Règles de groupe : Application d’autorisations utilisateur à des groupes d’utilisateurs

Utilisateurs et sécurité

Règles de groupe

Règles de groupe

La page Règles de groupe vous permet de définir des groupes d’utilisateurs qui partagent des privilèges communs.

Ajouter une nouvelle règle, modifier, supprimer

Créer une nouvelle règle, modifier ou supprimer une règle existante.

Si vous modifiez la règle de groupe qui est celle par défaut pour le fournisseur local, ou qui comporte des utilisateurs administrateurs locaux et que vous supprimez les autorisations d’administrateur, un message d’avertissement s’affiche. Assurez-vous que les autres utilisateurs disposent des autorisations d’administrateur avant de continuer.

Modifier l’ordre

Cliquez sur le bouton Modifier l’ordre pour faire glisser et déposer les règles de groupe afin de définir leur priorité. Cliquez sur Enregistrer l’ordre pour que les changements de priorité prennent effet. Lorsque plusieurs règles s’appliquent à un utilisateur donné, les autorisations prennent effet en commençant en haut de la liste Règles de groupe, puis en descendant dans la liste. Si une autorisation entre en conflit avec une autorisation appliquée par une règle de groupe située plus haut dans la liste, l’autorisation la plus basse écrasera la plus élevée, à moins que la plus élevée n’ait été définie en tant que Final. En bref, les règles de groupe qui apparaissent plus bas dans la liste ont une priorité fonctionnelle plus élevée que celles qui sont plus haut.

Copier

Pour accélérer la création de règles de groupe semblables, cliquez sur Copier pour créer une nouvelle règle avec des réglages identiques. Vous pouvez ensuite modifier cette nouvelle règle pour répondre à vos exigences spécifiques.

Ajouter ou modifier une règle

Nom de la règle

Créez un nom unique permettant d’identifier cette règle.

Membres disponibles et membres de la règle

Pour assigner des membres, sélectionnez un membre depuis la liste Membres disponibles et cliquez sur Ajouter pour le déplacer dans la zone Membres de la règle. Utilisez le champ de recherche sur la droite pour trouver des membres existants.

Vous pouvez sélectionner des utilisateurs dans votre système local, ou sélectionner des utilisateurs ou des groupes entiers à partir des fournisseurs de sécurité configurés. Pour ajouter des utilisateurs et des groupes d’un magasin d’annuaires externe comme un LDAP, RADIUS ou Kerberos, vous devez d’abord configurer la connexion sur la page /login > Utilisateurs et sécurité > Fournisseurs de sécurité. Si une tentative d’ajout d’un utilisateur d’un fournisseur de sécurité configuré n’est pas valide, le message d’erreur de journal de synchronisation apparaît ici et dans le journal.

Paramètres du compte

Quels paramètres de compte cette règle de groupe doit-elle contrôler ?

Pour chaque paramètre, déterminez s’il est défini dans cette règle ou librement disponible à la configuration pour des utilisateurs individuels. Si cela est défini, vous ne pourrez pas modifier ce privilège pour un utilisateur individuel depuis la page de son compte utilisateur.

Si vous avez une règle qui définit une autorisation et que vous ne voulez pas que n’importe quelle règle puisse remplacer cette autorisation, vous devez indiquer que cette autorisation ne peut pas être remplacée, et la règle doit avoir une priorité supérieure à celle des autres règles qui définissent également ce paramètre.

Authentification à deux facteurs

L’authentification à deux facteurs (2FA) fait appel à une application d’authentification pour créer un code unique limité dans le temps et se connecter à l’interface d’administration et à la console d’accès. Lorsque Requis est sélectionné, l’utilisateur est invité à s’inscrire et à se servir de l’authentification 2FA à sa prochaine connexion. Lorsque Optionnel est sélectionné, l’utilisateur a la possibilité d’utiliser l’authentification 2FA, mais il n’y est pas contraint.

les utilisateurs qui se connectaient à l’aide de codes obtenus par e-mail passent automatiquement à l’authentification 2FA. Ils ont toutefois la possibilité d’utiliser des codes e-mail jusqu’à ce qu’ils soient inscrits sur une application. Après une première utilisation de 2FA, l’option du code e-mail n’est plus disponible.

Expiration du compte

Lorsque cette case est cochée, le compte n’expire jamais. Lorsque cette case n’est pas cochée, une date d’expiration du compte doit être définie.

Compte désactivé

Vous permet de désactiver le compte pour que l’utilisateur ne puisse plus se connecter. Une désactivation ne supprime PAS le compte.

Commentaires

Ajoutez des commentaires pour aider à identifier la fonction de cet objet.

Autorisations générales

Quels paramètres globaux cette règle de groupe doit-elle contrôler ?

Pour chaque paramètre, déterminez s’il est défini dans cette règle ou librement disponible à la configuration pour des utilisateurs individuels. Si cela est défini, vous ne pourrez pas modifier ce privilège pour un utilisateur individuel depuis la page de son compte utilisateur.

Si vous avez une règle qui définit une autorisation et que vous ne voulez pas que n’importe quelle règle puisse remplacer cette autorisation, vous devez indiquer que cette autorisation ne peut pas être remplacée, et la règle doit avoir une priorité supérieure à celle des autres règles qui définissent également ce paramètre.

Administration

Privilèges administratifs

Accorde des droits d’administration complets à l’utilisateur.

Privilèges administratifs Vault

Autorise l’accès de l’utilisateur à Vault.

Paramètres de mot de passe

Permet à l’utilisateur de définir des mots de passe et de débloquer des comptes pour les utilisateurs locaux ne disposant pas de droits d’administrateur.

Modification d’un Jumpoint

Permet à l’utilisateur de créer ou de modifier des Jumpoints. Cette option n’affecte pas la capacité de l’utilisateur à accéder à des ordinateurs distants via un Jumpoint, qui est configurée par Jumpoint ou règle de groupe.

Modification d’équipe

Permet à l’utilisateur de créer ou de modifier des équipes.

Modification d’un groupe de Jump

Permet à l’utilisateur de créer ou de modifier les groupe de Jump.

Modification de script prédéfini

Permet à l’utilisateur de créer ou de modifier des scripts prédéfinis en vue de les utiliser dans des sessions de partage d’écran ou d’interpréteur de commandes.

Modification de lien personnalisé

Permet à l’utilisateur de créer ou de modifier des liens personnalisés.

Rapport en cours

Accès aux sessions et rapports d’équipe

Autorise l’utilisateur à consulter les rapports sur les sessions d’accès. Selon l’option sélectionnée, les utilisateurs peuvent afficher leurs sessions, leurs sessions de groupe de Jump ou toutes les sessions.

Autorisé à consulter les rapports sur les sessions d’accès

Permet à l’utilisateur d’établir des rapports sur l’activité des access session, en visualisant uniquement les sessions pour lesquelles il était le propriétaire principal de la session, uniquement les sessions pour les points de terminaison appartenant à un groupe de Jump dont l’utilisateur est membre, ou toutes les sessions.

Autorisé à voir les enregistrements de Access Session

Permet à l’utilisateur de lire les enregistrements vidéo des sessions de partage d’écran et des sessions d’interpréteur de commandes.

Accès aux rapports Vault

Autorise l’utilisateur à consulter les rapports Vault. Selon l’option sélectionnée, les utilisateurs peuvent afficher leurs sessions ou toutes les sessions.

Autorisé à consulter les rapports Vault

Permet à l’utilisateur de consulter ses propres événements Vault ou tous les événements Vault.

Autorisations d’accès

Autorisé à accéder aux points de terminaison

Permet à l’utilisateur d’utiliser la access console pour exécuter des sessions. Si l’accès au point de terminaison est activé, les options relatives à l’accès au point de terminaison seront également disponibles.

Gestion de session

Autorisé à partager les sessions avec des équipes auxquelles il n’appartient pas

Permet à l’utilisateur d’inviter un ensemble moins limité d’utilisateurs pour partager des sessions, pas seulement des membres de son équipe. Combinée à la permission de disponibilité étendue, cette permission développe les capacités de partage de session.

Autorisé à inviter des utilisateurs externes

Permet à l’utilisateur d’inviter un utilisateur tiers à participer à une session de manière ponctuelle.

Autorisé à activer le mode disponibilité étendue

Permet à l’utilisateur de recevoir des invitations par e-mail de la part d’autres utilisateurs demandant de partager une session, même lorsqu’il n’est pas connecté à la access console.

Autorisé à modifier la clé externe

Permet à l’utilisateur de modifier la clé externe depuis le volet d’informations d’une session dans la access console.

Partage d’écran d’utilisateur à utilisateur

Autorisé à montrer son écran aux autres utilisateurs

Permet à l’utilisateur de partager son écran avec un autre utilisateur sans que l’utilisateur récepteur ait besoin de rejoindre une session. Cette option est disponible même si l’utilisateur n’est pas dans une session.

Autorisé à accorder le contrôle lorsqu’il montre son écran à d’autres utilisateurs

Permet à l’utilisateur partageant son écran d’accorder le contrôle de son clavier et de sa souris à l’utilisateur regardant son écran.

Technologie Jump

Méthodes d’élément de Jump autorisées

Permet à l’utilisateur d’effectuer un Jump vers des ordinateurs en utilisant les Jump Clients, les Jump locaux sur le réseau local, les Jump distants avec un Jumpoint, les VNC distants avec un Jumpoint, les RDP distants avec un Jumpoint, les Jump Web avec un Jumpoint, les Shell Jump avec un Jumpoint et les Jump en tunnel par protocole avec un Jumpoint.

Rôles d’élément de Jump

Le rôle d’élément de Jump est un ensemble prédéfini d’autorisations relatives à la gestion et à l’utilisation d’un élément de Jump. Pour chaque paramètre, cliquez sur Afficher pour ouvrir le rôle d’élément de Jump dans un nouvel onglet.

Le rôle Par défaut n’est utilisé que lorsque Utiliser les paramètres par défaut de l’utilisateur est défini pour cet utilisateur dans un groupe de Jump.

Le rôle Personnel ne s’applique qu’aux éléments de Jump attachés à la liste personnelle d’éléments de Jump d’un utilisateur.

Le rôle Équipe ne s’applique qu’aux éléments de Jump attachés à la liste personnelle d’éléments de Jump d’un membre de l’équipe doté d’un rôle inférieur. Ainsi, un chef d’équipe peut visualiser les éléments de Jump d’un responsable ou d’un membre de son équipe, et un responsable d’équipe peut visualiser les éléments de Jump personnels d’un membre de son équipe.

Le rôle Système s’applique au reste des éléments de Jump du système. Pour la plupart des utilisateurs, ce rôle est en principe défini sur Aucun accès. S’il est défini sur une autre option, l’utilisateur est ajouté à des groupes de Jump auxquels il ne devrait pas être assigné, et, dans la access console, il est en mesure de visualiser la liste personnelle d’éléments de Jump de membres n’appartenant pas à son équipe.

Autorisations de session

Définissez les règles de demande et d’autorisation devant s’appliquer aux sessions de cet utilisateur. Sélectionnez une règle de session existante ou définissez des autorisations personnalisées pour cet utilisateur. Notez que l’option Non défini entraîne l’utilisation de la règle globale par défaut. Ces autorisations peuvent être remplacées par une règle de niveau supérieur.

Description

Affichez la description d’une règle de permission de session prédéfinie.

Partage d’écran

Règles de partage d’écran

Permet à l’utilisateur de voir ou de contrôler l’écran distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter la section Contrôler le point de terminaison à distance avec partage d’écran.

Sens de synchronisation du presse-papiers

Sélectionnez la manière dont le contenu du presse-papiers circule entre les techniciens d’assistance et les utilisateurs finaux. Les options sont :

  • Non autorisé : Le technicien d’assistance n’est pas autorisé à utiliser le presse-papiers, aucune icône de presse-papiers ne s’affiche dans la access console et les commandes couper-coller ne fonctionnent pas.
  • Autorisé du technicien d’assistance vers l’utilisateur : Le technicien d’assistance peut envoyer le contenu du presse-papiers au client, mais ne peut pas le coller à partir du presse-papiers de l’utilisateur final. Seule l’icône du presse-papiers Envoyer s’affiche dans la access console.
  • Envoyer dans les deux sens : Le contenu du presse-papiers peut circuler dans les deux sens. Les icônes du presse-papiers Envoyer et Obtenir s’affichent dans la access console.

Pour plus d’informations sur le Mode de synchronisation du presse-papiers, veuillez consulter Sécurité : Gestion des paramètres de sécurité.)

Restrictions de partage d’applications

Limiter l’accès aux applications spécifiées sur le système distant avec N’autoriser que les exécutables répertoriés ou Ne refuser que les exécutables répertoriés. Vous pouvez aussi choisir d’autoriser ou de refuser l’accès au bureau.

Notez que cette fonction n’est valable que pour les systèmes d’exploitation Windows.

Ajouter des exécutables

Si des restrictions de partage d’application sont imposées, un bouton Ajouter des exécutables apparaît. Cliquer sur ce bouton ouvre un dialogue qui vous permet de spécifier quels exécutables autoriser ou refuser, en fonction de vos objectifs.

Après avoir ajouté des exécutables, un ou deux tableaux affichent les noms ou hachages de fichier que vous avez sélectionnés pour la restriction. Un champ de commentaire modifiable permet d’écrire des notes d’administration.

Entrer les noms de fichier ou hachages SHA-256 (un par ligne)

Lorsque vous restreignez des exécutables, saisissez manuellement les noms ou hachages des fichiers exécutables que vous souhaitez autoriser ou refuser. Cliquez sur Ajouter des exécutables lorsque vous avez terminé pour ajouter les fichiers choisis à votre configuration.

Vous pouvez saisir jusqu’à 25 fichiers par dialogue. Si vous avez besoin d'en ajouter davantage, cliquez sur Ajouter des exécutables puis rouvrez le dialogue.

Rechercher un ou plusieurs fichiers

Lorsque vous restreignez des exécutables, sélectionnez cette option pour parcourir votre système et choisir les fichiers exécutables pour obtenir automatiquement leurs noms ou hachages. Si vous sélectionnez des fichiers de votre plate-forme locale et du système de cette manière, assurez-vous que les fichiers sont bien des exécutables. Aucune vérification au niveau du navigateur n’est effectuée.

Choisissez Utiliser le nom de fichier ou Utiliser le hachage de fichier pour que le navigateur obtienne les noms ou hachages des fichiers exécutables automatiquement. Cliquez sur Ajouter des exécutables lorsque vous avez terminé pour ajouter les fichiers choisis à votre configuration.

Vous pouvez saisir jusqu’à 25 fichiers par dialogue. Si vous avez besoin d'en ajouter davantage, cliquez sur Ajouter des exécutables puis rouvrez le dialogue.

cette option n’est disponible que dans les navigateurs modernes, pas dans les navigateurs plus anciens.

Restrictions de point de terminaison autorisées

Définissez si l’utilisateur peut interrompre l’entrée souris et clavier du système distant. L’utilisateur peut aussi empêcher l’affichage du bureau distant.

Pour plus d’informations, veuillez consulter la section Contrôler le point de terminaison à distance avec partage d’écran.

Annotations

Règles d’annotation

Permet à l’utilisateur d’utiliser les outils d’annotation pour dessiner sur l’écran du système distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter la section Utiliser les annotations pour dessiner sur l’écran distant du point de terminaison.

Transfert de fichiers

Règles de transfert de fichiers

Permet à l’utilisateur d’envoyer des fichiers vers le système distant, de télécharger des fichiers depuis le système distant, ou les deux. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Chemins accessibles sur le système de fichiers du point de terminaison

Permettre à l’utilisateur de transférer des fichiers de et vers n’importe quel répertoire sur le système distant ou uniquement les répertoires spécifiés.

Chemins accessibles sur le système de fichiers de l’utilisateur

Permettre à l’utilisateur de transférer des fichiers de et vers n’importe quel répertoire sur son système local ou uniquement les répertoires spécifiés.

Pour plus d’informations, veuillez consulter la section Transfert de fichiers vers et depuis le point de terminaison de système distant.

Interpréteur de commandes

Règles de l’interpréteur de commandes

Permet à l’utilisateur de saisir des commandes sur l’ordinateur distant par l’intermédiaire d’une interface en ligne de commande virtuelle. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

l’accès à l’interpréteur de commandes ne peut pas être restreint lors de sessions de Shell Jump.

Configurez le filtrage des commandes pour empêcher l’utilisation accidentelle de commandes pouvant endommager les systèmes des points de terminaison.

Pour plus d’informations sur le filtrage de commandes, veuillez consulter la section Utiliser un Shell Jump pour accéder à un appareil réseau distant.

Pour plus d’informations, veuillez consulter la section Ouvrir l’interpréteur de commandes sur le point de terminaison distant en utilisant la console d’accès.

Informations système

Règles relatives aux informations système

Permet à l’utilisateur de consulter les informations système de l’ordinateur distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Autorisé à utiliser les actions relatives aux informations système

Permet à l’utilisateur d’interagir avec les processus et les programmes sur le système distant sans avoir recours au partage d’écran. Le technicien d’assistance peut ainsi désinstaller des programmes, supprimer des processus ou encore démarrer, arrêter, mettre en pause, reprendre et redémarrer des services.

Pour plus d’informations, veuillez consulter la section Consulter les informations système sur le point de terminaison distant.

Accès au registre

Règles d’accès au registre

Permet à l’utilisateur d’agir sur le registre d’un système Windows distant sans avoir recours au partage d’écran. Le technicien d’assistance peut ainsi afficher, ajouter, supprimer, modifier, rechercher et importer/exporter des clés.

Pour plus d’informations, veuillez consulter la section Accès à l’éditeur de registre distant sur le point de terminaison distant.

Scripts prédéfinis

Règles de script prédéfini

Permet à l’utilisateur d’exécuter des scripts prédéfinis créés pour ses équipes. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter la section Ouvrir l’interpréteur de commandes sur le point de terminaison distant en utilisant la Access Console.

Paramètres de disponibilité

Planning de connexion

Restreindre la connexion de l’utilisateur selon le planning suivant

Définissez un planning afin de déterminer les périodes pendant lesquelles les utilisateurs peuvent se connecter à la access console. Définissez le fuseau horaire à utiliser pour ce planning, puis ajoutez une ou plusieurs entrées de planification. Pour chaque entrée, indiquez l’heure et la date de début ainsi que l’heure et la date de fin.

Par exemple, si la période définie commence à 8 h et se termine à 17 h, un utilisateur peut se connecter à n’importe quel moment au cours de cette période et peut continuer à travailler passée l’heure de fin. Il ne sera toutefois pas autorisé à se reconnecter après 17 h.

Forcer la déconnexion lorsque le planning ne permet pas l’ouverture d’une session

Si un contrôle d’accès plus strict est requis, cochez cette option. Ceci force la déconnexion de l’utilisateur à l’heure de fin définie. Dans ce cas, l’utilisateur reçoit des notifications récurrentes à partir de 15 minutes avant d’être déconnecté. Lorsque l’utilisateur est déconnecté, toutes les sessions possédées suivront les règles de récupération.

Composition

Ajouter une appartenance à des équipes

Lancez une recherche pour trouver les équipes auxquelles les membres de cette règle de groupe devraient appartenir. Vous pouvez définir les rôles Membre de l’équipe, Chef d’équipe ou Responsable d’équipe. Ces rôles représentent une part significative de la fonction Tableau de bord de la access console. Cliquez sur Ajouter.

Les équipes ajoutées figurent dans un tableau. Il est possible de modifier le rôle d’un membre d’une équipe ou de supprimer l’équipe de la liste.

Supprimer une appartenance à des équipes

Recherchez les équipes dont les membres de cette règle de groupe devraient être supprimés, puis cliquez sur Ajouter. Les équipes supprimées figurent dans un tableau. Il est possible de supprimer une équipe de la liste.

Ajouter une appartenance à un Jumpoint

Recherchez les Jumpoints auxquels les membres de cette règle de groupe devraient pouvoir accéder, puis cliquez sur Ajouter. Les Jumpoints ajoutés figurent dans un tableau. Il est possible de supprimer un Jumpoint de la liste.

Supprimer une appartenance à un Jumpoint

Recherchez les Jumpoints dont les membres de cette règle de groupe ne devraient pas être supprimés, puis cliquez sur Ajouter. Les Jumpoints supprimés figurent dans un tableau. Il est possible de supprimer un Jumpoint de la liste.

Ajouter des appartenances de groupe de Jump

Recherchez les groupes de Jump auxquels les membres de cette règle de groupe devraient appartenir. Il est possible de paramétrer le rôle d’élément de Jump de chaque utilisateur pour définir son type d’autorisation vis-à-vis des éléments de Jump dans ce groupe de Jump. Vous pouvez aussi utiliser les rôles d’élément de Jump par défaut de l’utilisateur définis dans cette règle de groupe ou sur la page Utilisateurs et sécurité > Utilisateurs. Le rôle d’élément de Jump est un ensemble prédéfini d’autorisations relatives à la gestion et à l’utilisation d’un élément de Jump.

Pour plus d’informations, veuillez consulter la section Utiliser les rôles d’éléments de Jump pour configurer les groupes d’autorisation des éléments de Jump.

Vous pouvez aussi appliquer une règle de Jump pour gérer l’accès aux éléments de Jump dans ce groupe de Jump. Si vous sélectionnez Défini sur les éléments de Jump, la règle de Jump sera appliquée à l’élément de Jump lui-même. Les règles de Jump sont configurées sur la page Jump > Règles de Jump et déterminent les périodes pendant lesquelles un utilisateur peut accéder à cet élément de Jump. Une règle de Jump peut également envoyer une notification lorsqu’on y accède, ou peut exiger l’approbation pour l’accès. Si aucune règle de Jump n’est appliquée pour l’utilisateur ou l’élément de Jump, cet élément de Jump est accessible sans restriction.

Pour plus d’informations, veuillez consulter la section Créer des règles de Jump pour contrôler l’accès aux éléments de Jump.

Les groupe de Jump ajoutés figurent dans un tableau. Il est possible de modifier les paramètres d’un groupe de Jump ou de supprimer le groupe de Jump de la liste.

Supprimer des appartenances de groupe de Jump

Recherchez les groupes de Jump dont les membres de cette règle de groupe devraient être supprimés, puis cliquez sur Ajouter. Les groupe de Jump supprimés figurent dans un tableau. Il est possible de supprimer un groupe de Jump de la liste.

Ajouter des appartenances à un compte Vault

Recherchez un compte, sélectionnez le Rôle de compte de Vault, puis cliquez sur Ajouter pour accorder aux membres de la règle l’accès au compte de Vault sélectionné. Les utilisateurs peuvent voir leurs appartenances ajoutées par d’autres règles de groupe. Consultez Vault > Comptes pour voir tous les membres de chaque compte. Les utilisateurs peuvent assigner aux comptes Vault l’un des deux rôles :

  • Injecter (valeur par défaut) : Les utilisateurs dotés de ce rôle peuvent utiliser ce compte dans des sessions Privileged Remote Access.
  • Injecter et extraire : Les utilisateurs dotés de ce rôle peuvent utiliser ce compte dans des sessions Privileged Remote Access et peuvent extraire le compte sur /login. L’autorisation d’extraction n’a pas d’effet sur les comptes génériques SSH.

activez l’autorisation Ajouter des appartenances à un compte Vault pour assigner un rôle de compte Vault à un compte Vault dans une règle de groupe. Le rôle de compte Vault est visible dans la liste des comptes ajoutés à la règle de groupe.

Ajouter des appartenances à un groupe de comptes Vault

Recherchez un groupe de comptes, sélectionnez le Rôle de compte Vault puis cliquez sur Ajouter pour accorder aux membres de la règle l’accès au groupe de comptes Vault. Les utilisateurs peuvent voir leurs appartenances ajoutées par d’autres règles de groupe. Consultez Vault > Groupes de comptes pour voir tous les membres de chaque groupe. Les utilisateurs peuvent assigner au groupe de comptes Vault l’un des deux rôles :

  • Injecter (valeur par défaut) : Les utilisateurs dotés de ce rôle peuvent utiliser ce compte dans des sessions Privileged Remote Access.
  • Injecter et extraire : Les utilisateurs dotés de ce rôle peuvent utiliser ce compte dans des sessions Privileged Remote Access et peuvent extraire le compte sur /login. L’autorisation d’extraction n’a pas d’effet sur les comptes génériques SSH.

activez l’autorisation Ajouter un groupe de comptes Vault pour assigner un Rôle de compte Vault à un groupe de comptes de vault dans une règle de groupe. Le rôle de compte Vault est visible dans la liste des groupes de comptes ajoutés à la règle de groupe.

Enregistrer

Cliquez sur Enregistrer pour activer la règle.

Exporter la règle

Vous pouvez exporter une règle de groupe à partir d’un site et importer ces autorisations dans une règle sur un autre site. Modifiez la règle que vous souhaitez exporter et faites défiler jusqu’au bas de la page. Cliquez sur Exporter la règle et enregistrez le fichier.

lors de l’exportation d’une règle de groupe, seuls le nom de la règle, les paramètres du compte et les autorisations sont exportés. Les membres de la règle, les appartenances à des équipes et des Jumpoints ne sont pas inclus dans l’exportation.

Importer une règle

Vous pouvez importer des paramètres de règles de groupe exportés dans les autres sites BeyondTrust prenant en charge l’importation de règles de groupe. Créez une nouvelle règle de groupe ou modifiez une règle existante dont vous souhaitez remplacer les autorisations, et faites défiler jusqu’à la section Importer la règle en bas de la page. Cliquez sur Sélectionner un fichier de règle, naviguez jusqu’au fichier de la règle, puis cliquez sur Ouvrir. Une fois le fichier de la règle chargé, la page s’actualisera pour vous permettre d’effectuer des modifications ; cliquez sur Enregistrer pour activer la règle de groupe.

l’importation d’un fichier de règle dans une règle de groupe existante remplacera toutes les autorisations précédemment définies, sauf les membres de la règle, et les appartenances à des équipes et des Jumpoints.