Règles de groupe : application d’autorisations utilisateur à des groupes d’utilisateurs

Utilisateurs et sécurité

Règles de groupe

Règles de groupe

La page Règles de groupe vous permet de définir des groupes d’utilisateurs qui partagent des privilèges communs.

Ajouter une nouvelle règle, modifier, supprimer

Créer une nouvelle règle, modifier ou supprimer une règle existante.

si vous modifiez la règle de groupe qui est celle par défaut pour le fournisseur local, ou qui comporte des utilisateurs administrateurs locaux et que vous supprimez les autorisations d’administrateur, un message d’avertissement s’affiche. Assurez-vous que les autres utilisateurs disposent des autorisations d’administrateur avant de continuer.

Modifier l’ordre

Cliquez sur le bouton Modifier l’ordre pour faire glisser et déposer les règles de groupe afin de définir leur priorité. Cliquez sur Enregistrer l’ordre pour que les changements de priorité prennent effet. Lorsque plusieurs règles s’appliquent à un utilisateur donné, les autorisations prennent effet en commençant en haut de la liste Règles de groupe, puis en descendant dans la liste. Si une autorisation entre en conflit avec une autorisation appliquée par une règle de groupe située plus haut dans la liste, l’autorisation la plus basse écrasera la plus élevée, à moins que la plus élevée n’ait été définie en tant que Final. En bref, les règles de groupe qui apparaissent plus bas dans la liste ont une priorité fonctionnelle plus élevée que celles qui sont plus haut.

Chercher des règles de groupe

Pour trouver rapidement une règle existante dans la liste des Règles de groupe, saisissez son nom ou une partie de son nom. La liste affiche toutes les règles ayant un nom contenant le terme de recherche saisi. La liste conserve les filtres appliqués jusqu’à ce que le terme de recherche saisi soit effacé, et ce même si l’utilisateur navigue vers une autre page ou se déconnecte. Pour effacer le terme de recherche, cliquez sur le X à droite de la zone de recherche.

Si vous cliquez sur le bouton Modifier l’ordre après avoir parcouru la liste, toutes les règles de groupe s’afficheront. Vous pouvez faire glisser et déposer les règles de groupe afin de définir leur priorité. Quand vous cliquez sur Enregistrer l’ordre, les modifications prennent effet et la liste affiche les règles ayant un nom contenant le terme de recherche saisi.

Afficher tout / Réduire tout

Pour rechercher et consulter plus facilement les règles de groupe, cliquez sur le lien Afficher tout situé au-dessus de la grille pour voir les détails de toutes les règles de groupe de la liste. Cliquez sur Réduire tout pour revenir à la liste non développée des règles de groupe.

Copier

Pour accélérer la création de règles de groupe semblables, cliquez sur Copier pour créer une nouvelle règle avec des réglages identiques. Vous pouvez ensuite modifier cette nouvelle règle pour répondre à vos exigences spécifiques.

Ajouter ou modifier une règle

Après avoir effectué vos modifications, cliquez sur Enregistrer pour enregistrer vos modifications dans cette règle de groupe.

Nom de la règle

Créez un nom unique permettant d’identifier cette règle.

Membres disponibles et membres de la règle

Pour assigner des membres, sélectionnez un membre depuis la liste Membres disponibles et cliquez sur Ajouter pour le déplacer dans la zone Membres de la règle. Utilisez la case Rechercher pour trouver des membres existants.

Vous pouvez sélectionner des utilisateurs dans votre système local, ou sélectionner des utilisateurs ou des groupes entiers à partir des fournisseurs de sécurité configurés. Pour ajouter des utilisateurs et des groupes d’un magasin d’annuaires externe comme LDAP, RADIUS ou Kerberos, vous devez d’abord configurer la connexion sur la page /login > Utilisateurs et sécurité > Fournisseurs de sécurité. Si une tentative d’ajout d’un utilisateur d’un fournisseur de sécurité configuré n’est pas valide, le message d’erreur de journal de synchronisation apparaît ici et dans le journal.

Paramètres du compte

Quels paramètres de compte cette règle de groupe doit-elle contrôler ?

Décidez si un paramètre doit être Défini dans cette règle. Dans l’affirmative, vous pouvez sélectionner Final pour empêcher des règles de priorité inférieure d’outrepasser la valeur d’autorisation définie par cette règle. Sélectionnez Tout pour définir tous les paramètres dans cette section.

Authentification à deux facteurs : Connexion avec une appli d’authentification :

Choisissez si l’utilisateur doit impérativement utiliser une appli d’authentification ou si le choix lui est laissé (réglage par défaut). Si cette option est définie sur Obligatoire, la prochaine fois que l’utilisateur tentera de se connecter à l’interface d’administration ou à la console du technicien d’assistance, un écran s’affichera pour demander qu’il active l’authentification à deux facteurs.

Pour plus d’informations sur l’authentification à deux facteurs, veuillez consulter Comment utiliser l’authentification à deux facteurs avec BeyondTrust Remote Support.

Expiration du compte : Le compte n’expire jamais

Lorsque cette option est sélectionnée, le compte n’expire jamais.

Expiration du compte : Date d’expiration du compte

Avec ceci, le compte expirera à une date donnée.

Activation du compte : Compte désactivé

Désactive le compte pour que l'utilisateur ne puisse plus se connecter. Une désactivation ne supprime PAS le compte.

Modification du nom affiché : Autorisés à modifier leurs noms affichés

Permet aux utilisateurs de changer leurs noms affichés.

Modification de photo : Autorisés à modifier leurs photos

Permet aux utilisateurs de changer la photo de leur avatar, qui s’affiche sur l’interface d’administration /login et dans la fenêtre de messagerie instantanée du client d’utilisateur.

Apparaître sur le site public : Autorisé à apparaître sur le site public

Affiche le nom de l’utilisateur sur tous les sites publics sur lesquels la liste des techniciens d’assistance est activée.

Commentaires

Ajoutez des commentaires pour identifier la fonction de ce compte.

Autorisations générales

Quels paramètres globaux cette règle de groupe doit-elle contrôler ?

Décidez si un paramètre doit être Défini dans cette règle. Dans l’affirmative, vous pouvez sélectionner Final pour empêcher des règles de priorité inférieure d’outrepasser la valeur d’autorisation définie par cette règle. Sélectionnez Tout pour définir tous les paramètres dans cette section.

Administration

Privilèges administratifs : Administrateur

Accorde des droits d’administration complets à l’utilisateur.

Privilèges administratifs Vault : Autorisé à administrer Vault

Permet à l’utilisateur de gérer tous les aspects de l’add-on Vault de BeyondTrust.

Paramètres de mot de passe : Autorisé à définir les mots de passe

Permet à l’utilisateur de définir des mots de passe et de débloquer des comptes pour les utilisateurs locaux ne disposant pas de droits d’administrateur.

Modification d’un Jumpoint : Autorisé à modifier les Jumpoints

Permet à l’utilisateur de créer ou de modifier des Jumpoints. Cette option n’affecte pas la capacité de l’utilisateur à accéder à des ordinateurs distants via un Jumpoint, qui est configurée par Jumpoint ou règle de groupe.

Modification du site public : Autorisé à modifier le site public

Permet à l’utilisateur de créer et de modifier les configurations du site public, de modifier les modèles HTML, d’afficher l’interface de traduction, etc.

Modification des annonces aux utilisateurs : Autorisé à modifier les annonces aux utilisateurs

Permet aux techniciens d’assistance de créer et de modifier des messages utilisés pour notifier les utilisateurs, lorsqu’ils demandent une assistance technique, en cas d’interruptions informatiques à grand impact.

Modification du magasin de fichiers : Autorisé à modifier le magasin de fichiers

Permet à l’utilisateur d’ajouter ou de supprimer des fichiers depuis le magasin de fichiers.

Modification de message prédéfini : Autorisé à modifier les messages prédéfinis

Permet à l’utilisateur de créer ou de modifier des messages de messagerie instantanée prédéfinis.

Modification d’équipe d’assistance : Autorisé à modifier les équipes d’assistance technique

Permet à l’utilisateur de créer ou de modifier des équipes d’assistance technique.

Modification d’un groupe de Jump : Autorisé à modifier les groupes de Jump

Permet à l’utilisateur de créer ou de modifier les groupe de Jump.

Modification de problème : Autorisé à modifier les problèmes

Permet à l’utilisateur de créer et de modifier des problèmes.

Modification de compétence : Autorisé à modifier les compétences

Permet à l’utilisateur de créer et de modifier des compétences.

Modification de profil d’un Bouton d’assistance technique : Autorisé à modifier les profils Bouton d’assistance technique

Permet à l’utilisateur de personnaliser les profils de Bouton d’assistance technique.

Modification de script prédéfini : Autorisé à modifier les scripts prédéfinis

Permet à l’utilisateur de créer ou de modifier des scripts prédéfinis en vue de les utiliser dans des sessions de partage d’écran ou d’interpréteur de commandes.

Modification de lien personnalisé de technicien d’assistance : Autorisé à modifier les liens de technicien d’assistance personnalisés

Permet à l’utilisateur de créer ou de modifier des liens personnalisés.

Modification de parrain d’accès : Autorisé à modifier les parrains d’accès

Permet à l’utilisateur de créer ou de modifier des équipes de parrains d’accès.

Modification de profil iOS : Autorisé à modifier les profils iOS

Permet à l’utilisateur de créer, modifier et envoyer du contenu d’un profil Apple iOS pour le distribuer aux utilisateurs d’appareils iOS.

Rapport en cours

Accès aux sessions et rapports d’équipe : Autorisé à consulter les rapports : Session d’assistance technique

Permet à l’utilisateur d’établir des rapports sur l’activité de session d’assistance technique, en visualisant uniquement les sessions pour lesquelles il était le technicien d’assistance principal, les sessions où l’une de ses équipes était l’équipe principale ou l’un des membres de son équipe était le technicien d’assistance principal, ou toutes les sessions.

Accès aux sessions et rapports d’équipe : Autorisé à voir les enregistrements de session d’assistance technique

Permet à l’utilisateur d’afficher les enregistrements vidéo des sessions de partage d’écran, des sessions Montrer mon écran et des sessions d’interpréteur de commandes.

Accès aux rapports sur l’utilisation des licences : Autorisé à consulter les rapports sur l’utilisation des licences

Permet à l’utilisateur d’établir des rapports sur l’utilisation des licences BeyondTrust.

Accès aux rapports Vault : Autorisé à consulter les rapports Vault

Permet à l’utilisateur de lancer des rapports sur l’activité de Vault, de voir toutes les données d’événement ou seulement ses propres données.

Accès aux rapports sur la présentation : Autorisé à consulter les rapports sur les sessions de présentation

Permet à l’utilisateur d’établir des rapports sur l’activité de présentation, en visualisant uniquement les présentations dans lesquelles il était le présentateur, un autre membre de son équipe était le présentateur, ou toutes les présentations.

Autorisé à voir les enregistrements de session d’assistance technique

Permet à l’utilisateur de consulter les enregistrements des sessions de partage d’écran et des sessions d’interpréteur de commandes. Cela ne concerne pas les enregistrements de présentation.

Autorisé à consulter les rapports sur l’utilisation des licences

Autorise l’utilisateur à consulter le rapport de licences de technicien d’assistance.

Accès au rapport Syslog : Autorisé à consulter les rapports Syslog

Permet à l’utilisateur de télécharger un fichier .zip contenant tous les fichiers Syslog disponibles sur l’appliance. Les administrateurs ont automatiquement l’autorisation d’accéder à ce rapport. Les utilisateurs non administrateurs doivent demander l’accès pour consulter ce rapport.

Autorisations du technicien d’assistance

Autorisé à fournir une assistance technique à distance

Permet à l’utilisateur d’utiliser la console du technicien d’assistance pour exécuter une session d’assistance technique. Si l’assistance technique est activée, les options appartenant à l’assistance à distance seront également disponibles. Désactivez ce paramètre pour les utilisateurs uniquement autorisés à effectuer des présentations.

Gestion de session
Autorisé à générer des clés de session pour toute session d’assistance technique au sein de la console du technicien d’assistance

Permet à l’utilisateur de générer des clés de session en vue d’autoriser les utilisateurs à démarrer des sessions directement avec lui.

Pour plus d’informations, veuillez consulter Génération d’une clé de session en vue de démarrer une session d’assistance technique.

Autorisé à générer des clés d’accès pour envoyer des profils iOS

Permet à l’utilisateur de générer des clés d’accès pour offrir du contenu iOS aux utilisateurs d’appareils iOS.

Pour plus d’informations, veuillez consulter Génération d’une clé d’accès au profil Apple iOS.

Autorisé à accepter manuellement des sessions d’une file d’attente d’équipe

Permet à l’utilisateur de sélectionner et de démarrer des sessions qui se trouvent dans l’une des files d’attente de son équipe.

Pour plus d’informations, veuillez consulter Acceptation d’une session pour démarrer l’assistance technique.

Autorisé à transférer les sessions aux équipes auxquelles il n’appartient pas

Permet à l’utilisateur de transférer des sessions vers d’autres équipes que la sienne. Si elle est désactivée, l’interaction d’utilisateur est limitée aux équipes qui lui ont été attribuées.

Pour plus d’informations, veuillez consulter Vue d’ensemble des sessions d’assistance technique et outils.

Autorisé à partager les sessions avec des équipes auxquelles il n’appartient pas

Permet à l’utilisateur d’inviter un ensemble moins limité d’utilisateurs pour partager des sessions, pas seulement des membres de son équipe. Combinée à la permission de disponibilité étendue, cette permission développe les capacités de partage de session.

Pour plus d’informations, veuillez consulter Vue d’ensemble des sessions d’assistance technique et outils.

Autorisé à inviter des techniciens service client externes

Permet à l’utilisateur d’inviter un utilisateur tiers à participer à une session d’assistance technique de manière ponctuelle.

Pour plus d’informations, veuillez consulter Inviter un technicien d’assistance externe à rejoindre une session.

Autorisé à utiliser la fonctionnalité Obtenir session suivante

Permet à l’utilisateur de prendre en charge la plus ancienne session de toutes ses équipes placée dans la file d’attente, en cliquant simplement sur un bouton.

Pour plus d’informations, veuillez consulter Acceptation d’une session pour démarrer l’assistance technique.

Autorisé à activer le mode disponibilité étendue

Permet à l’utilisateur de recevoir des invitations par e-mail de la part d’autres utilisateurs demandant de partager une session, même lorsqu’il n’est pas connecté à la console du technicien d’assistance.

Pour plus d’informations, veuillez consulter Utiliser la disponibilité étendue pour rester accessible lorsque vous n’êtes pas connecté.

Autorisé à modifier la clé externe

Permet à l’utilisateur de modifier la clé externe depuis le volet d’informations d’une session dans la console du technicien d’assistance.

Pour plus d’informations, veuillez consulter Vue d’ensemble des sessions d’assistance technique et outils.

Equilibrium

Pour plus d’informations, veuillez consulter .

Autorisé à refuser les attributions de session

Permet au technicien d’assistance de se définir comme non disponible pour les sessions attribuées via Equilibrium.

Ne pas attribuer de sessions si le technicien d’assistance participe à au moins

Définit le nombre minimal de sessions auxquelles le technicien d’assistance doit assister avant que les sessions ne soient plus automatiquement attribuées via Equilibrium.

Ne pas attribuer de sessions si le technicien d’assistance est inactif depuis au moins

Définit la période minimale pendant laquelle le technicien d’assistance doit avoir été inactif pour que les sessions ne soient plus automatiquement attribuées via Equilibrium.

Partage d’écran entre techniciens d’assistance

Pour plus d’informations, veuillez consulter Partager votre écran avec un autre technicien d’assistance.

Autorisé à montrer son écran aux autres techniciens d’assistance

Permet à l’utilisateur de partager son écran avec un autre utilisateur sans que l’utilisateur récepteur ait besoin de rejoindre une session. Cette option est disponible même si l’utilisateur n’est pas dans une session.

Autorisé à accorder le contrôle lorsqu’il montre son écran à d’autres techniciens d’assistance

Permet à l’utilisateur partageant son écran d’accorder le contrôle de son clavier et de sa souris à l’utilisateur regardant son écran.

Bouton d’assistance techniques

Pour plus d’informations, veuillez consulter Vue d’ensemble des sessions d’assistance technique et outils.

Autorisé à déployer et gérer tout Bouton d’assistance technique dans une file d’attente personnelle

Permet à l’utilisateur de déployer et de gérer tout Bouton d’assistance technique personnel. Ce paramètre affecte le déploiement de tout Bouton d’assistance technique depuis l’interface Web et la console du technicien d’assistance. Pour pouvoir déployer un Bouton d’assistance technique à partir d’une session, l’autorisation de session Déploiement de Bouton d’assistance technique doit également être activée.

Autorisé à gérer tout Bouton d’assistance technique d’équipe

Autorise l’utilisateur à modifier tout Bouton d’assistance technique déployé dans les équipes dont il fait partie. Si l’utilisateur est le chef ou le responsable de l’équipe, il peut aussi modifier tout Bouton d’assistance technique personnel de n’importe quel membre.

Pour plus d’informations, veuillez consulter Gestion de Bouton d’assistance techniques à l’adresse .

Autorisé à modifier le portail public associé à tout Bouton d’assistance technique

Permet à l’utilisateur de définir le portail public qu’un Bouton d’assistance technique doit utiliser pour se connecter. Dans la mesure où les portails publics peuvent faire l’objet de règles de session, toute modification du portail peut affecter les autorisations associées à la session.

Autorisé à déployer chaque Bouton d’assistance technique d’équipe

Permet à l’utilisateur de déployer un Bouton d’assistance technique d’équipe pour les équipes dont il fait partie. Ce paramètre affecte le déploiement de tout Bouton d’assistance technique depuis l’interface Web et la console du technicien d’assistance. Pour pouvoir déployer un Bouton d’assistance technique à partir d’une session, l’autorisation de session Déploiement de Bouton d’assistance technique doit également être activée.

Technologie Jump
Méthodes de Jump autorisées

Permet à l’utilisateur d’effectuer un Jump vers des ordinateurs en utilisant les méthodes de Jump Clients, Jump local, VNC local, RDP local, Jump distant, VNC distant, RDP distant, Shell Jump et/ou Intel vPro.

Rôles d’élément de Jump

Le rôle d’élément de Jump est un ensemble prédéfini d’autorisations relatives à la gestion et à l’utilisation d’un élément de Jump. Pour chaque option, cliquez sur le bouton Modifier pour ouvrir le rôle d’élément de Jump dans un nouvel onglet.

Le rôle Par défaut n’est utilisé que lorsque Utiliser les paramètres par défaut de l’utilisateur est défini pour cet utilisateur dans un groupe de Jump.

Le rôle Personnel ne s’applique qu’aux éléments de Jump attachés à la liste personnelle d’éléments de Jump d’un utilisateur.

Le rôle Équipe ne s’applique qu’aux éléments de Jump attachés à la liste personnelle d’éléments de Jump d’un membre de l’équipe doté d’un rôle inférieur. Ainsi, un chef d’équipe peut visualiser les éléments de Jump d’un responsable ou d’un membre de son équipe, et un responsable d’équipe peut visualiser les éléments de Jump personnels d’un membre de son équipe.

Le rôle Système s’applique au reste des éléments de Jump du système. Pour la plupart des utilisateurs, ce rôle est en principe défini sur Aucun accès. S’il est défini sur une autre option, l’utilisateur est ajouté à des groupes de Jump auxquels il ne devrait pas être assigné, et, dans la console du technicien d’assistance, il est en mesure de visualiser la liste personnelle d’éléments de Jump de membres n’appartenant pas à son équipe.

Pour plus d’informations, veuillez consulter Utiliser les rôles d’éléments de Jump pour créer des groupes d’autorisations pour les Jump Clients.

Présentation
Autorisé à effectuer des présentations

Permet au technicien d’assistance d’effectuer des présentations à l’intention d’un ou de plusieurs participants.

Pour plus d’informations, veuillez consulter Réaliser une présentation pour des participants distants.

Autorisé à accorder le contrôle à un participant de la présentation

Permet au technicien d’assistance d’accorder le contrôle de son ordinateur à un participant au cours d’une présentation. Ce paramètre affecte uniquement les présentations et n’a aucun impact sur la fonction Montrer mon écran d’une session d’assistance technique. Un seul participant à la fois peut avoir le contrôle. Le technicien d’assistance conserve le contrôle du remplacement.

Pour plus d’informations, veuillez consulter la section Client de participant à une présentation : rejoindre une présentation.

Console du technicien d’assistance
Délai d’inactivité

Définissez le délai pendant lequel le technicien d’assistance peut être inactif avant d’être déconnecté de la console du technicien d’assistance. Cette autorisation peut utiliser le paramètre défini pour le site ou peut remplacer ce paramètre.

Autorisations relatives aux sessions autonomes et non autonomes

Règles de sessions surveillées et sans surveillance

Règle de session

Définissez les règles de demande et d’autorisation devant s’appliquer aux sessions de cet utilisateur. Sélectionnez une règle de session existante ou définissez des autorisations personnalisées pour cet utilisateur. Notez que l’option Non défini entraîne l’utilisation de la règle globale par défaut. Ces autorisations peuvent être remplacées par une règle de niveau supérieur.

Utiliser les mêmes autorisations pour les sessions non autonomes

Pour utiliser les mêmes autorisations pour les sessions autonomes et les sessions non autonomes, cochez la case Utiliser les mêmes autorisations pour les sessions non autonomes. Décochez cette case si vous souhaitez définir des autorisations distinctes pour les sessions autonomes et les sessions non autonomes. Vous pouvez également copier les autorisations d’un type de session à l’autre.

Description

Affichez la description d’une règle de permission de session prédéfinie.

Demande d’outil d’assistance technique

Pour en savoir plus, veuillez consulter Client d’utilisateur : interface de session d’assistance technique.

Règles de demande

Vous pouvez choisir de demander à l’utilisateur l’autorisation d’utiliser les fonctions d’assistance technique ci-après. Sélectionnez Aucune demande pour ne jamais envoyer de demande, Toujours demander pour toujours envoyer une demande ou Demander pour certains outils pour choisir les autorisations pour lesquelles envoyer une demande. Lorsque l’option Demander pour certains outils est sélectionnée, l’option Demander l’accord de l’utilisateur apparaît en dessous de chaque outil, avec les choix Jamais et Toujours. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Autorisé à demander une fois

Si l’option Partage d’écran est définie sur Voir et contrôler et que l’envoi de demandes est activé, cette option est disponible. Cochez cette case pour permettre à la fonction de partage d’écran d’accéder à tous les outils au cours de la session, sans demande supplémentaire.

Options de demande

Définissez le délai d’attente de réponse à une demande avant l’envoi de la réponse par défaut Refuser ou Autoriser. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Partage d’écran
Règles de partage d’écran

Permet à l’utilisateur de voir ou de contrôler l’écran distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter Partage d’écran avec l’utilisateur distant à des fins de consultation et de contrôle.

Autorisé à montrer son écran à l’utilisateur

Permet à l’utilisateur de partager son écran avec le client au cours d’une session d’assistance technique. Cette option est disponible si Voir uniquement ou Voir et contrôler est sélectionné.

Pour plus d’informations, veuillez consulter la section Montrer mon écran : Inversion du partage d’écran.

Restrictions d’utilisateur autorisées

Définissez si l’utilisateur peut interrompre l’entrée souris et clavier du système distant. L’utilisateur peut aussi empêcher l’affichage du bureau distant. Cette option est disponible si Voir et contrôler est sélectionné. Si Affichage, souris et clavier est la Restriction d’utilisateur sélectionnée, une case est disponible pour Demander automatiquement un écran de confidentialité au début de la session. L’écran de confidentialité ne s’applique qu’aux sessions lancées à partir d’un Jump Client, d’un élément de Jump distant ou d’un élément de Jump local. Nous vous recommandons d’utiliser un écran de confidentialité pour les sessions autonomes. Le système distant doit prendre en charge l’écran de confidentialité.

Pour plus d’informations, veuillez consulter la section Interaction client restreinte : Écran de confidentialité et désactivation de l’entrée de l’utilisateur distant.

Comportement de demande de partage d’applications

Déterminez si une demande de partage d’écran ne doit jamais ou toujours faire l’objet d’une demande auprès du client pour sélectionner les applications à partager, ou si l’utilisateur peut choisir de faire une demande de partage d’applications ou non. Sélectionner Toujours ou Décision du technicien d’assistance vous permet aussi de prédéfinir les restrictions de partage d’application.

Pour plus d’informations, veuillez consulter la section Partage d’application : Restriction des éléments visibles par le technicien d’assistance.

Sens de synchronisation du presse-papiers

Cette option est disponible si Voir et contrôler est sélectionné. Sélectionnez la manière dont le contenu du presse-papiers circule entre les techniciens d’assistance et les utilisateurs finaux. Les options sont :

  • Non autorisé : Le technicien d’assistance n’est pas autorisé à utiliser le presse-papiers, aucune icône de presse-papiers ne s’affiche dans la console du technicien d’assistance et les commandes couper-coller ne fonctionnent pas.
  • Autorisé du technicien d’assistance vers l’utilisateur : Le technicien d’assistance peut envoyer le contenu du presse-papiers au client, mais ne peut pas le coller à partir du presse-papiers de l’utilisateur final. Seule l’icône du presse-papiers Envoyer s’affiche dans la console du technicien d’assistance.
  • Envoyer dans les deux sens : Le contenu du presse-papiers peut circuler dans les deux sens. Les icônes du presse-papiers Envoyer et Obtenir s’affichent dans la console du technicien d’assistance.

Pour plus d’informations sur le Mode de synchronisation du presse-papiers, veuillez consulter Sécurité : Gestion des paramètres de sécurité de sécurité.

Partage de navigateur
Règles de partage de navigateur

Permet à l’utilisateur de consulter la même page Web que le client regarde, sans avoir le contrôle et sans voir d’autres applications. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter Partage d’écran avec l’utilisateur distant à des fins de consultation et de contrôle.

Annotations
Règles d’annotation

Permet à l’utilisateur d’utiliser les outils d’annotation pour dessiner sur l’écran du système distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter Utiliser les annotations pour dessiner sur l’écran distant.

Transfert de fichiers
Règles de transfert de fichiers

Permet à l’utilisateur d’envoyer des fichiers vers le système distant, de télécharger des fichiers depuis le système distant, ou les deux. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Chemins accessibles sur le système de fichiers de l’utilisateur

Permettre à l’utilisateur de transférer des fichiers de et vers n’importe quel répertoire sur le système distant ou uniquement les répertoires spécifiés.

Chemins accessibles sur le système de fichiers du technicien d’assistance

Permettre à l’utilisateur de transférer des fichiers de et vers n’importe quel répertoire sur son système local ou uniquement les répertoires spécifiés.

Pour plus d’informations, veuillez consulter Transfert de fichiers vers et depuis le système distant.

Interpréteur de commandes
Règles de l’interpréteur de commandes

Permet à l’utilisateur de saisir des commandes sur l’ordinateur distant par l’intermédiaire d’une interface en ligne de commande virtuelle. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

l’accès à l’interpréteur de commandes ne peut pas être restreint lors de sessions de Shell Jump.

Pour plus d’informations, veuillez consulter Accès à l’interpréteur de commandes distant.

Informations système
Règles relatives aux informations système

Permet à l’utilisateur de consulter les informations système de l’ordinateur distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Autorisé à utiliser les actions relatives aux informations système

Permet à l’utilisateur d’interagir avec les processus et les programmes sur le système distant sans avoir recours au partage d’écran. Le technicien d’assistance peut ainsi désinstaller des programmes, supprimer des processus ou encore démarrer, arrêter, mettre en pause, reprendre et redémarrer des services.

Pour plus d’informations, veuillez consulter Consulter les informations du système distant.

Accès au registre
Règles d’accès au registre

Permet à l’utilisateur d’agir sur le registre d’un système Windows distant sans avoir recours au partage d’écran. Le technicien d’assistance peut ainsi afficher, ajouter, supprimer, modifier, rechercher et importer/exporter des clés.

Pour plus d’informations, veuillez consulter Accès à l’éditeur de registre distant.

Scripts prédéfinis
Règles de script prédéfini

Permet à l’utilisateur d’exécuter des scripts prédéfinis créés pour ses équipes. Notez que lorsque l’utilisateur est en partage d’écran en mode affichage seul, le client reçoit une invite pour autoriser le lancement du script.En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter Accès à l’interpréteur de commandes distant.

Accroissement des droits
Règles d’accroissement des droits

Permet à l’utilisateur de tenter d’accroître les droits du client d’utilisateur pour s’exécuter avec des droits administratifs sur le système distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter Accroître le client.

Déploiement de Bouton d’assistance technique
Règles de déploiement de Bouton d’assistance technique

Permet à l’utilisateur de déployer ou de supprimer un Bouton d’assistance technique au cours d’une session. Les emplacements de déploiement possibles dépendent des paramètres de Bouton d’assistance technique ci-dessus. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter Vue d’ensemble des sessions d’assistance technique et outils.

Attachement/Détachement de Jump Clients
Règles d’attachement/détachement de Jump Clients

Permet à l’utilisateur d’attacher ou de détacher un Jump Client au cours d’une session. Les emplacements de déploiement possibles dépendent des paramètres de Jump Client précédents. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Pour plus d’informations, veuillez consulter Vue d’ensemble des sessions d’assistance technique et outils.

Messagerie instantanée

Pour plus d’informations, veuillez consulter Messagerie instantanée avec un utilisateur lors d’une session.

Règles de messagerie instantanée

Permet à l’utilisateur de discuter avec le client distant. En cas de sélection de Non défini, cette option est définie par la règle de priorité inférieure suivante. Ce réglage peut être remplacé par une règle de priorité supérieure.

Autorisé à charger des URL dans le navigateur Web de l’utilisateur

Permet à l’utilisateur d’entrer une URL dans la zone de messagerie instantanée, puis de cliquer sur le bouton Charger l’URL pour ouvrir automatiquement un navigateur Web à cette adresse sur l’ordinateur distant.

Autorisé à envoyer des fichiers à l’aide de l’interface de messagerie instantanée

Permet à l’utilisateur d’envoyer des fichiers via l’interface de messagerie instantanée.

Pour en savoir plus, veuillez consulter Client d’utilisateur : interface de session d’assistance technique.

Comportement de fin de session

Si vous ne pouvez pas vous reconnecter dans le temps que vous avez défini dans Délai de reconnexion, choisissez l’action à effectuer. Pour empêcher un utilisateur final d’accéder à des privilèges non autorisés après une session avec des droits accrus, réglez le client pour qu’il déconnecte automatiquement l’utilisateur final de l’ordinateur Windows distant à la fin de la session, qu’il verrouille l’ordinateur distant, ou qu’il ne fasse rien. Ces règles ne s’appliquent pas aux sessions de partage de navigation.

Autoriser les utilisateurs à remplacer ce paramètre session par session

Vous pouvez autoriser un utilisateur à outrepasser le paramètre de fin de session dans l’onglet Résumé de la console au cours d’une session.

Autorisations relatives aux sessions de messagerie instantanée

Autorisations relatives aux sessions de messagerie instantanée

Autorisé à charger des URL dans le navigateur Web de l’utilisateur

Permet à l’utilisateur d’entrer une URL dans la zone de messagerie instantanée, puis de cliquer sur le bouton Charger l’URL pour ouvrir automatiquement un navigateur Web à cette adresse sur l’ordinateur distant.

Autorisé à envoyer des fichiers à l’aide de l’interface de messagerie instantanée

Permet à l’utilisateur d’envoyer des fichiers via l’interface de messagerie instantanée.

Pour en savoir plus, veuillez consulter Client d’utilisateur : interface de session d’assistance technique.

Paramètres de disponibilité

Quels paramètres de disponibilité cette règle de groupe doit-elle contrôler ?

Décidez si un paramètre doit être Défini dans cette règle. Dans l’affirmative, vous pouvez sélectionner Final pour empêcher des règles de priorité inférieure d’outrepasser la valeur d’autorisation définie par cette règle. Sélectionnez Tout pour définir tous les paramètres dans cette section.

Pool de licences d’assistance technique complète

Choisissez le pool de licences auquel ce technicien d’assistance doit appartenir. Lorsque ce technicien d’assistance se connecte à la console du technicien d’assistance, une licence est utilisée dans le pool de licences désigné. Si Aucun est sélectionné, le technicien d’assistance pourra se connecter à la console du technicien d’assistance seulement si une ou plusieurs licences non assignées à des pools de licences sont disponibles.

Planning de connexion
Restreindre la connexion du technicien d’assistance selon le planning suivant

Définissez un planning afin de déterminer les périodes pendant lesquelles les utilisateurs peuvent se connecter à la console du technicien d’assistance. Définissez le fuseau horaire à utiliser pour ce planning, puis ajoutez une ou plusieurs entrées de planification. Pour chaque entrée, indiquez l’heure et la date de début ainsi que l’heure et la date de fin.

Par exemple, si la période définie commence à 8 h et se termine à 17 h, un utilisateur peut se connecter à n’importe quel moment au cours de cette période et peut continuer à travailler passée l’heure de fin. Il ne sera toutefois pas autorisé à se reconnecter après 17 h.

Forcer la déconnexion lorsque le planning ne permet pas l’ouverture d’une session

Si un contrôle d’accès plus strict est requis, cochez cette option. Ceci force la déconnexion de l’utilisateur à l’heure de fin définie. Dans ce cas, l’utilisateur reçoit des notifications récurrentes à partir de 15 minutes avant d’être déconnecté. Lorsque l’utilisateur est déconnecté, toutes les sessions possédées suivront les règles de récupération.

Composition

Quels paramètres d’appartenance cette règle de groupe doit-elle contrôler ?

Décidez si un paramètre doit être Défini dans cette règle. Dans l’affirmative, vous pouvez sélectionner Final pour empêcher des règles de priorité inférieure d’outrepasser la valeur d’autorisation définie par cette règle. Sélectionnez Tout pour définir tous les paramètres dans cette section.

Ajouter une appartenance des équipes d’assistance technique

Lancez une recherche pour trouver les équipes auxquelles les membres de cette règle de groupe devraient appartenir. Vous pouvez définir les rôles Membre de l’équipe, Chef d’équipe ou Responsable d’équipe. Ces rôles représentent une part significative de la fonction Tableau de bord de la console du technicien d’assistance. Cliquez sur Ajouter.

Les équipes ajoutées figurent dans un tableau. Il est possible de modifier le rôle d’un membre d’une équipe ou de supprimer l’équipe de la liste.

Supprimer une appartenance des équipes d’assistance technique

Recherchez les équipes dont les membres de cette règle de groupe devraient être supprimés, puis cliquez sur Ajouter. Les équipes supprimées figurent dans un tableau. Il est possible de supprimer une équipe de la liste.

Ajouter une appartenance à un Jumpoint

Recherchez les Jumpoints auxquels les membres de cette règle de groupe devraient pouvoir accéder, puis cliquez sur Ajouter. Les Jumpoints ajoutés figurent dans un tableau. Il est possible de supprimer un Jumpoint de la liste.

Supprimer des appartenances à un Jumpoint

Recherchez les Jumpoints dont les membres de cette règle de groupe ne devraient pas être supprimés, puis cliquez sur Ajouter. Les Jumpoints supprimés figurent dans un tableau. Il est possible de supprimer un Jumpoint de la liste.

Ajouter des appartenances de groupe de Jump

Recherchez les groupes de Jump auxquels les membres de cette règle de groupe devraient appartenir. Il est possible de paramétrer le rôle d'élément de Jump de chaque utilisateur pour définir son type d'autorisation vis-à-vis des éléments de Jump dans ce groupe de Jump. Vous pouvez aussi utiliser les rôles d'élément de Jump par défaut de l'utilisateur définis dans cette règle de groupe ou sur la page Utilisateurs et sécurité > Utilisateurs. Le rôle d’élément de Jump est un ensemble prédéfini d’autorisations relatives à la gestion et à l’utilisation d’un élément de Jump.

Pour plus d’informations, reportez-vous à la section Rôles d’élément de Jump : configurez les groupes d’autorisation pour les éléments de Jump.

Vous pouvez aussi appliquer une règle de Jump pour gérer l'accès aux éléments de Jump dans ce groupe de Jump.

Les groupe de Jump ajoutés figurent dans un tableau. Il est possible de modifier les paramètres d’un groupe de Jump ou de supprimer le groupe de Jump de la liste.

Supprimer des appartenances de groupe de Jump

Recherchez les groupes de Jump dont les membres de cette règle de groupe devraient être supprimés, puis cliquez sur Ajouter. Les groupe de Jump supprimés figurent dans un tableau. Il est possible de supprimer un groupe de Jump de la liste.

Ajouter des appartenances à un compte Vault

Recherchez un compte, sélectionnez le Rôle de compte de Vault, puis cliquez sur Ajouter pour accorder aux membres de la règle l’accès au compte de Vault sélectionné. Les utilisateurs peuvent voir leurs appartenances ajoutées par d’autres règles de groupe. Consultez Vault > Comptes pour voir tous les membres de chaque groupe. Les utilisateurs peuvent recevoir l’un des deux rôles suivants pour le compte Vault :

  • Injecter (valeur par défaut) : Les utilisateurs dotés de ce rôle peuvent utiliser ce compte dans des sessions Remote Support.
  • Injecter et extraire : Les utilisateurs dotés de ce rôle peuvent utiliser ce compte dans des sessions Remote Support et peuvent extraire le compte sur /login. L’autorisation d’extraction n’a pas d’effet sur les comptes génériques SSH.

activez l’autorisation Ajouter des appartenances à un compte Vault pour assigner un rôle de compte Vault à un compte Vault dans une règle de groupe. Le rôle de compte Vault est visible dans la liste des comptes ajoutés à la règle de groupe.

Ajouter des appartenances à un groupe de comptes Vault

Recherchez un groupe de comptes, sélectionnez le Rôle de compte Vault puis cliquez sur Ajouter pour accorder aux membres de la règle l’accès au groupe de comptes Vault. Les utilisateurs peuvent voir leurs appartenances ajoutées par d’autres règles de groupe. Consultez Vault > Comptes pour voir tous les membres de chaque groupe. Les utilisateurs peuvent recevoir l’un des deux rôles suivants pour le groupe de comptes Vault :

  • Injecter (valeur par défaut) : Les utilisateurs dotés de ce rôle peuvent utiliser ce compte dans des sessions Remote Support.
  • Injecter et extraire : Les utilisateurs dotés de ce rôle peuvent utiliser ce compte dans des sessions Remote Support et peuvent extraire le compte sur /login. L’autorisation d’extraction n’a pas d’effet sur les comptes génériques SSH.

activez l’autorisation Ajouter un groupe de comptes Vault pour assigner un Rôle de compte Vault à un groupe de comptes Vault dans une règle de groupe. Le rôle de compte Vault est visible dans la liste des groupes de comptes ajoutés à la règle de groupe.

Exporter la règle

Vous pouvez exporter une règle de groupe à partir d’un site et importer ces autorisations dans une règle sur un autre site. Modifiez la règle que vous souhaitez exporter et faites défiler jusqu’au bas de la page. Cliquez sur Exporter la règle et enregistrez le fichier.

lors de l’exportation d’une règle de groupe, seuls le nom de la règle, les paramètres du compte et les autorisations sont exportés. Les membres de la règle, les appartenances à des équipes et des Jumpoints ne sont pas inclus dans l’exportation.

Importer une règle

Vous pouvez importer des paramètres de règles de groupe exportés dans les autres sites BeyondTrust prenant en charge l’importation de règles de groupe. Créez une nouvelle règle de groupe ou modifiez une règle existante dont vous souhaitez remplacer les autorisations, et faites défiler jusqu'au bas de la page. Naviguez jusqu’au fichier de la règle, puis cliquez sur Sélectionner un fichier de règle. Une fois le fichier de la règle chargé, la page s’actualisera pour vous permettre d’effectuer des modifications. Cliquez sur Enregistrer pour mettre en application la règle de groupe.

l’importation d’un fichier de règle dans une règle de groupe existante remplacera toutes les autorisations précédemment définies, sauf les membres de la règle, et les appartenances à des équipes et des Jumpoints.