est possible que vous partagiez un objet avec un utilisateur auquel est attribuée une stratégie d'accès aux données qui l'empêche de consulter toutes les données d'un aperçu de tableau de bord ou de rapport. Ce comportement concerne les aperçus et non la génération réelle de l'accès de l'utilisateur aux données.

Autres considérations

  • Les stratégies d'accès aux données nécessitent une intégration à Workspace ONE UEM. Vous utilisez la hiérarchie des groupes organisationnels de Workspace ONE UEM pour configurer les stratégies d'accès aux données et contrôler cet accès.
  • Les stratégies d'accès aux données s'appliquent à un jeu limité de données et ne s'appliquent pas à tous les jeux de données de Workspace ONE UEM.
  • Les stratégies d'accès aux données contrôlent les données affichées dans les tableaux de bord et les rapports.
  • Vous devez disposer des autorisations RBAC Administrateur pour créer et attribuer des stratégies d'accès aux données.

Accéder aux stratégies d'accès aux données

Après avoir créé et activé vos premières stratégies, vous pouvez modifier ou ajouter d'autres stratégies d'accès aux données dans la console, sous Paramètres > Stratégie d'accès aux données.

Comment créer votre première stratégie d'accès aux données ?

Pour commencer à utiliser des stratégies d'accès aux données, accédez à la zone Démarrage de Workspace ONE Intelligence.

  1. Recherchez une carte pour cette fonctionnalité dans Démarrage > Gestion des utilisateurs > Limiter l'accès aux données.
  2. Sélectionnez la carte Limiter l'accès aux données. Vous devez ajouter au moins une stratégie pour commencer à utiliser cette fonctionnalité.
  3. Sélectionnez Ajouter.
  4. Dans la fenêtre Ajouter une stratégie d'accès aux données, sélectionnez une Catégorie de données.
    • Accès à tout : Les utilisateurs auxquels cette stratégie est attribuée peuvent consulter toutes les données de Workspace ONE UEM.
    • Groupes organisationnels Workspace ONE UEM : Les utilisateurs auxquels cette stratégie est attribuée peuvent consulter les données gérées dans Workspace ONE UEM au niveau du groupe organisationnel sélectionné. Sélectionnez le groupe dans l'élément de menu Hiérarchie du groupe organisationnel.
  5. Sélectionnez les utilisateurs dans la zone Attribuer des utilisateurs. Ces utilisateurs doivent avoir uniquement le rôle Analyste pour consulter les données applicables affichées dans les Tableaux de bord et les Rapports.
  6. Affichez le Résumé et enregistrez la stratégie. Workspace ONE Intelligence répertorie la stratégie dans l'affichage en liste Stratégie d'accès aux données.
  7. Sélectionnez Activer lorsque vous êtes prêt à contrôler l'accès aux données pour les utilisateurs concernés.

Comment attribuer des stratégies à des analystes sans stratégie ?

Pour garantir que les administrateurs ont toujours accès aux données, vous pouvez filtrer les utilisateurs sur la page Administrateurs à l'aide du filtre Utilisateurs actifs et attribuer une stratégie d'accès aux données à chaque administrateur disposant uniquement des autorisations Analyste.

  1. Dans Workspace ONE Intelligence, accédez à Paramètres > Administrateurs.
  2. Sélectionnez le filtre Utilisateurs actifs.
  3. Recherchez les administrateurs qui disposent uniquement du rôle Analyste et qui n'ont pas de stratégie répertoriée dans la colonne Stratégie d'accès aux données.
  4. Sélectionnez l'utilisateur et choisissez Modifier.
  5. Sélectionnez Attribuer une stratégie d'accès aux données.
  6. Sélectionnez la stratégie d'accès aux données que vous souhaitez attribuer à l'Analyste et cliquez sur Ajouter.

Configuration de Microsoft Azure Active Directory

Pour utiliser des groupes Azure Active Directory (AD) dans la fonctionnalité de contrôle d'accès basé sur les rôles (RBAC), autorisez Workspace ONE Intelligence à se connecter à votre environnement Azure AD.

Workspace ONE Intelligence utilise l'API Microsoft Graph pour communiquer avec votre environnement Azure.

Conditions prérequises

Vous devez disposer des autorisations requises pour configurer un compte Azure AD public. Utilisez les informations d'identification de votre compte d'administrateur Azure AD pour l'enregistrement. Si vous ne disposez pas des autorisations d'administrateur pour configurer Azure AD, demandez à un administrateur Azure AD d'enregistrer votre environnement dans Workspace ONE Intelligence.

Procédure

  1. Dans la console Workspace ONE Intelligence, accédez à Paramètres > Administrateurs > Gestion des identités des utilisateurs > Microsoft Azure Active Directory > Configurer. Le système vous dirige vers la zone Microsoft de votre organisation. Si vous disposez d'autorisations d'administrateur Azure AD, le système vous invite à entrer vos informations d'identification Azure AD.
  2. Sélectionnez Accepter dans la fenêtre Microsoft pour accorder à Workspace ONE Intelligence des autorisations d'accès aux données dans Azure. Si le système accepte les autorisations, l'intégration Microsoft Azure Active Directory s'affiche comme suit : État : Autorisé.
    • Autorisez la connexion et la lecture des profils utilisateur dans Azure.
    • Autorisez la lecture de tous les groupes dans Azure.
    • Autorisez la lecture des profils complets de tous les utilisateurs dans Azure.

Résultats

Lorsque vous ajoutez un administrateur ou un groupe dans Workspace ONE Intelligence, vous pouvez sélectionner des utilisateurs et des groupes dans votre environnement Azure Active Directory.

Étapes suivantes

Ajoutez et modifiez des administrateurs dans Paramètres > Administrateurs. Pour plus d'informations sur les différents rôles et leurs autorisations, consultez les descriptions des rôles RBAC.

Limites du système

Workspace ONE Intelligence limite le nombre d'objets que les administrateurs peuvent créer. Pour savoir si votre environnement est sur le point d'atteindre ces limites, utilisez la page Limites système. Cette page offre une visibilité sur le nombre d'objets créés par les administrateurs dans votre environnement et vous permet de modifier les limites définies si nécessaire.

Navigation

****Recherchez l'onglet « Limites du système » dans la console en accédant à Paramètres > Limites du système (System Limits).

Qu'est-ce qui s'affiche sur la page ?

La page Limites du système  affiche les mesures pour le groupe organisationnel le plus élevé de votre environnement, le niveau du locataire du client, et affiche les mesures pour les utilisateurs individuels dans les autres niveaux de locataire de votre déploiement. Recherchez des mesures pour les objets créés qui incluent les éléments suivants.

  • Tableaux de bord personnalisés (objets de visualisation des données)
  • Rapports personnalisés (objets de rapports)
  • Automatisations personnalisées (objets orientés d'action)

Page Limites du système dans Workspace ONE Intelligence qui décrit les limites des automatisations, des rapports personnalisés et des tableaux de bord personnalisés.

Les cartes en haut de l'interface utilisateur indiquent les valeurs totales de tous vos groupes organisationnels (tous vos niveaux de locataire).

  • Automations : cette carte affiche uniquement les données d'automatisations Actives. Elle n'inclut aucune automatisation créée et non active.
  • Rapports personnalisés : cette carte affiche le nombre de tous les rapports créés et enregistrés.
  • Tableaux de bord personnalisés : cette carte affiche le nombre de tableaux de bord créés et enregistrés.

Un objet était-il populaire et partagé avec d'autres administrateurs ?

Les onglets Automatisation, Rapports personnalisés et Tableaux de bord personnalisés situés sous les cartes au niveau du locataire du client répertorient les données propres à l'utilisateur. Ces onglets répertorient tous les administrateurs et leurs nombres correspondants d'automatisations créées, de rapports personnalisés et de tableaux de bord personnalisés. Utilisez les onglets pour voir si un objet a été partagé et avec qui. Le fait de savoir si un objet a été partagé suggère qu'il était populaire. Utilisez ces données pour décider de conserver un objet populaire ou de supprimer un objet impopulaire afin de libérer de l'espace pour d'autres objets.

Les autorisations RBAC déterminent les actions disponibles

Les super administrateurs, les administrateurs et les modérateurs peuvent voir la page Limites du système, mais seuls les super administrateurs peuvent effectuer des actions sur cette page.

Super administrateurs (administrateurs disposant de toutes les autorisations RBAC) peuvent voir et définir des limites au niveau du locataire du client. Ils disposent de cette visibilité pour surveiller l'accès aux données, traiter les demandes d'augmentation des limites et modifier les valeurs limites. Sur la page  Limites du système , les super administrateurs peuvent effectuer diverses actions pour gérer le déploiement.

  • Les super administrateurs peuvent surveiller et contrôler les administrateurs qui peuvent créer des objets.
  • Ils peuvent utiliser la fonctionnalité Définir les limites d'utilisateurs par défaut au niveau du locataire pour tous les administrateurs.
    Cette option de menu permet aux super administrateurs d'allouer un nombre pair d'objets à chaque administrateur ou région d'administrateurs si nécessaire.
  • Ils peuvent traiter les demandes d'augmentation des limites pour n'importe quel objet.
  • Ils peuvent afficher des objets d'administration individuels.
    • Recherchez les utilisateurs qui ont quitté l'entreprise pour voir le nombre d'objets créés qu'ils possédaient.
    • Transférez la propriété de ces objets ou supprimez-les pour permettre l'allocation de ces objets inutilisés à d'autres administrateurs.
  • Ils peuvent filtrer l'intégralité de la liste d'administrateurs à l'aide du filtre Utilisateurs désactivés pour voir quels objets en attente nécessitent un transfert de propriété.
check-circle-line exclamation-circle-line close-line
Scroll to top icon