Règles de groupe : Application d'autorisations utilisateur à des groupes d'utilisateurs

Utilisateurs et sécurité > Règles de groupe

Règles de groupe

La page Règles de groupe vous permet de définir des groupes d'utilisateurs qui partagent des privilèges communs.

Créer une nouvelle règle, modifier, supprimer

Créer une nouvelle règle, modifier ou supprimer une règle existante.

Copier

Pour accélérer la création de règles de groupe semblables, cliquez sur Copier pour créer une nouvelle règle avec des réglages identiques. Vous pouvez ensuite modifier cette nouvelle règle pour répondre à vos exigences spécifiques.

Modifier l'ordre

Cliquez sur ce bouton pour faire glisser et déposer les règles de groupe afin de définir leur priorité. Cliquez sur Enregistrer l'ordre pour que les changements de priorité prennent effet. Pour des raisons de gestion, l'ordre de priorité recommandé consiste à définir des règles pour des groupes d'utilisateurs plus spécifiques avec une priorité élevée (empêchant le remplacement), puis de définir des groupes de plus en plus larges avec une priorité inférieure.

Règle de groupe :: Ajouter ou modifier

Paramètres de base

Nom de la règle

Créez un nom unique permettant d'identifier cette règle.

Membres de la règle

Pour attribuer des membres, cliquez sur le bouton Ajouter pour ouvrir une zone de sélection. Sélectionnez des utilisateurs dans votre système local, ou sélectionnez des utilisateurs ou des groupes entiers à partir des fournisseurs de sécurité configurés. Pour ajouter des utilisateurs et des groupes d'un magasin d'annuaires externe comme un LDAP, RADIUS ou Kerberos, vous devez d'abord configurer la connexion sur la page /login > Utilisateurs et sécurité > Fournisseurs de sécurité. Si une tentative d'ajout d'un utilisateur d'un fournisseur de sécurité configuré n'est pas valide, le message d'erreur de journal de synchronisation apparaîtra ici et dans le journal.

Paramètres du compte

Défini dans cette règle

Pour chaque paramètre, déterminez s'il est défini dans cette règle ou librement disponible à la configuration pour des utilisateurs individuels. Si cela est défini, vous ne pourrez pas modifier ce privilège pour un utilisateur individuel depuis la page de son compte utilisateur.

Si vous avez une règle qui définit une autorisation et que vous ne voulez pas que n'importe quelle règle puisse remplacer cette autorisation, vous devez indiquer que cette autorisation ne peut pas être remplacée, et la règle doit avoir une priorité supérieure à celle des autres règles qui définissent également ce paramètre.

Authentification à deux facteurs

L'authentification à deux facteurs (2FA) fait appel à une application d'authentification pour créer un code unique limité dans le temps et se connecter à l'interface d'administration et à la console d'accès. Lorsque Requis est sélectionné, l'utilisateur est invité à s'inscrire et à se servir de l'authentification 2FA à sa prochaine connexion. Lorsque Optionnel est sélectionné, l'utilisateur a la possibilité d'utiliser l'authentification 2FA, mais il n'y est pas contraint.

Remarque : Les utilisateurs qui se connectaient à l'aide de codes obtenus par e-mail passent automatiquement à l'authentification 2FA. Ils ont toutefois la possibilité d'utiliser des codes e-mails jusqu'à ce qu'ils soient inscrits sur une application. Après une première utilisation de 2FA, l'option du code e-mail n'est plus disponible.

Compte expire le

Avec ceci, le compte expirera après une date donnée ou n'expirera jamais.

Compte désactivé

Désactive le compte pour que l'utilisateur ne puisse plus se connecter. Une désactivation ne supprime PAS le compte.

Commentaires

Ajoutez des commentaires pour aider à identifier la fonction de cet objet.

Autorisations

Admin

Accorde des droits d'administration complets à l'utilisateur.

Autorisé à définir les mots de passe

Permet à l'utilisateur de définir des mots de passe et de débloquer des comptes pour les utilisateurs locaux ne disposant pas de droits d'administrateur.

Autorisé à modifier les Jumpoints

Permet à l'utilisateur de créer ou de modifier des Jumpoints. Cette option n'affecte pas la capacité de l'utilisateur à accéder à des ordinateurs distants via un Jumpoint, qui est configurée par Jumpoint ou règle de groupe.

Autorisé à utiliser l'analyseur de point de terminaison

Permet à l'utilisateur de configurer et de visualiser les scans des ports ouverts sur les éléments de Jump.

Autorisations relatives aux rapports sur les sessions d'accès : Autorisé à consulter les rapports sur les sessions d'accès

Permet à l'utilisateur d'établir des rapports sur l'activité des sessions d'accès, en visualisant uniquement les sessions pour lesquelles il était le propriétaire principal de la session, les sessions où l'une de ses équipes était l'équipe principale ou l'un des membres de son équipe était le propriétaire principal de la session, ou toutes les sessions.

Autorisé à voir les enregistrements de session d'accès

Permet à l'utilisateur de lire les enregistrements vidéo des sessions de partage d'écran et des sessions d'interpréteur de commandes.

Autorisé à utiliser les rapports API

Permet d'utiliser les informations d'authentification de l'utilisateur pour extraire des rapports XML via l'API.

Remarque : Pour la version 16.1, il est préférable d'utiliser les comptes API créés dans Gestion > Configuration API.

Autorisé à utiliser les commandes API

Permet d'utiliser les informations d'authentification de l'utilisateur pour exécuter des commandes via l'API.

Remarque : Pour la version 16.1, il est préférable d'utiliser les comptes API créés dans Gestion > Configuration API.

Autorisé à modifier les équipes

Permet à l'utilisateur de créer ou de modifier des équipes.

Autorisé à modifier les groupes de Jump

Permet à l'utilisateur de créer ou de modifier les groupe de Jump.

Autorisé à modifier les scripts prédéfinis

Permet à l'utilisateur de créer ou de modifier des scripts prédéfinis en vue de les utiliser dans des sessions de partage d'écran ou d'interpréteur de commandes.

Autorisé à modifier les liens personnalisés

Permet à l'utilisateur de créer ou de modifier des liens personnalisés.

Autorisations d'accès

Accès

Autorisé à accéder aux points de terminaison

Permet à l'utilisateur d'utiliser la console d'accès pour exécuter des sessions. Si l'accès au point de terminaison est activé, les options relatives à l'accès au point de terminaison seront également disponibles.

Gestion de session

Autorisé à partager les sessions avec des équipes auxquelles il n'appartient pas

Permet à l'utilisateur d'inviter un ensemble moins limité d'utilisateurs pour partager des sessions, pas seulement des membres de son équipe. Combinée à la permission de disponibilité étendue, cette permission développe les capacités de partage de session.

Autorisé à inviter des utilisateurs externes

Permet à l'utilisateur d'inviter un utilisateur tiers à participer à une session de manière ponctuelle.

Autorisé à activer le mode disponibilité étendue

Permet à l'utilisateur de recevoir des invitations par e-mail de la part d'autres utilisateurs demandant de partager une session lorsqu'il n'est pas connecté à la console d'accès.

Autorisé à modifier la clé externe

Permet à l'utilisateur de modifier la clé externe depuis le volet d'informations d'une session dans la console d'accès.

Partage d'écran d'utilisateur à utilisateur

Autorisé à montrer son écran aux autres utilisateurs

Permet à l'utilisateur de partager son écran avec un autre utilisateur sans que l'utilisateur récepteur ait besoin de rejoindre une session. Cette option est disponible même si l'utilisateur n'est pas dans une session.

Autorisé à accorder le contrôle lorsqu'il montre son écran à d'autres utilisateurs

Permet à l'utilisateur partageant son écran d'accorder le contrôle de son clavier et de sa souris à l'utilisateur regardant son écran.

Technologie Jump

Méthodes de Jump autorisées

Permet à l'utilisateur d'effectuer un Jump vers des ordinateurs en utilisant les Jump Clients, les Jump locaux sur le réseau local, les Jump distants avec un Jumpoint, les VNC distants avec un Jumpoint, les RDP distants avec un Jumpoint, les Jump Web avec un Jumpoint, les Shell Jump avec un Jumpoint et/ou les Jump en tunnel par protocole avec un Jumpoint.

Rôles d'élément de Jump

Le rôle d'élément de Jump est un ensemble prédéfini d'autorisations relatives à la gestion et à l'utilisation d'un élément de Jump. Pour chaque paramètre, cliquez sur Afficher pour ouvrir le rôle d'élément de Jump dans un nouvel onglet.

Le rôle Par défaut n'est utilisé que lorsque Utiliser les paramètres par défaut de l'utilisateur est défini pour cet utilisateur dans un groupe de Jump.

Le rôle Personnel ne s'applique qu'aux éléments de Jump attachés à la liste personnelle d'éléments de Jump d'un utilisateur.

Le rôle Équipe ne s'applique qu'aux éléments de Jump attachés à la liste personnelle d'éléments de Jump d'un membre de l'équipe doté d'un rôle inférieur. Ainsi, un chef d'équipe peut visualiser les éléments de Jump d'un responsable ou d'un membre de son équipe, et un responsable d'équipe peut visualiser les éléments de Jump personnels d'un membre de son équipe.

Le rôle Système s'applique au reste des éléments de Jump du système. Pour la plupart des utilisateurs, ce rôle est en principe défini sur Aucun accès. S'il est défini sur une autre option, l'utilisateur est ajouté à des groupes de Jump auxquels il ne devrait pas être assigné, et, dans la console d'accès, il est en mesure de visualiser la liste personnelle d'éléments de Jump de membres n'appartenant pas à son équipe.

Autorisations d'éléments de Jump : Autorisé à démarrer des sessions à partir de tous les éléments de Jump du système

Permet à l'utilisateur d'effectuer un Jump vers des ordinateurs distants placés dans tous les groupes de Jump d'équipe.

Autorisé à déployer, supprimer et modifier les éléments de Jump dans les groupes de Jumps suivants

Permet à l'utilisateur d'attacher des sessions, de définir des groupes et d'ajouter des commentaires aux éléments de Jump uniquement pour son groupe de Jump personnel ; pour les groupes de Jump de l'équipe et de ses membres ; ou pour tous les groupes de Jump, y compris ceux déployés pour des équipes auxquelles l'utilisateur n'appartient pas ainsi qu'au groupe de Jump personnel de tout utilisateur.

Autorisé à modifier les règles de session associées aux éléments de Jump

Permet à l'utilisateur de définir la règle de session qu'un élément de Jump doit utiliser. Toute modification de la règle de session peut affecter les autorisations associées à la session.

Autorisations de session

Définissez les règles de demande et d'autorisation devant s'appliquer aux sessions de cet utilisateur. Sélectionnez une règle de session existante ou définissez des autorisations personnalisées pour cet utilisateur. Notez que l'option Non défini entraîne l'utilisation de la règle globale par défaut. Ces autorisations peuvent être remplacées par une règle de niveau supérieur.

Description

Affichez la description d'une règle de permission de session prédéfinie.

Partage d'écran

Partage d'écran

Permet à l'utilisateur de voir ou de contrôler l'écran distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Restrictions de partage d'applications

Limiter l'accès aux applications spécifiées sur le système distant avec N'autoriser que les exécutables répertoriés ou Ne refuser que les exécutables répertoriés. Vous pouvez aussi choisir d'autoriser ou de refuser l'accès au bureau.

Remarque : Cette fonction ne s'applique qu'aux systèmes Windows et Linux et n'inclut ni de sessions de protocole de bureau à distance (RDP) ni de sessions d'informatique virtuelle en réseau (VNC). et n'inclut pas de sessions de protocole de bureau à distance (RDP).

Ajouter des exécutables

Si des restrictions de partage d'application sont imposées, un bouton Ajouter des exécutables apparaît. Cliquer sur ce bouton ouvre un dialogue qui vous permet de spécifier quels exécutables autoriser ou refuser, en fonction de vos objectifs.

Après avoir ajouté des exécutables, un ou deux tableaux affichent les noms ou hachages de fichier que vous avez sélectionnés pour la restriction. Un champ de commentaire modifiable permet d'écrire des notes d'administration.

Entrer les noms de fichier ou hachages SHA-256 (un par ligne)

Lorsque vous restreignez des exécutables, saisissez manuellement les noms ou hachages des fichiers exécutables que vous souhaitez autoriser ou refuser. Cliquez sur Ajouter des exécutables lorsque vous avez terminé pour ajouter les fichiers choisis à votre configuration.

Vous pouvez saisir jusqu'à 25 fichiers par dialogue. Si vous avez besoin d'en ajouter davantage, cliquez sur Ajouter des exécutables puis rouvrez le dialogue.

Rechercher un ou plusieurs fichiers

Lorsque vous restreignez des exécutables, sélectionnez cette option pour parcourir votre système et choisir les fichiers exécutables pour obtenir automatiquement leurs noms ou hachages. Si vous sélectionnez des fichiers de votre plate-forme locale et du système de cette manière, assurez-vous que les fichiers sont bien des exécutables. Aucune vérification au niveau du navigateur n'est effectuée.

Choisissez Utiliser le nom de fichier ou Utiliser le hachage de fichier pour que le navigateur obtienne les noms ou hachages des fichiers exécutables automatiquement. Cliquez sur Ajouter des exécutables lorsque vous avez terminé pour ajouter les fichiers choisis à votre configuration.

Vous pouvez saisir jusqu'à 25 fichiers par dialogue. Si vous avez besoin d'en ajouter davantage, cliquez sur Ajouter des exécutables puis rouvrez le dialogue.

Remarque : Cette option n'est disponible que dans les navigateurs modernes, pas dans les navigateurs plus anciens.

Restrictions de point de terminaison autorisées

Définissez si l'utilisateur peut interrompre l'entrée souris et clavier du système distant. L'utilisateur peut aussi empêcher l'affichage du bureau distant.

Autorisé à se connecter à l'aide d'informations d'authentification venant d'un gestionnaire d'informations d'authentification de point de terminaison

Activez la connexion d'un utilisateur à votre gestionnaire d'informations d'authentification de point de terminaison pour utiliser les informations d'authentification de vos magasins ou banques de mot de passe existants.

L'utilisation du gestionnaire d'informations d'authentification de point de terminaison nécessite un accord de services séparé avec Bomgar. Une fois qu'un accord de services est en place, vous pouvez télécharger le middleware requis auprès du centre de self-service de Bomgar.

Remarque : Avant la version 15.2, cette fonction n'est disponible que dans les sessions lancées depuis un Jump Client aux droits accrus sur Windows®. Dès la version 15.2, il est également possible d'utiliser un gestionnaire d'informations d'authentification de point de terminaison dans les sessions de Jump distants, les sessions de protocole de bureau à distance Microsoft®, les sessions d'informatique virtuelle en réseau et les sessions de Shell Jump. Vous pouvez aussi utiliser cette fonction avec l'action Exécuter en tant que spécial dans une session de partage d'écran sur un système Windows®.

Annotations

Permet à l'utilisateur d'utiliser les outils d'annotation pour dessiner sur l'écran du système distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Transfert de fichiers

Transfert de fichiers

Permet à l'utilisateur d'envoyer des fichiers vers le système distant, de télécharger des fichiers depuis le système distant, ou les deux. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Chemins accessibles sur le système de fichiers du point de terminaison

Permet à l'utilisateur de transférer des fichiers de et vers n'importe quel répertoire sur le système distant ou uniquement les répertoires spécifiés.

Chemins accessibles sur le système de fichiers de l'utilisateur

Permet à l'utilisateur de transférer des fichiers de et vers n'importe quel répertoire sur son système local ou uniquement les répertoires spécifiés.

Interpréteur de commandes

Interpréteur de commandes

Permet à l'utilisateur de saisir des commandes sur l'ordinateur distant par l'intermédiaire d'une interface en ligne de commande virtuelle. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Informations système

Informations système

Permet à l'utilisateur de consulter les informations système de l'ordinateur distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Autorisé à utiliser les actions relatives aux informations système

Permet à l'utilisateur d'interagir avec les processus et les programmes sur le système distant sans avoir recours au partage d'écran. Le technicien d'assistance peut ainsi désinstaller des programmes, supprimer des processus ou encore démarrer, arrêter, mettre en pause, reprendre et redémarrer des services.

Accès au registre

Accès au registre

Permet à l'utilisateur d'agir sur le registre d'un système Windows distant sans avoir recours au partage d'écran. Le technicien d'assistance peut ainsi afficher, ajouter, supprimer, modifier, rechercher et importer/exporter des clés.

Autres outils

Scripts prédéfinis

Permet à l'utilisateur d'exécuter des scripts prédéfinis créés pour ses équipes. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Accroissement des droits

Permet à l'utilisateur de tenter d'accroître les droits du client de point de terminaison pour s'exécuter avec des droits administratifs sur le système distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Planning de connexion

Restreindre la connexion de l'utilisateur selon le planning suivant

Définissez un planning afin de déterminer les périodes pendant lesquelles les utilisateurs peuvent se connecter à la console d'accès. Définissez le fuseau horaire à utiliser pour ce planning, puis ajoutez une ou plusieurs entrées de planification. Pour chaque entrée, indiquez l'heure et la date de début ainsi que l'heure et la date de fin.

Par exemple, si la période définie commence à 8 h et se termine à 17 h, un utilisateur peut se connecter à n'importe quel moment au cours de cette période et peut continuer à travailler passée l'heure de fin. Il ne sera toutefois pas autorisé à se reconnecter après 17 h.

Forcer la déconnexion lorsque le planning ne permet pas l'ouverture d'une session

Si un contrôle d'accès plus strict est requis, cochez cette option. Ceci force la déconnexion de l'utilisateur à l'heure de fin définie. Dans ce cas, l'utilisateur reçoit des notifications récurrentes à partir de 15 minutes avant d'être déconnecté. Lorsque l'utilisateur est déconnecté, toutes les sessions possédées suivront les règles de récupération.

Composition

Ajouter aux équipes

Ajouter aux équipes d'assistance technique

Lancez une recherche pour trouver les équipes auxquelles les membres de cette règle de groupe devraient appartenir. Vous pouvez définir les rôles Membre de l'équipe, Chef d'équipe ou Responsable d'équipe. Ces rôles jouent un rôle important pour la fonction Tableau de bord de la console d'accès. Cliquez sur Ajouter.

Les équipes ajoutées figurent dans un tableau. Il est possible de modifier le rôle d'un membre d'une équipe ou de supprimer l'équipe de la liste.

Supprimer des équipes

Supprimer des équipes d'assistance technique

Recherchez les équipes dont les membres de cette règle de groupe devraient être supprimés, puis cliquez sur Ajouter. Les équipes supprimées figurent dans un tableau. Il est possible de supprimer une équipe de la liste.

Ajouter aux Jumpoints

Recherchez les Jumpoints auxquels les membres de cette règle de groupe devraient pouvoir accéder, puis cliquez sur Ajouter. Les Jumpoints ajoutés figurent dans un tableau. Il est possible de supprimer un Jumpoint de la liste.

Supprimer des Jumpoints

Recherchez les Jumpoints dont les membres de cette règle de groupe ne devraient pas être supprimés, puis cliquez sur Ajouter. Les Jumpoints supprimés figurent dans un tableau. Il est possible de supprimer un Jumpoint de la liste.

Ajouter aux groupes de Jump

Recherchez les groupes de Jump auxquels les membres de cette règle de groupe devraient appartenir. Il est possible de paramétrer le rôle d'élément de Jump de chaque utilisateur pour définir son type d'autorisation vis-à-vis des éléments de Jump dans ce groupe de Jump. Vous pouvez aussi utiliser les rôles d'élément de Jump par défaut de l'utilisateur définis dans cette règle de groupe ou sur la page Utilisateurs et sécurité > Utilisateurs. Il est possible de paramétrer le rôle d'élément de Jump de chaque utilisateur pour définir son type d'autorisation vis-à-vis des éléments de Jump dans ce groupe de Jump. Vous pouvez aussi utiliser les rôles d'élément de Jump par défaut de l'utilisateur définis dans cette règle de groupe ou sur la page Utilisateurs et sécurité > Utilisateurs. Un rôle d'élément de Jump est un ensemble prédéfini d'autorisations relatives à la gestion et à l'utilisation d'un élément de Jump.

Vous pouvez aussi appliquer une règle de Jump pour gérer l'accès aux éléments de Jump dans ce groupe de Jump. Vous pouvez aussi appliquer une règle de Jump pour gérer l'accès de l'utilisateur aux éléments de Jump dans ce groupe de Jump. Si vous sélectionnez Défini sur les éléments de Jump, la règle de Jump sera appliquée à l'élément de Jump lui-même. Les règles de Jump sont configurées sur la page Jump > Règles de Jump et déterminent les périodes pendant lesquelles un utilisateur peut accéder à cet élément de Jump. Une règle de Jump peut également envoyer une notification lorsqu'on y accède, ou peut exiger l'approbation pour l'accès. Si aucune règle de Jump n'est appliquée pour l'utilisateur ou l'élément de Jump, cet élément de Jump est accessible sans restriction.

Les groupe de Jump ajoutés figurent dans un tableau. Il est possible de modifier les paramètres d'un groupe de Jump ou de supprimer le groupe de Jump de la liste.

Supprimer des groupes de Jump

Recherchez les groupes de Jump dont les membres de cette règle de groupe devraient être supprimés, puis cliquez sur Ajouter. Les groupe de Jump supprimés figurent dans un tableau. Il est possible de supprimer un groupe de Jump de la liste.

Enregistrer la règle

Cliquez sur Enregistrer la règle pour l'activer.

Exporter la règle

Vous pouvez exporter une règle de groupe à partir d'un site et importer ces autorisations dans une règle sur un autre site. Modifiez la règle que vous souhaitez exporter et faites défiler jusqu'au bas de la page. Cliquez sur Exporter la règle et enregistrez le fichier.

Remarque : Lors de l'exportation d'une règle de groupe, seuls le nom de la règle, les paramètres du compte et les autorisations sont exportés. Les membres de la règle, les appartenances à des équipes et des Jumpoints ne sont pas inclus dans l'exportation.

Importer la règle

Vous pouvez importer des paramètres de règles de groupe exportés dans les autres sites Bomgar prenant en charge l'importation de règles de groupe. Créez une nouvelle règle de groupe ou modifiez une règle existante dont vous souhaitez remplacer les autorisations, et faites défiler jusqu'au bas de la page. Naviguez jusqu'au fichier de la règle, puis cliquez sur Importer la règle. Une fois le fichier de la règle chargé, la page s'actualisera pour vous permettre d'effectuer des modifications ; cliquez sur Enregistrer la règle pour activer la règle de groupe.

Remarque : L'importation d'un fichier de règle dans une règle de groupe existante remplacera toutes les autorisations précédemment définies, sauf les membres de la règle, et les appartenances à des équipes et des Jumpoints.