Poursuivant sur notre thème Windows Autopilot, la série est écrite par Michael Niehaus, employé Microsoft basé à Seattle. Vous pouvez trouver cela et plus encore sur son propre blog – Out of Office Hours.
Certains clients ont demandé «comment déléguer l’accès pour gérer les appareils Windows Autopilot dans Intune». Eh bien, Intune a un mécanisme de contrôle d’accès basé sur les rôles (RBAC) qui peut être utilisé pour créer un rôle uniquement pour Windows Autopilot. Il vous suffit de comprendre ce qui doit être accordé à ce rôle. Bien que la documentation ne soit pas particulièrement utile pour vous le dire (ce document semble être le meilleur aperçu), vous pouvez au moins voir ce qui est nécessaire dans la console elle-même. Accédez donc à la liste Tous les rôles. Je vais vous donner un indice pour commencer votre explication: le rôle de gestionnaire de règles et de profils intégré possède tous les droits nécessaires (puis certains). Examinons donc la liste des autorisations sur ce rôle:
Alors, quelle serait votre supposition? Si vous comprenez Windows Autopilot, Apple School Manager, etc., vous devez comprendre qu’il s’agit de programmes d’inscription. Regardez les autorisations détaillées (qui sont toutes sélectionnées pour ce rôle):
Si vous survolez l’icône info, cela vous donnera plus d’informations sur chacun d’eux. Et vous pouvez voir que les autorisations sont partagées (par exemple, l’octroi de droits pour une opération de Windows Autopilot peut également fournir des droits pour des opérations Apple similaires). Hélas, tous les conseils ne sont pas complets, donc vous ne savez peut-être pas lesquels s’appliquent à Windows Autopilot. Mais logiquement, les neuf premiers s’appliqueraient; les quatre derniers sont spécifiques à Apple et ne sont pas utilisés avec Windows Autopilot.
Créons donc un rôle personnalisé. Revenez à la liste «Tous les rôles» et cliquez sur le bouton «+ Ajouter». Attribuez un nom au nouveau rôle, par exemple «Opérateur Autopilot». Cliquez sur «Permissions» pour voir la liste:
Et puis sélectionnez «Programmes d’inscription» pour voir les droits individuels. Sélectionnez les neuf premiers de la liste:
Cliquez ensuite deux fois sur OK et sur Créer pour créer le rôle personnalisé:
Il ne vous reste plus qu’à assigner ce rôle à un utilisateur. Cliquez sur le rôle puis sur «Affectations»:
Vous n’attribuez pas directement les utilisateurs à des rôles. Au lieu de cela, vous attribuez un rôle à un ou plusieurs groupes, puis les membres de ce groupe bénéficient des droits pour le rôle. Alors, cliquez sur « Attribuer » puis « Ajouter » puis sélectionnez un groupe.
Cliquez ensuite sur Sélectionner, puis sur OK. Vous devez ensuite spécifier la portée. Il est plus simple de spécifier « Tous les appareils« :
Cliquez deux fois sur OK, puis l’affectation est terminée. Pour l’essayer, connectez-vous en tant qu’utilisateur membre du groupe auquel le rôle a été attribué et vérifiez que l’utilisateur peut effectivement travailler avec les appareils et les profils du pilote automatique. Et deviner quoi? Ça ne marche pas:
OK, il est donc évident que d’autres autorisations sont requises. Après avoir comparé les autorisations du rôle Policy and Profile Manager intégré, j’ai d’abord essayé d’ajouter un accès en lecture à la classe «Organization». Cela a un peu amélioré les choses, mais toujours pas de chance. Ensuite, j’ai essayé d’ajouter un accès en lecture aux «données d’audit». Et c’était suffisant. Je suppose donc que ces deux sont nécessaires.
Un dernier petit conseil: une fois connecté à Intune, vous pouvez naviguer vers le nœud «Mes autorisations» sous Rôles pour voir les droits spécifiques dont vous disposez (sauf si vous êtes un administrateur, il vous le dit simplement). Et vous pouvez voir les droits que ce rôle fournit:
Remarquez les noms? Ce sont les noms de ressources «internes».
