Gestion de l’approbation d’action

Certaines organisations utilisent l’intégrité par deux personnes, ce qui signifie que les actions qu’un utilisateur initie ne peuvent pas se déployer tant qu’un autre utilisateur n’a pas approuvé ces actions. Une action en attente est initiée mais n’a pas encore été approuvée. Les approbateurs peuvent être des utilisateurs disposant du rôle réservé Administrateur ou un rôle qui accorde la permission Approve Action (Approuver l’action). Si votre organisation autorise des exceptions aux exigences d’approbation, vous pouvez configurer un rôle qui accorde la permission Bypass Action Approval (Contourner la demande d’approbation).

Créer un rôle d’approbateur d’action

Les utilisateurs qui disposent d’un rôle qui accorde la permission Approve Action (Approuver l’action) peuvent approuver les actions en attente qui sont associées à des packages dans les Content Sets spécifiés.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Configurer un rôle personnalisé Créer un rôle avancé qui accorde la permission Approve Action (Approuver l’action) sur les Content Sets que vous spécifiez, puis cliquez sur Save (Enregistrer).

Créer un rôle de contournement de la demande d’approbation

Les utilisateurs qui disposent d’un rôle qui accorde la permission Bypass Action Approval (Contourner la demande d’approbation) ne sont pas soumis aux exigences d’approbation lorsqu’ils déploient des actions qui sont associées à des packages dans les Content Sets spécifiés.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Configurer un rôle personnalisé Créer un rôle avancé qui accorde la permission Bypass Action Approval (Contourner la demande d’approbation) sur les Content Sets que vous spécifiez, puis cliquez sur Save (Enregistrer).

Attribuer l’approbation d’action et contourner les rôles

Vous pouvez affecter l’approbation d’action et contourner les rôles pour les personas, les utilisateurs et les groupes d’utilisateurs :

Activer ou désactiver l’approbation d’action

Contacter l’assistance Tanium pour activer ou désactiver l’approbation d’action.

  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux).
  2. Sélectionnez le paramètre require_action_approval et cliquez sur Edit (Modifier).
  3. Changez la valeur du paramètre en 1 (activer) ou 0 (désactiver), puis cliquez sur Save (Enregistrer).

S’il existe des actions en attente lorsque vous désactivez l’approbation d’action, ces actions ne pourront jamais se déployer. Pour éviter cela, demandez à votre approbateur de supprimer les actions en attente avant de désactiver la fonction. Sinon, après avoir désactivé la fonction, accédez à Administration (Administration) > Actions (Actions) > Scheduled Actions (Actions planifiées), passez en revue les actions en attente et réémettez toutes les actions qui sont encore nécessaires.

Passer en revue et gérer les actions en attente

Lorsque l’approbation d’action est activée, les utilisateurs disposant du rôle réservé Administrateur peuvent afficher la page Administration (Administration) > Actions (Actions) > Pending Approval (En attente d’approbation). Cette page comprend les mêmes champs et boutons d’action que la page Administration (Administration) > Actions (Actions) > Scheduled Actions (Actions planifiées) (reportez-vous à la section Gérer des actions planifiées), mais elle affiche uniquement les actions qui sont en attente d’approbation.

F : Figure 1 :  Page All Pending Approvals (Toutes les approbations en attente)

Approuver des actions en attente

Après avoir approuvé une action planifiée, l’approbation reste en vigueur jusqu’à la date/heure End At (Fin à) définie dans la configuration de l’action, ou jusqu’à ce que quelqu’un modifie la configuration.

  1. Connectez-vous en tant qu’utilisateur avec le rôle réservé Administrateur ou avec un rôle qui accorde la permission Approve Action (Approuver l’action).

    Tanium Console affiche le nombre d’actions en attente dans le menu principal.Actions pending approval (Actions en attente d’approbation)

  2. Dans le menu principal, accédez à Administration (Administration) >  Actions (Actions) > Action I Can Approve (Actions que je peux approuver).
  3. (Facultatif) Pour trouver des actions spécifiques, configurez l’un des filtres suivants et cliquez sur Apply All (Appliquer tout) :
    • Text String (Chaîne de texte) : saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments) pour filtrer la grille par n’importe quelle valeur de texte dans n’importe quelle colonne.
    • Date Range (Plage de dates) : filtrez la grille pour afficher uniquement les actions pour lesquelles la date Start At (Début à) se situe dans une plage de dates spécifique. La valeur par défaut All (Tous) signifie qu’aucun filtre de plage de dates n’est appliqué.
    • Action group (Groupe d’actions) : ajoutez un ou plusieurs groupes d’action comme filtre en les sélectionnant un par un dans la liste déroulante Select Action Group (Sélectionner un groupe d’actions).
    • Attribut: Cliquez sur Filters (Filtres), puis sur Add (Ajouter), sélectionnez un attribut d’action (par ex. Issuer (Émetteur)), choisissez un opérateur (par ex. is equal to (est égal à)), saisissez une valeur d’attribut (par ex. administrator (administrateur)) et cliquez sur Apply (Appliquer). Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  4. (Facultatif) Spécifiez la norme de temps que la page utilise pour afficher les paramètres d’action qui comportent des valeurs de date-heure :
    • Local Time (Heure locale) : il s’agit de l’heure locale du système que vous utilisez pour accéder à Tanium Console.
    • UTC (UTC) : temps universel coordonné.
  5. Sélectionnez les actions que vous souhaitez approuver et effectuez l’une des étapes suivantes :
    • Pour approuver des actions sans passer en revue leurs configurations, sélectionnez More (Plus) > Bulk Approval (Approbation groupée) et cliquez sur Confirm (Confirmer). Vous pouvez ignorer les étapes restantes. Cette option est disponible uniquement si le paramètre allow_multiple_approval (autoriser_approbation_multiple) est réglé sur 1 (reportez-vous à la section Activer ou désactiver l’approbation d’action).
    • Pour passer en revue les configurations d’actions avant de les approuver, cliquez sur Preview (Aperçu) et effectuez les étapes restantes.
  6. Passez en revue la configuration de l’action et cliquez sur Approve (Approuver). Si vous avez sélectionné plusieurs actions, utilisez les widgets Précédent et Suivant pour naviguer entre les pages de chaque action.

    La console Tanium indique le nombre estimé de endpoints que l’action affectera, comme l’indique l’utilisateur ayant créé l’action. Notez que le serveur Tanium ne recalcule pas cette estimation pendant le workflow d’approbation. En effet, le nombre affiché est le même que lorsque le créateur d’action a configuré l’action, indépendamment du changement éventuel du nombre réel de endpoints.

  7. Si le nombre Estimated clients affected (Estimation des clients affectés) dépasse le seuil configuré (la valeur par défaut est 100), saisissez le nombre estimé et cliquez sur Confirm (Confirmer).

    Le serveur TaniumTaaS applique cette étape de confirmation pour vérifier que vous comprenez l’impact que l’action aura sur votre réseau.

    Pour modifier le seuil qui détermine si Tanium Console invite les approbateurs pour le nombre Estimated clients affected (Estimation des clients affectés), accédez à Administration (Administration) > Configuration (Configuration) > Platform Settings (Paramètres de la plateforme) et modifiez le paramètre prompt_estimate_threshold (seuil_estimation_invite). Lorsque vous modifiez la valeur sur 0, la console Tanium invite les approbateurs quel que soit le nombre de endpoints concernés.

  1. Connectez-vous en tant qu’utilisateur avec le rôle réservé Administrateur ou avec un rôled’approbateur d’action .

    Tanium Console affiche le nombre d’actions nécessitant une approbation dans le menu principal.Actions pending approval (Actions en attente d’approbation)

  2. Dans le menu principal, accédez à Administration (Administration) >  Actions (Actions) > Action I Can Approve (Actions que je peux approuver).
  3. (Facultatif) Pour trouver des actions spécifiques, configurez l’un des filtres suivants et cliquez sur Apply All (Appliquer tout) :
    • Action group (Groupe d’actions) : ajoutez un ou plusieurs groupes d’action comme filtre en les sélectionnant un par un dans la liste déroulante Select Action Group (Sélectionner un groupe d’actions).
    • Text String (Chaîne de texte) : saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments) pour filtrer la grille par n’importe quelle valeur de texte dans n’importe quelle colonne.
    • Date Range (Plage de dates) : filtrez la grille pour afficher uniquement les actions pour lesquelles la date Start At (Début à) se situe dans une plage de dates spécifique. La valeur par défaut All (Tous) signifie qu’aucun filtre de plage de dates n’est appliqué.
    • Attribut: Cliquez sur Filters (Filtres), puis sur Add (Ajouter), sélectionnez un attribut d’action (par ex. Issuer (Émetteur)), choisissez un opérateur (par ex. is equal to (est égal à)), saisissez une valeur d’attribut (par ex. administrator (administrateur)) et cliquez sur Apply (Appliquer). Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  4. (Facultatif) Spécifiez la norme de temps que la page utilise pour afficher les paramètres d’action qui comportent des valeurs de date-heure :
    • Local Time (Heure locale) : il s’agit de l’heure locale du système que vous utilisez pour accéder à Tanium Console.
    • UTC (UTC) : temps universel coordonné.
  5. Sélectionnez l’action que vous souhaitez approuver et cliquez sur Approve (Approuver).
  6. Passez en revue la configuration de l’action et cliquez sur Approve Action (Approuver l’action).

    La console Tanium indique le nombre estimé de endpoints que l’action affectera, comme l’indique l’utilisateur ayant créé l’action. Notez que le serveur Tanium ne recalcule pas cette estimation pendant le workflow d’approbation. En effet, le nombre affiché est le même que lorsque le créateur d’action a configuré l’action, indépendamment du changement éventuel du nombre réel de endpoints.

  7. Si le nombre Estimated Number of affected endpoints (Estimation du nombre de endpoints affectés) dépasse le seuil configuré (la valeur par défaut est 100), saisissez le nombre estimé et cliquez sur Confirm (Confirmer).

    Le serveur TaniumTaaS applique cette étape de confirmation pour vérifier que vous comprenez l’impact que l’action aura sur votre réseau.

    Pour modifier le seuil qui détermine si Tanium Console invite les approbateurs pour le nombre Estimated Number (Nombre estimé), accédez à Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux) et modifiez le paramètre prompt_estimate_threshold (seuil_estimation_invite). Lorsque vous modifiez la valeur sur 0, la console Tanium invite les approbateurs quel que soit le nombre de endpoints concernés.