Gestion des rôles

Aperçu des rôles

Dans Tanium™ RBAC, un rôle spécifie les permissions d’attribution pour les activités autorisées ou les permissions de refus pour les activités interdites. Vous affectez des rôles aux utilisateurs, groupes d’utilisateurs et personas pour déterminer ce que les utilisateurs peuvent voir et faire dans Tanium Core Platform.

Si vous prévoyez d’importer des utilisateurs et des groupes d’utilisateurs à partir d’un serveur LDAP ou AD, faites-le avant de configurer ou d’affecter des rôles. Pour plus de détails, reportez-vous à la section Intégration aux serveurs LDAP.

La mise en œuvre Tanium du RBAC prend en charge les catégories de rôles suivantes, qui sont basées sur les types de permissions accordées ou refusées :

Rôles micro admin

Les rôles de micro admin accordent ou refusent des permissions pour les activités administratives dans Tanium Core Platform, telles que la configuration des sous-réseaux isolés du Tanium Client. Consultez la section Créer un rôle micro admin.

Rôles personnalisés

Les rôles personnalisés sont des rôles que vous créez pour accorder ou refuser une combinaison de permissions d’administration, de contenu de plateforme, de module et globales. Consultez la section Configurer un rôle personnalisé.

Rôles du module

Les rôles du module sont des rôles prédéfinis qui accordent ou refusent des permissions de module, qui contrôlent l’accès aux interfaces de module, aux fonctionnalités et aux Content Sets. Certaines permissions du module permettent d’activer d’autres permissions fournies automatiquement. Par exemple, la permission Patch Module Write (Écriture du module de correctifs) accorde automatiquement la permission Ask Dynamic Questions (Poser des questions dynamiques). Vous ne pouvez pas modifier ou supprimer des rôles de module prédéfinis.

Les rôles du module accordent des permissions de module, qui contrôlent l’accès aux interfaces de module, aux fonctionnalités et aux Content Sets. Les rôles de module n’ont pas de rôles Refuser. Les utilisateurs, qui sont dépourvus de rôle attribuant un accès au module, ne peuvent pas accéder au workbench ou aux fonctionnalités du module. Certaines permissions du module permettent d’activer d’autres permissions fournies automatiquement. Par exemple, si vous accordez la permission Patch Module Write (Écriture du module de correctifs) dans un rôle de module, celle-ci accorde automatiquement la permission Ask Dynamic Questions (Poser des questions dynamiques).

Rôles avancés

Les rôles avancés sont des rôles existants prédéfinis qui accordent ou refusent les permissions de contenu de plateforme, qui contrôlent l’accès aux sensors, packages, questions enregistrées et autres types de contenu qui s’appliquent à tous les modules Tanium et services partagés. Vous ne pouvez pas modifier ou supprimer des rôles avancés prédéfinis.

Les rôles avancés attribuent ou refusent les permissions de Content Set, qui contrôlent l’accès aux sensors, aux packages, aux questions enregistrées et aux autres types de contenus qui s’appliquent à tous les modules Tanium.

Rôles réservés

Les rôles réservés prédéfinis attribuent des permissions qui activent des capacités spécifiques, telles que le chargement d’une question à partir de la page Administration (Administration) > Content (Contenu) > Question History (Historique des questions)Administration (Administration) > Management (Gestion) > Question History (Historique des questions). Ces permissions spéciales ne sont pas disponibles pour les rôles non réservés. Outre les permissions spéciales, les rôles réservés peuvent avoir certaines ou toutes les permissions associées aux autres catégories de rôles. Vous ne pouvez pas modifier ou supprimer des rôles réservés. Pour plus de détails, consultez la section Rôles réservés.

La figure suivante illustre les composants configurables des différents types de rôles et l’ordre selon lequel vous attribuez les composants :

F : Figure 1 :  Configurations des rôles
F : Figure 2 :  Configurations des rôles

Pour découvrir la relation entre les rôles et d’autres objets de configuration RBAC, tels que les Content Sets, les personas, les utilisateurs, les groupes d’utilisateurs et les groupes d’ordinateurs, reportez-vous à la section Mise en œuvre et concepts de RBAC Tanium.

Les rôles ont une relation multivoque avec les utilisateurs et les groupes d’utilisateurs. Par exemple, tous les utilisateurs de Tanium Interact peuvent détenir le rôle du module Show Interact (Afficher Interact) et chacun peut avoir des rôles personnalisés supplémentaires qui donnent accès aux sensors et aux questions qu’ils utilisent dans le module Interact. De même, vous pouvez configurer des permissions pour le même Content Set dans plusieurs rôles et chaque rôle peut spécifier des permissions sur plusieurs Content Sets.

Lors de la configuration des rôles, la meilleure pratique consiste à profiter pleinement de la modularité et de l’effet cumulatif sur les permissions d’utilisateur. Par exemple, au lieu de créer un rôle unique avec toutes les permissions dont un utilisateur particulier a besoin, et de créer un autre rôle avec des permissions légèrement différentes pour un autre utilisateur, créez plusieurs rôles avec des jeux de permissions réduits mais uniques. Vous pouvez ensuite combiner et associer ces rôles minimalistes à plusieurs utilisateurs pour obtenir les mêmes permissions en vigueur que les rôles individuels disposant de permissions complètes. Pour plus de détails, reportez-vous à la section Permissions de rôles en vigueur.

Les rôles qui affectent les permissions d’écriture, comme Write Package (Écrire le package), affectent implicitement les permissions de lecture, notamment Read Package (Lire le package). Pour plus de détails, reportez-vous à la section Permissions de rôles implicites.

Les utilisateurs héritent des rôles de la part des groupes d’utilisateurs auxquels ils sont affectés. Pour plus de détails, reportez-vous à la section Rôles hérités.

Pour une session de console Tanium donnée, seules les permissions du persona en cours de sélection sont disponibles pour un utilisateur, même si plusieurs personas lui sont affectés. Pour plus de détails, reportez-vous à la section Gestion des personas.

Pour ajouter, modifier ou supprimer des rôles, vous devez disposer du rôle réservé Administrateur ou Administrateur de Content Set, ou d’un rôle personnalisé avec la permission Permission Administrator (Administrateur de permissions). Cependant, un administrateur de Content Set ne peut pas gérer l’affectation des personas ou des rôles réservés aux utilisateurs et aux groupes d’utilisateurs.

Les rôles ne contrôlent pas l’accès aux groupes de gestion d’ordinateurs (consultez la section Gestion des groupes d’ordinateurs) ou aux groupes d’actions (consultez la section Gestion des groupes d’actions) que les utilisateurs sélectionnent pour le ciblage lorsqu’ils émettent des questions ou déploient des actions. Toutefois, les rôles contrôlent les permissions requises pour gérer les configurations de groupe d’ordinateurs et de groupe d’actions.

Rôles d’attribution et de refus

Vous pouvez affecter plusieurs rôles d’attribution et de refus à un utilisateur ou un groupe d’utilisateurs. TaaSLe serveur Tanium conditionne les permissions en vigueur d’un utilisateur ou d’un groupe d’utilisateurs selon l’effet cumulatif de tous les rôles qui sont affectés à cet utilisateur ou à ce groupe : toutes les permissions attribuées ou implicites, moins celles qui sont explicitement refusées.

Vous pouvez afficher les permissions effectives d’un utilisateur ou d’un groupe d’utilisateurs dans Tanium Console : consultez la section Permissions de rôles en vigueur.

Dans les rôles personnalisésavancés, une permission et un Content Set dans le rôle de refus doivent correspondre à la permission et au Content Set définis dans le rôle d’attribution pour annuler la permission d’attribution. Dans l’exemple suivant, la permission de refus Write Package (Écrire le package) sur le Content Set A correspond à la permission d’attribution Write Package (Écrire le package) sur le Content Set A, de sorte que la permission d’attribution est annulée.

F : Figure 3 :  Les rôles Attribuer (Grant) et Refuser (Deny) sur les permissions de content set (correspondance)

Dans l’exemple suivant, la permission de refus Write Package (Écrire le package) sur le Content Set D ne correspond à aucune permission d’attribution. Par conséquent, la permission de refus n’a aucun impact sur les permissions effectives de l’utilisateur.

F : Figure 4 :  Les rôles Attribuer (Grant) et Refuser (Deny) sur les permissions de content set (pas de correspondance)

Lorsque vous affectez des Content Sets aux permissions dans des rôles personnalisésrôles avancés ou rôles de module, l’option Add all Content Sets that exist or will exist to the permissions (Ajouter tous les Content Sets qui existent ou qui existeront aux permissions) équivaut à répertorier chaque Content Set. La figure suivante illustre un exemple dans lequel la permission Write Package (Écrire le package) sur le Content Set D a un effet.

F : Figure 5 :  Option Add All Content Sets (Ajouter tous les Content Sets)

Accorder et refuser la correspondance s’applique également aux permissions d’administration Accorder et refuser des rôles micro admin suivent les mêmes règles que les rôles avancés. Dans l’exemple suivant, l’utilisateur a un rôle d’attribution et deux rôles de refus qui spécifient les permissions d’administration . TaaSLe serveur Tanium tient compte des correspondances exactes entre accorder et refuser des permissions. L’utilisateur dispose de toutes les capacités que le rôle d’attribution spécifie, moins les capacités que les rôles de refus spécifient.

F : Figure 6 :  Rôles d’attribution et de refus sur les permissions d’aministrationmicro admin

Les rôles de module ne peuvent pas refuser des permissions, mais uniquement accorder des permissions. Les utilisateurs qui n’ont pas un rôle accordant l’accès au module ne peuvent pas accéder à l’interface ou aux fonctionnalités du module.

Permissions de rôles implicites

Dans les rôles d’attribution, chaque permission d’écriture implique la permission de lecture associée. Dans l’exemple suivant, le rôle personnaliséavancé qui est attribué à Eric et Grace dispose de la permission Write Package (Écrire le package) sur les Content Sets spécifiés. Par conséquent, la configuration n’a pas besoin de spécifier la permission Read Package (Lire le package). Un rôle qui n’a que la permission Read Package (Lire le package) sur le même Content Set est créé pour les utilisateurs qui ont besoin de permissions en lecture seule, comme Bob dans cet exemple.

F : Figure 7 :  Eric et Grace ont de fait des permissions de lecture et d’écriture

Les rôles de refus n’ont pas de permissions implicites. Pour que les rôles de refus aient un effet, ils doivent spécifier explicitement les permissions et ces permissions doivent correspondre exactement aux permissions qu’un rôle d’attribution spécifie. Par exemple, si un rôle de refus spécifie que la permission Write Package (Écrire le package) est refusée sur un Content Set, le rôle ne refuse pas implicitement la permission Read Package (Lire le package). Dans l’exemple suivant, les permissions de rôle de refus ne correspondent pas exactement aux permissions de rôle d’attribution. Par conséquent, le rôle de refus est ignoré et Bob a toujours la permission Read Package (Lire le package) sur les Content Sets spécifiés.

F : Figure 8 :  Bob a des permissions de lecture effectives.

Rôles hérités

Les utilisateurs héritent des permissions de rôle de leurs groupes d’utilisateurs. Dans l’exemple suivant, Eric hérite des permission des rôles qui sont attribués au groupe d’utilisateurs NOC. Il dispose également de permissions qui sont attribuées directement à son compte d’utilisateur. TaaSLe serveur Tanium applique l’effet net. Dans cet exemple, même si Eric hérite des permissions Write Isolated Subnets (Écrire des sous-réseaux isolés) et Write Separated Subnets (Écrire des sous-réseaux séparés) du groupe d’utilisateurs, le rôle de refus attribué directement à son compte utilisateur annule ces permissions. Étant donné qu’aucun rôle de refus n’est attribué aux comptes de Bob et Grace, ils disposent de toutes les permissions héritées du groupe d’utilisateurs, y compris Write Isolated Subnets (Écrire des sous-réseaux isolés) et Write Separated Subnets (Écrire des sous-réseaux séparés).

F : Figure 9 :  Rôles hérités

Rôles réservés

Les rôles réservés définis par Tanium attribuent des permissions pour des capacités spécifiques, telles que le chargement d’une question à partir de la page Administration (Administration) > Content (Contenu) > Question History (Historique des questions)Administration (Administration) > Management (Gestion) > Question History (Historique des questions). Étant donné que ces permissions sont implicites, vous ne pouvez pas les modifier ou les supprimer et elles ne sont pas disponibles pour les rôles non réservés. Outre les permissions spéciales, les rôles réservés peuvent avoir certaines ou toutes les permissions associées aux autresrôles avancés, rôles micro admin et rôles du module. Une logique spéciale s’applique lorsque vous affectez à la fois un rôle réservé et un rôle non réservé à un utilisateur ou à un groupe d’utilisateurs, comme décrit dans les sections suivantes.

Rôle réservé Administrateur

Le rôle Administrateur comporte toutes les permissions pour tous les contenus, modules, services partagés et fonctionnalités d’administration. Lorsque vous affectez ce rôle, d’autres rôles d’attribution sont superflus et les rôles de refus sont sans effet, hormis les exceptions suivantes :

  • Contourner la demande d’approbation : un rôle personnalisé avec la permission Bypass Action Approval (Contourner la demande d’approbation) est effectif lorsqu’il est attribué à un utilisateur avec le rôle réservé Administrateur. Le rôle réservé Administrateur ne dispose pas de cette permission par défaut. En raison de la nature sensible du contournement d’approbation, vous devez affecter explicitement cette permission dans tous les cas.
  • Tout refuser : l’option Refuser tous les rôles réservés annule toutes les permissions du rôle réservé Administrateur.

Pendant la configuration de votre déploiement Tanium en tant que service (TaaS), un compte administrateur initial est créé avec le rôle Administrateur. Vous pouvez utiliser ce compte pour configurer RBAC pour tous les autres utilisateurs, y compris les autres utilisateurs qui peuvent avoir besoin du rôle Administrateur.

F : Figure 10 :  Rôle réservé Administrateur

Rôle réservé Administrateur

Le rôle Administrateur comporte toutes les permissions pour tous les Content Sets, modules et fonctionnalités d’administration. Lorsque vous affectez ce rôle, d’autres rôles d’attribution sont superflus et les rôles de refus sont sans effet, hormis les exceptions suivantes :

  • Contourner la demande d’approbation : un rôle avancé avec la permission Bypass Action Approval (Contourner la demande d’approbation) est effectif lorsqu’il est attribué à un utilisateur qui a le rôle réservé Administrateur. Le rôle réservé Administrateur ne dispose pas de cette permission par défaut. En raison de la nature sensible du contournement d’approbation, vous devez affecter explicitement cette permission dans tous les cas.
  • Tout refuser : l’option Refuser tous les rôles réservés annule toutes les permissions du rôle réservé Administrateur.
F : Figure 11 :  Rôle réservé Administrateur

Rôle réservé Administrateur de Content Set

Le rôle Administrateur de content Set affecte des permissions d’écriture et de lecture pour le Content Set et les configurations des rôles, y compris les affectations des rôles dans les configurations d’utilisateur et de groupe d’utilisateurs. Ce rôle rend superflus tous les autres rôles d’attribution. L’option Refuser tous les rôles réservés représente le seul rôle qui peut affecter un utilisateur qui a le rôle Administrateur de content Set défini.

F : Figure 12 :  Rôle réservé Administrateur de Content Set

Remarquez le résultat lorsque les rôles Administrateur de content set et Administrateur sont affectés. Seul le rôle Administrateur de content set demeure effectif. Veillez à ne pas affecter le rôle Administrateur de Content Set aux utilisateurs qui doivent avoir d’autres rôles. Veillez à ne pas affecter (directement ou par héritage de groupe d’utilisateurs) le rôle Administrateur de Content Set aux utilisateurs auxquels le rôle Administrateur est affecté.

Rôle réservé Administrateur de contenu

Le rôle Administrateur de contenu accorde les permissions de lecture et d’écriture pour tous les contenus au sein de tous les Content Sets, ainsi que les permissions de gestion d’actions. Lorsque le serveur Tanium évalue les permissions effectives pour un utilisateur qui a le rôle d’administrateur de contenu, le serveur évalue les rôles de module et les rôles de micro admin qui sont attribués, mais ignore les rôles avancés.

F : Figure 13 :  Rôle réservé Administrateur de contenu

Refuser tous les rôles réservés

Les utilisateurs qui ont le rôle Deny All (Refuser tout) ne peuvent accéder à aucun contenu dans Tanium Core Platform, quel que soit le rôle qui leur a été affecté, y compris le rôle réservé Administrateur. Dans l’exemple suivant, le seul rôle attribué à Frank qui a un quelconque effet est Deny All (Tout refuser).

F : Figure 14 :  Tout refuser

Tâches nécessitant des rôles réservés

Pour effectuer les tâches suivantes, un utilisateur doit avoir un rôle réservé car les tâches ne sont pas associées aux permissions micro admin que vous pouvez affecter aux rôles micro admin.

T :  Tableau 15 : Tâches nécessitant un rôle réservé
Tâche Administrateur Administrateur de contenu Administrateur de content set
Gérer l’alignement du contenu

Utilisez la page Administration (Administration) > Content (Contenu) > Content Alignment (Alignement du contenu) pour déplacer le contenu propre au module vers le Content Set du module correspondant.

Encoche X X
Gérer des Content Sets

Créez, modifiez ou supprimez les configurations du Content Set.

Encoche X Encoche
Gérer les configurations et affectations de rôle

Modifiez les rôles et les affectations de rôle des utilisateurs, des groupes d’utilisateurs et des personas.

Encoche X Encoche
Gérer les personas

Créez, modifiez, affectez ou supprimez des personas.

Encoche X X
Gérer les solutions Tanium

Importez les modules Tanium, les packs de contenus ou les mises à jour de l’interface utilisateur dans la console Tanium. Afficher et importer le contenu de laboratoire.

Encoche X X
Gérer la configuration de Tanium Core Platform

Affichez ou gérez l’une des pages Administration (Administration) > Configuration (Configuration), y compris celles pour les paramètres proxy, les niveaux de journalisation, les plug-ins, les plannings de plug-ins, les indicateurs de seuil de sensor, le référentiel du fichier de package, les sous-réseaux du Tanium Client, les commandes de bande passante, les licences Tanium, les clés racines Tanium, l’approbation entre les serveurs Tanium Core Platform, les serveurs LDAP, SAML, les jetons d’API et les personnalisations de Tanium Console.

Encoche X X
Charger des questions à partir de Question History (Historique des questions)

Chargez une question à partir de la page Administration (Administration) > Management (Gestion) > Question History (Historique des questions).

Encoche X X
Gérer les catégories Interact

Lisez et gérez la catégorie Other Dashboards (Autres tableaux de bord).

Encoche Encoche X

Permissions de rôles en vigueur

Les permissions en vigueur d’un utilisateur dépendent de l’effet cumulé de tous les rôles affectés et hérités, y compris ce qui suit :

  • Permissions spécifiées dans les rôles d’attribution moins les permissions spécifiées dans les rôles de refus
  • Permissions implicites dans les rôles d’attribution
  • Rôles affectés au persona qu’un utilisateur sélectionne pour une session de Tanium Console
  • Rôles hérités d’un persona affecté aux groupes d’utilisateurs après que l’utilisateur a sélectionné ce persona pour une session de la console Tanium

Dans les pages de configuration des utilisateurs et des groupes d’utilisateurs, la section Permissions (Permissions) utilise les icônes suivantes pour indiquer les permissions effectives :

Permission explicite Accordez la permission que vous devez attribuer explicitement.
Permission super explicite Accordez la permission que vous devez attribuer explicitement et qui fournit ou implique automatiquement des permissions supplémentaires en raison de dépendances. Par exemple, lorsque vous attribuez la permission Write Interact Module (Écriture du module Interact), celle-ci fournit automatiquement la permission Ask Dynamic Questions (Poser des questions dynamiques). La plupart des permissions d’écriture (comme Write Package (Écrire le package)) impliquent des permissions de lecture (comme Read Package (Lire le package)).
Permission super explicite Refusez la permission.
F : Figure 16 :  Permissions effectives

Les pages de configuration des utilisateurs et des groupes d’utilisateurs répertorient le rôle réservé Administrateur sous Global Permissions (Permissions globales) si vous attribuez ce rôle. Les pages de configuration des utilisateurs et des groupes d’utilisateurs répertorient les rôles réservés Administrateur, Administrateur de contenu et Administrateur de Content Set sous Global Permissions (Permissions globales) si vous attribuez ces rôles. Toutefois, lorsque vous affichez la page de configuration d’un rôle personnalisé dans Edit Mode (Mode de modification), les Global Permissions (Permissions globales) sont masquées car vous ne pouvez pas les attribuer.

Vous pouvez développer Développer chacune des permissions de contenu de module, des Platform Content Permissions (Permissions de contenu de plateforme) et desGlobal Permissions (Permissions globales) pour répertorier les Content Sets auxquels le permission s’applique :

Permission explicite Content set qui est explicitement attribué à la permission.
Permission super explicite Content set qui est attribué parce qu’une autre permission l’implique ou le fournit.

Les pages de configuration des utilisateurs et des groupes d’utilisateurs répertorient également les Content Sets (Content Sets) attribués par type de contenu. Pour les permissions implicites ou fournies Permission implicite, passez le curseur de la souris sur l’icône pour afficher une info-bulle qui indique comment la permission a été dérivée d’une permission explicite Permission super explicite.

F : Figure 17 :  Affectations de Content Set de permission

Pour examiner les permissions effectives :

Les pages de configuration de l’utilisateur et du groupe d’utilisateurs comportent une section Roles and Effective Permissions (Rôles et permissions en vigueur) qui explique comment le serveur Tanium dérive les permissions en vigueur.

F : Figure 18 :  Permissions effectives

Dans la section des rôles, placez le curseur sur la mosaïque pour un rôle hérité afin de voir le groupe d’utilisateurs à partir duquel il a été hérité. Cliquez sur la tuile pour un rôle, afin de mettre en surbrillance les permissions associées dans les sections Permissions. Cliquez sur la tuile All Roles (Tous les rôles) pour réafficher les permissions sans surlignage.

Afficher les détails du rôle

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).

    La page affiche chaque nom et catégorie de rôle, ainsi que le nombre d’utilisateurs, de groupes d’utilisateurs et de personas auxquels chaque rôle est affecté. La colonne Total Users (Nombre total d’utilisateurs) indique la somme de tous les utilisateurs auxquels le rôle est attribué via leurs comptes d’utilisateurs ou qui héritent du rôle des groupes d’utilisateurs.

  2. (Facultatif) Pour afficher les attributs que la grille masque par défaut, cliquez sur Customize Columns (Personnaliser les colonnes) Personnaliser les colonnes et sélectionnez les attributs.
  3. (Facultatif) Utilisez les filtres pour trouver des rôles spécifiques :
    • Filtrer par texte : pour filtrer la grille selon les valeurs de la colonne, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filtrer par attribut : filtrez la grille selon un ou plusieurs attributs, tels que Role Name (Nom du rôle). Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  4. (Facultatif) Pour voir les permissions, les personas, les utilisateurs et les groupes d’utilisateurs qui sont attribués à un rôle, cliquez sur le Role Name (Nom du rôle).

    Pour afficher ou modifier la configuration d’un utilisateur ou d’un groupe d’utilisateurs affecté, cliquez sur le nom de l’utilisateur ou du groupe.

Configurer un rôle personnalisé

Créez ou modifiez un rôle personnalisé qui attribue des permissions d’administration, de contenu de plateforme et de module.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Effectuez l’une des étapes suivantes :
    • Pour créer un rôle, cliquez sur New Role (Nouveau rôle).
    • Pour modifier un rôle, cliquez sur un Role Name (Nom du rôle) et cliquez sur Edit Mode (Mode de modification).
  3. Spécifiez un Role Name (Nom du rôle) pour identifier le rôle.
  4. Définissez le Permission Type (Type de permission) sur Allow (Autoriser) (accorder) ou Deny (Refuser).

    La section Permissions (Permissions) répertorie toutes les permissions que vous pouvez attribuer en cliquant sur une icône dans la colonne Special (Spécial), Read (Lire), Write (Écrire), Execute (Exécuter) ou Delete (Supprimer). Vous pouvez cliquer sur une icône dans un en-tête de colonne pour sélectionner toutes les permissions de ce type. Par exemple, dans l’en-tête des permissions Administration (Administration), cliquez sur l’icône Special (Spécial) pour attribuer toutes les autorisations d’administration spéciales disponibles. Les listes utilisent des icônes grises pour indiquer les permissions non attribuées et les icônes de couleur suivantes pour indiquer les permissions attribuées :

    Permission explicitePermission que vous devez attribuer explicitement.
    Permission super explicitePermission que vous devez attribuer explicitement et qui fournit ou implique automatiquement des permissions supplémentaires en raison de dépendances. Par exemple, lorsque vous attribuez la permission Write Interact Module (Écriture du module Interact), celle-ci fournit automatiquement la permission globale Ask Dynamic Questions (Poser des questions dynamiques). La plupart des permissions d’écriture (comme Write Package (Écrire le package)) impliquent des permissions de lecture (comme Read Package (Lire le package)).
    Permission implicitePermission qui est automatiquement activée parce qu’elle a une dépendance avec une autre permission ou parce qu’une permission de niveau supérieur l’implique.
    Une étape ultérieure de cette procédure explique comment attribuer des Content Sets aux permissions qui sont associées au contenu.

    Pour attribuer des rôles à des personas, consultez la section Gérer les attributions de rôles pour un persona.

  5. (Facultatif) Pour gérer les affectations des utilisateurs, développez Développer la section Users (Utilisateurs), cliquez sur Manage Users (Gérer les utilisateurs), sélectionnez ou désélectionnez les utilisateurs, puis cliquez sur Select (Sélectionner).
    Si vous modifiez un rôle auquel des utilisateurs ont déjà été attribués, cliquez sur le numéro au-dessus du champ Users (Utilisateurs) dans la section Role Details (Détails du rôle) pour faire défiler jusqu’à la section Users (Utilisateurs) et l’agrandir.

    Pour afficher ou modifier la configuration d’un utilisateur en particulier, cliquez sur le Name (Nom) de l’utilisateur dans la section Users (Utilisateurs). La page Edit User (Modifier l’utilisateur) s’ouvre dans un nouvel onglet.

  6. (Facultatif) Pour gérer les affectations de groupes d’utilisateurs, développez Développer la section User Groups (Groupes d’utilisateurs), cliquez sur Manage User Groups (Gérer les groupes d’utilisateurs), sélectionnez les groupes et cliquez sur Select (Sélectionner).
    Si vous modifiez un rôle auquel des groupes d’utilisateurs ont déjà été attribués, cliquez sur le numéro au-dessus du champ Users (Utilisateurs) dans la section Role Details (Détails du rôle) pour faire défiler jusqu’à la section User Groups (Groupes d’utilisateurs) et l’agrandir.

    Pour afficher ou modifier la configuration d’un groupe en particulier, cliquez sur le Name (Nom) du groupe dans la section User Groups (Groupes d’utilisateurs). La page Edit User Group (Modifier le groupe d’utilisateurs) s’ouvre dans un nouvel onglet.

  7. Développez Ouvrir la section Administration (Administration) et sélectionnez l’une des permissions suivantes dont le rôle a besoin.

    Pour créer un rôle qui peut effectuer toutes les tâches administratives dans Tanium Console, attribuez les permissions Permission Administrator (Administrateur de permissions), Write User (Utilisateur en écriture), Write User Group (Groupe d’utilisateurs en écriture), Write Computer Group (Groupe d’ordinateurs en écriture) et Write Persona (Persona en écriture). Le rôle réservé Administrateur a toutes ces permissions.

    T :  Tableau 19 : Permissions d’administration
    PermissionDescription
    Administrateur de permissionsFournit les permissions d’administration suivantes sous la forme d’un bundle :
    • Read User
    • Read User Group
    • Lire le rôle
    • Écrire le rôle
    • Attribuer le rôle «  »
    • Lire le Content Set
    • Écrire le Content Set
    • Lire le persona
    Action GroupLa permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations de groupe d’actions dans la page Scheduled Actions (Actions planifiées).

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de groupe d’actions. La permission d’écriture implique la permission Read Action Group (Lecture du groupe d’actions).

    URL autoriséesLa permission de lecture permet aux utilisateurs d’afficher les configurations d’URL autorisées sur la page Allowed URLs (URL autorisées) et d’exporter les configurations au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter au format JSON.

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations d’URL autorisées. La permission d’écriture implique la permission Read Allowed URLs (Lecture des URL autorisées).

    AuditLa permission de lecture permet aux utilisateurs d’afficher :
    • Les informations de Last Sign In (Dernière connexion) sur la page Users (Utilisateurs)
    • Les informations de Last Modified (Dernière modification) sur la page de configuration de l’utilisateur
    • Les informations de Last Modification (Dernière modification) sur la page Global Settings (Paramètres globaux)
    Groupe d’ordinateursLa permission de lecture permet aux utilisateurs d’afficher les groupes de gestion des ordinateurs et de les exporter au format CSV. La permission Export Content (Exporter le contenu) est requise pour exporter au format JSON.

    Des permissions supplémentaires sont requises pour afficher les affectations de groupe d’utilisateurs, d’utilisateur et de persona des groupes de gestion des ordinateurs : consultez la section Gérer les groupes de gestion d’ordinateurs.

    La permission en écriture permet aux utilisateurs de créer, modifier et supprimer des groupes de gestion des ordinateurs et des groupes de filtres. La permission d’écriture implique les permissions Read Computer Group (Lecture du groupe d’ordinateurs) et Write Filter Group (Écriture du groupe de filtres).

    Pour créer un groupe de gestion des ordinateurs ou un groupe de filtres dans lequel l’appartenance est basée sur un filtre de sensor, les utilisateurs ont besoin des permission s suivantes en plus de l’option Write Computer Group (Écriture du groupe d’ordinateurs) :

    • Permission Read Sensor (Lire le sensor) (contenu de la plateforme) sur le Content Set Reserved (Réservé), qui inclut le contenu utilisé pour poser des questions d’aperçu.
    • Permission Write Interact Module (Écriture du module Interact) (module).

    Les groupes d’ordinateurs avec une appartenance définie manuellement n’ont pas besoin des permissions Read Sensor (Lire le sensor) ou Write Interact Module (Écriture du module Interact).

    Exporter le contenuPermet aux utilisateurs d’exporter les types de contenu suivants au format JSON :
    • URL autorisées
    • Groupes de gestion d’ordinateurs
    • Content Sets
    • Groupes de filtres
    • Packages
    • Rôles
    • Questions enregistrées
    • Actions planifiées
    • Capteurs 

    Seul le rôle réservé Administrateur peut exporter des catégories et des tableaux de bord.

    Import Signed Content (Importer le contenu signé)Permet aux utilisateurs d’importer des fichiers de contenu signés numériquement dans le serveur Tanium.
    Commandes de bande passante globaleLa permission de lecture permet aux utilisateurs d’afficher les commandes de bande passante globale sur la page Bandwidth Throttles (Commandes de bande passante).

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des commandes de bande passante globale.

    Paramètres globauxLa permission de lecture permet aux utilisateurs d’afficher les paramètres globaux des serveurs de Tanium Core Platform et des Tanium Clients sur la page Platform Settings (Paramètres de la plateforme).

    La permission d’écriture vous permet de créer, modifier ou supprimer des paramètres globaux. La permission d’écriture implique la permission Read Global Settings (Lire les paramètres globaux).

    Sous-réseaux isolésLa permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations de sous-réseau client isolées sur la page Administration (Administration)> Configuration (Configuration) > Subnets (Sous-réseaux).

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de sous-réseau client isolées. La permission d’écriture implique la permission Read Isolated Subnets (Lire les sous-réseaux isolés).

    PersonaLa permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations de persona. La permission Permission Administrator (Administrateur de permissions) implique la permission Read Persona (Lire le persona).

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des personas lorsqu’elle est combinée avec lapermission Permission Administrator (Administrateur de permissions). La permission d’écriture implique la permission Read Persona (Lire le persona).

    Les utilisateurs ont besoin de permissions supplémentaires pour modifier l’affectation d’autres objets RBAC (tels que les utilisateurs) à des personas : consultez la section Gérer les personas.

    Clé publiqueLa permission de lecture permet aux utilisateurs de l’API REST Tanium de télécharger la clé publique Tanium (tanium.pub) ou le fichier d’initialisation (tanium-init.dat).

    Seul le rôle réservé Administrateur peut accéder à la page Infrastructure (Infrastructure) pour télécharger ces fichiers via Tanium Console.

    Question HistoryLa permission de lecture permet aux utilisateurs d’afficher la page Question History (Historique des questions).

    Pour émettre une question à partir de la page Question History (Historique des questions), les utilisateurs ont également besoin de Platform Content Permissions (Permissions de contenu de plateforme) sur les Content Sets correspondants.

    Sous-réseaux séparésLa permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations de sous-réseau client séparées sur la page Subnets (Sous-réseaux).

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de sous-réseau client isolées. La permission d’écriture implique la permission Read Separated Subnets (Lire les sous-réseaux séparés).

    Statut du serveurLa permission de lecture permet aux utilisateurs d’afficher la page https://<Tanium_Server>/info. Pour plus de détails, reportez-vous à la section Afficher la page d’informations.
    Commandes de bande passante de sous-réseauLa permission de lecture permet aux utilisateurs d’afficher les commandes de bande passante spécifique au site sur la page Bandwidth Throttles (Commandes de bande passante).

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des commandes de bande passante spécifique au site.

    État du clientLa permission de lecture permet aux utilisateurs d’afficher la page Client Status (Statut du client).
    Jeton - RévoquerPermet aux utilisateurs de créer ou de révoquer des jetons d’API qui sont utilisés pour accéder au TaaSserveur Tanium.
    Jeton - UtiliserPermet aux utilisateurs d’envoyer des demandes au TaaSserveur Tanium pour de nouveaux jetons d’API.
    Jeton - AfficherPermet aux utilisateurs d’afficher la page API Tokens (Jetons d’API).
    UtilisateurLa permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations d’utilisateur sur la page Users (Utilisateurs).

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations d’utilisateur. La permission d’écriture implique la permission Read User (Lire l’utilisateur).

    Des permissions supplémentaires sont requises pour afficher et modifier le rôle, le groupe d’utilisateurs et les affectations de personas des utilisateurs : consultez la section Gérer les utilisateurs.

    Groupe d’utilisateursLa permission de lecture permet aux utilisateurs d’afficher et d’exporter des configurations de groupe d’utilisateurs sur la page User Groups (Groupes d’utilisateurs).

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de groupe d’utilisateurs. La permission d’écriture implique la permission Read User Group (Lire le groupe d’utilisateurs).

    Des permissions supplémentaires sont requises pour afficher et modifier le rôle, l’utilisateur et les affectations de personas du groupe d’utilisateurs : consultez la section Gérer les groupes d’utilisateurs.

    Droits de gestionLa permission de lecture permet aux utilisateurs d’afficher les affectations de groupes de gestion des ordinateurs des utilisateurs, groupes d’utilisateurs et personas lorsqu’elles sont combinées avec la permission Read Computer Group (Lire le groupe d’ordinateurs).

    Les Write Management Rights (Droits de gestion de l’écriture) font partie des permissions requises pour modifier les affectations de groupes de gestion des ordinateurs des utilisateurs, des groupes d’utilisateurs et des personas. Pour les permissions supplémentaires requises, consultez la section Gérer les groupes de gestion d’ordinateurs.

    Les Read Management Rights (Droits de gestion de la lecture) et les Write Management Rights (Droits de gestion de l’écriture) ne sont pas des permissions explicites ; la permission Permission Administrator (Administrateur de permissions) les implique.

    Content set (Content Set)La permission de lecture permet aux utilisateurs d’afficher les configurations du Content Set.

    La permission d’écriture permet aux utilisateurs de :

    • Créer, modifier et supprimer des Content Sets
    • Déplacer le contenu entre les Content Sets
    • Exporter des Content Sets au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter au format JSON.

    Il ne s’agit pas de permissions explicites ; la permission Permission Administrator (Administrateur de permissions) les implique.

    RôleLa permission de lecture permet aux utilisateurs d’afficher et d’exporter les configurations des rôles au format CSV. La permission Export Content (Exporter le contenu) est requise pour exporter au format JSON.

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer les configurations des rôles.

    Accorder la permission fait partie des permissions requises pour modifier les attributions de rôle des utilisateurs, des groupes d’utilisateurs et des personas.

    Il ne s’agit pas de permissions explicites ; la permission Permission Administrator (Administrateur de permissions) les implique.

    Les utilisateurs ont besoin des permissions combinées suivantes pour gérer les attributions de rôle :

    • Les permissions Permission Administrator (Administrateur de permissions) et Write User (Utilisateur en écriture) sont requises pour modifier les attributions de rôle des utilisateurs.
    • Les permissions Permission Administrator (Administrateur de permissions) et Write User Group (Groupe d’utilisateurs en écriture) sont requises pour modifier les attributions de rôle des groupes d’utilisateurs.
    • Les permissions Permission Administrator (Administrateur de permissions) et Write Persona (Écrire le persona) sont requises pour modifier les attributions de rôle des personas.
  8. Pour chaque module disposant des permissions que vous souhaitez attribuer, développez Ouvrir la section <module name> et sélectionnez les permissions.

    Reportez-vous aux guides d’utilisation du module pour plus d’informations sur les permissions requises pour les rôles propres au module :

  9. Développez Ouvrir la section Platform Content Permissions (Permissions de contenu de plateforme) et sélectionnez les permissions requises par le rôle :
    T :  Tableau 20 : Permissions de contenu de plateforme
    PermissionDescription
    Action La permission de lecture permet aux utilisateurs d’afficher les pages Administration (Administration) > Actions (Actions). La visibilité des actions spécifiques (lignes dans la grille) dépend de la permission Read Action (Lire l’action) sur le Content Set pour le package sous-jacent. La permission permet aux utilisateurs de télécharger de nouveau les fichiers de package et de copier les lignes de la grille dans le presse-papiers.

    La permission d’écriture permet aux utilisateurs de :

    • Voir les actions planifiées qu’ils ont émises.
    • Exporter les actions planifiées au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter au format JSON
    • Utilisez le bouton Deploy Action (Déployer une action) sur la grille Question Results (Résultats de la question).

    La permission Write Action (Écrire l’action) implique les permissions Read Own Action (Lire sa propre action), Read Package (Lire le package) et Show Preview (Afficher un aperçu).

    Pour déployer, modifier ou vérifier le statut d’une action, les utilisateurs doivent aussi avoir les permissions Read Sensor (Lire le sensor) et Read Saved Question (Lire la question enregistrée) dans le Content Set réservé. Le Content Set réservé inclut le contenu qui est utilisé pour poser des questions de prévisualisation et de sondage.

    Action pour la question enregistréeLa permission d’écriture permet aux utilisateurs de :
    • Accédez à la page Scheduled Actions( Actions planifiées) et consultez les actions qu’ils ont déployées.
    • Consultez et utilisez le bouton Deploy Action (Déployer une action) sur la grille Question Results (Résultats de la question) pour les questions enregistrées ayant des packages associés. La permission Read Package (Lire le package) n’est pas requise pour les packages associés. Si la question enregistrée n’a pas de packages associés, le bouton Deploy Action (Déployer une action) n’apparaît pas.

    La permission d’écriture implique la permission Show Preview (Afficher l’aperçu).

    Conseil : Utilisez la permission Write Action for Saved Question (Écrire l’action pour la question enregistrée) au lieu de la permission Write Action (Écrire l’action) afin de limiter l’utilisation par les utilisateurs d’actions qui utilisent des produits Tanium pour exécuter des procédures opérationnelles standard créées par d’autres.

    Approve ActionPermet à un utilisateur d’approuver les actions créées par d’autres utilisateurs. Les utilisateurs avec cette permission ne peuvent pas approuver leurs propres actions.

    Pour afficher les actions sur les pages Actions (Actions) I Can Approve (Peut approuver) et All Pending Approval (Toutes les approbations en attente), les utilisateurs doivent également disposer des permissions Read Package (Lire le package) et Read Own Action (Lire sa propre action).

    La permission Bypass Action Approval (Contourner la demande d’approbation) permet aux utilisateurs de déployer leurs actions sans approbation, même si l’approbation d’action est configurée. Aucun rôle, y compris le rôle réservé Administrateur, n’inclut cette permission par défaut. Il s’agit d’une permission de contenu de plateforme qui est effective lorsqu’elle est accordée à un utilisateur avec le rôle réservé Administrateur.

    Contourner la demande d’approbationLes actions créées par un utilisateur avec cette permission ne sont pas soumises aux exigences d’approbation.

    Aucun rôle, y compris le rôle réservé Administrateur, n’inclut cette permission par défaut.

    Il s’agit d’une permission avancée qui est effective lorsqu’elle est accordée à un utilisateur avec le rôle Administrateur.

    Tableau de bordLa permission de lecture permet aux utilisateurs d’afficher les tableaux de bord dans la page Content (Contenu) du module Interact, si ces utilisateurs ont également la permission Show Interact (Afficher Interact). Les utilisateurs ont également besoin des permissions Read Saved Question (Lire la question enregistrée) et Read Sensor (Lire le sensor) sur le contenu associé pour utiliser le tableau de bord.

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer les configurations des tableaux de bord. La permission d’écriture implique la permission Read Dashboard (Lire le tableau de bord).

    Groupe de tableaux de bordLa permission de lecture permet aux utilisateurs d’afficher les catégories dans la page Content (Contenu) du module Interact, si ces utilisateurs ont également la permission Show Interact (Afficher Interact). Les utilisateurs ont également besoin des permissions Read Dashboard (Lire le tableau de bord), Read Saved Question (Lire la question enregistrée), et Read Sensor (Lire le sensor) sur le contenu associé pour utiliser la catégorie.

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer les configurations des catégories. La permission d’écriture implique la permission Read Category (Lire la catégorie).

    Filtre de groupesLa permission de lecture permet aux utilisateurs de :
    • Afficher la page Filter Groups (Groupes de filtres)
    • Utiliser les groupes de filtres pour filtrer des questions, des résultats de questions et diverses listes dans Tanium Console
    • Exporter les groupes de filtres au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter au format JSON.

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de groupes de filtres. La permission d’écriture implique la permission Read Filter Group (Lecture du groupe de filtres).

    Sa propre actionLa permission de lecture permet à un utilisateur connecté d’afficher ses actions dans la grille All Pending Approval (Toutes les approbations en attente).
    PackageLa permission de lecture permet aux utilisateurs de :
    • Affichez les packages dans la liste Deployment Package (Package de déploiement) de la page Action Deployment (Déploiement des actions).
    • Afficher les packages dans la page Packages (Packages).
    • Exporter les packages au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter au format JSON.

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer les configurations des packages. La permission d’écriture implique les permissions Read Package (Lire le package) et Show Preview (Afficher un aperçu).

    Packages associésLa permission Read Associated Packages (Lire les packages associés) n’est pas explicite ; la permission Write Action for Saved Question (Écrire l’action pour la question enregistrée) implique l’autorisation Read Associated Packages (Lire les packages associés).
    Plug-inRéservé à une utilisation ultérieure.
    Question enregistrée La permission de lecture permet aux utilisateurs de :
    • Affichez les questions enregistrées dans l’analyse par sous-questions de la grille Question Results (Résultats de la question) et les interfaces utilisateur similaires.
    • Affichez les questions enregistrées sur la page Overview (Vue d’ensemble) du module Interact, si l’utilisateur dispose également de la permission Show Interact (Afficher Interact).
    • Posez des questions enregistrées, si l’utilisateur dispose également d’une permission Read Sensor (Lire le sensor) sur les Content Sets qui contiennent les sensors dans ces questions.
    • Affichez la page Saved Questions (Questions enregistrées).
    • Exportez les questions enregistrées au format CSV. La permission d’administration Export Content (Exporter le contenu) est requise pour exporter au format JSON.

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer les configurations des questions enregistrées. La permission d’écriture implique la permission Read Saved Question (Lire la question enregistrée), mais pas la permission Ask Dynamic Questions (Poser des questions dynamiques).

    CapteurLa permission de lecture permet aux utilisateurs de :
    • Affichez les sensors dans le Question Builder (Question Builder) et les interfaces utilisateur similaires de Tanium Console.
    • Utilisez les sensors si l’utilisateur a également la possibilité de poser des questions.

    La permission d’écriture permet aux utilisateurs de créer, modifier et supprimer des configurations de sensor. La permission d’écriture implique les permissions Read Sensor (Lire le sensor) et Show Preview (Afficher un aperçu).

    AperçuShow Preview (Afficher un aperçu) n’est pas une permission explicite. Les permissions Write Action (Écrire l’action), Write Action for Saved Question (Écrire l’action pour la question enregistrée), Write Sensor (Écrire le sensor) et Write Package (Écrire le package) impliquent la permission Show Preview (Afficher un aperçu). La permission Show Preview (Afficher un aperçu) permet aux utilisateurs de poser des questions qui sont nécessaires pour afficher un aperçu de l’impact des nouvelles configurations d’action, de sensor et de package ainsi que les configurations modifiées. Pour poser des questions d’aperçu, l’utilisateur a également besoin de la permission Read Sensor (Lire le sensor) sur le Content Set réservé, qui inclut le contenu utilisé pour poser les questions d’aperçu.
  10. (Facultatif) Vérifiez toutes les permissions que vous avez sélectionnées.

    En haut à droite de la page, cliquez sur Preview (Aperçu) pour afficher uniquement les permissions que vous avez sélectionnées. Lorsque vous avez terminé la révision, cliquez sur Edit Mode (Mode de modification) pour poursuivre la configuration du rôle.

  11. Affectez des Content Sets (Content Sets) aux permissions de contenu de module pertinentes et aux Platform Content Permissions (Permissions de contenu de plateforme) que vous avez sélectionnées :
    • Pour attribuer tous les Content Sets existants et futurs à toutes les permissions de contenu pertinentes que vous avez sélectionnées, sélectionnez Add all Content Sets that exist or will exist to the permissions selected above (Ajouter tous les Content Sets qui existent ou existeront aux permissions sélectionnées ci-dessus). Cette option est utile, par exemple, lorsque vous voulez que l’utilisateur puisse toujours lire des sensors ou ne puisse jamais écrire d’actions.
    • Pour attribuer des Content Sets spécifiques à toutes les permissions de contenu pertinentes que vous avez sélectionnées, cliquez sur Add Content Sets (Ajouter des Content Sets), sélectionnez les ensembles et cliquez sur Select (Sélectionner).
    • Pour attribuer des Content Sets spécifiques à une permission spécifique :
      1. Faites défiler jusqu’à la section Permissions (Permissions) et cliquez sur le numéro à côté de l’icône de la permission, par exemple :

        Attributions du Content Set

      2. Sélectionnez les Content Sets et cliquez sur Select (Sélectionner).

    Pour examiner les attributions de Content Set pour une permission spécifique, développez-la Développer dans la section Permissions (Permissions). Les icônes suivantes indiquent comment une permission de Content Set est dérivée :

    Permission expliciteContent set qui est explicitement attribué à la permission.
    Permission super expliciteContent set qui est attribué parce qu’une autre permission l’implique ou le fournit.

    Pour vérifier les attributions de Content Set pour toutes les permissions, consultez la grille Content Sets (Content Sets). Les icônes suivantes dans la grille indiquent comment une permission de Content Set est dérivée :

    Permission expliciteContent set que vous avez explicitement attribué.
    Permission super expliciteContent set que vous avez attribué explicitement et qui est associé à une permission qui fournit ou implique automatiquement des permissions supplémentaires en raison de dépendances.
    Permission impliciteContent set qui est automatiquement attribué parce qu’il a une dépendance avec une autre permission.

    Pour créer un Content Set personnalisé sans quitter la page de configuration des rôles, cliquez sur New Content Set (Nouveau Content Set), saisissez un Name (Nom) pour identifier le jeu, puis cliquez sur Save (Enregistrer).

  12. Cliquez sur Save (Enregistrer).

Créer un rôle avancé

Les rôles avancés accordent ou refusent les permissions du Content Set, qui contrôlent l’accès aux sensors, aux packages, aux questions enregistrées et à d’autres contenus.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Sélectionnez New Role (Nouveau rôle) > Grant Advanced Role (Accorder un rôle avancé) ou New Role (Nouveau rôle) > Deny Advanced Role (Refuser un rôle avancé).
  3. Spécifiez un nom pour identifier le rôle.
  4. (Facultatif) Dans la section All Content Sets (Tous les Content Sets), sélectionnez l’option Add all Content Sets that exist or will exist to the permissions selected below (Ajouter tous les Content Sets qui existent ou existeront pour les permissions sélectionnées ci-dessous) pour attribuer ou refuser des permissions pour tous les Content Sets existants et à venir. Cette option est utile, par exemple, lorsque vous voulez que l’utilisateur puisse toujours lire des sensors ou ne puisse jamais écrire d’actions.
  5. Dans la section Ask Dynamic Question (Poser une question dynamique), cliquez sur Add (Ajouter) Ajouter pour permettre aux utilisateurs dotés de ce rôle de poser des questions dynamiques (ad hoc).

    Ask Dynamic Questions (Poser des questions dynamiques) est une permission globale. Si elle est activée dans un rôle affecté à un utilisateur, ce dernier a le droit de créer des questions dynamiques avec l’un des sensors pour lesquels ils disposent d’un accès en lecture.

  6. Dans la section Advanced Permissions (Permissions avancées), cliquez sur Add (Ajouter) Ajouter pour chaque permission que vous souhaitez que le rôle accorde ou refuse. T :  Tableau 21 décrit les permissions.
  7. Ajoutez des Content Sets à chaque permission. Ignorez cette étape si vous avez sélectionné l’option Add all Content Sets that exist or will exist to the permissions selected below (Ajouter tous les Content Sets existants ou à venir aux permissions sélectionnées ci-dessous).

    Pour créer un Content Set personnalisé sans quitter la page de configuration des rôles, cliquez sur Apply New Content Set (Appliquer un nouveau Content Set), cliquez sur New Content Set (Nouveau Content Set), saisissez un Name (Nom) et une Description (Description) (facultative), puis cliquez sur Save (Enregistrer).

    • Ajouter les mêmes Content Sets à toutes les permissions : cliquez sur Apply New Content Set (Appliquer un nouveau Content Set), sélectionnez les Content Sets, puis cliquez sur Save (Enregistrer).
    • Ajouter des Content Sets à une permission spécifique : cliquez sur Add (Ajouter) dans la mosaïque de permission, sélectionnez les Content Sets, puis cliquez sur Save (Enregistrer).
  8. Cliquez sur Save (Enregistrer) pour enregistrer la configuration des rôles.
T :  Tableau 21 : Permissions de Content Set
Permission Description
Contourner la demande d’approbation Les actions créées par un utilisateur avec cette permission ne sont pas soumises aux exigences d’approbation.

Aucun rôle, y compris le rôle réservé Administrateur, n’inclut cette permission par défaut.

Il s’agit d’une permission avancée qui est effective lorsqu’elle est accordée à un utilisateur avec le rôle Administrateur.

Read Sensor Permet d’afficher les sensors dans la page Sensors (Sensors), le Question Builder (Question Builder) et les interfaces utilisateur similaires de la console. Peut utiliser des sensors si l’utilisateur a également la possibilité de poser des questions.
Write Sensor Peut créer, modifier et supprimer des configurations de sensor. Implique les permissions Read Sensor (Lire le sensor) et Show Preview (Afficher un aperçu).
Read Action Permet d’afficher les pages Administration (Administration) > Actions (Actions). La visibilité des lignes dans la grille dépend de la permission Read Action (Lire l’action) sur le Content Set pour le package sous-jacent. La permission permet aux utilisateurs de télécharger de nouveau les fichiers de package et de copier les lignes de la grille dans le presse-papiers.

Implique la permission Read Own Action (Lire sa propre action).

Read Own Action Détermine si les actions de l’utilisateur connecté apparaissent dans la grille All Pending Approval (Toutes les approbations en attente).
Write Action Permet d’afficher les pages Scheduled Actions (Actions planifiées). Les utilisateurs peuvent voir les lignes pour les actions qu’ils ont émises. Si un utilisateur a la permission Read Action (Lire l’action) sur le Content Set pour le package sous-jacent, cet utilisateur peut voir les lignes des actions émises par les autres utilisateurs.

Peut afficher et utiliser le bouton Deploy Action (Déployer une action) sur la grille Question Results (Résultats de la question) pour les questions dynamiques et les questions enregistrées.

Implique les permissions Read Own Action (Lire sa propre action), Read Package (Lire le package) et Show Preview (Afficher un aperçu).

Pour déployer une action, modifier une action ou vérifier le statut de l’action, un utilisateur a également besoin des permissions Read Sensor (Lire le sensor) et Read Saved Question (Lire la question enregistrée) sur le Content Set réservé. Le content set réservé inclut le contenu utilisé pour poser des questions de prévisualisation et de sondage.

Write Action for Saved Question Permet de voir la page Scheduled Actions (Actions planifiées), mais uniquement les lignes correspondant aux actions que l’utilisateur a déployées.

Peut voir et utiliser le bouton Deploy Action (Déployer une action) sur la grille Question Results (Résultats de la question), mais uniquement pour les questions enregistrées ayant des actions associées. La permission Read Package (Lire le package) n’est pas requise pour les actions associées. Si la question enregistrée n’a pas d’actions associées, le bouton Deploy Action (Déployer une action) n’apparaît pas.

Conseil : Utilisez cette permission au lieu de la permission Write Action (Écrire l’action), pour limiter l’utilisation par les utilisateurs d’action utilisant des produits Tanium pour exécuter des procédures opérationnelles standard que quelqu’un d’autre a créées.

Lire le groupe de filtres Cette permission permet d’ouvrir la page Filter Groups (Groupes de filtres) et d’utiliser des groupes de filtres pour filtrer des questions, des résultats de questions et diverses listes dans Tanium Console.
Écrire le groupe de filtres Cette permission permet de créer, modifier et supprimer des configurations de groupe de filtres. Implique la permission Read Filter Group (Lecture du groupe de filtres).
Approve Action Peut approuver les actions qu’un autre utilisateur a créées. Les utilisateurs avec cette permission ne peuvent pas approuver leurs propres actions.

Pour afficher les actions sur les pages Actions (Actions) I Can Approve (Peut approuver) et All Pending Approval (Toutes les approbations en attente), vous devez également disposer des permissions Read Package (Lire le package) et Read Own Action (Lire sa propre action).

Read Plugin Réservé à une utilisation ultérieure.
Execute Plugin Réservé à une utilisation ultérieure.
Read Package Cette permission permet d’afficher les packages dans la boîte de dialogue Browse Packages (Parcourir les packages) ouverte à partir de la page du workflow Deploy Action (Déployer une action). Ne peut pas afficher la page Packages (Packages), à moins que l’utilisateur ne dispose également de la permission Write Package (Écrire le package).
Write Package Permet d’afficher la page Packages (Packages). Peut créer, modifier et supprimer des configurations de package. Implique les permissions Read Package (Lire le package) et Show Preview (Afficher un aperçu).
Read Saved Question (Lire question enregistrée) Peut afficher les questions enregistrées dans l’analyse par sous-questions de la grille Question Results (Résultats de la question) et les interfaces utilisateur similaires. Permet d’afficher la page Saved Questions (Questions enregistrées), si l’utilisateur a également accès à l’interface Interact. Ne peut pas afficher la page Saved Questions (Questions enregistrées), à moins que l’utilisateur ne dispose également de la permission Write Saved Question (Écrire la question enregistrée).

Pour émettre une question enregistrée comme prévu, l’utilisateur a également besoin de la permission Read Sensor (Lire le sensor) pour le sensor concerné.

Write Saved Question Permet d’afficher la page Saved Questions (Questions enregistrées). Peut créer, modifier et supprimer des configurations de questions enregistrées. Implique la permission Read Saved Question (Lire la question enregistrée).

Remarque : N’implique pas la permission Ask Dynamic Questions (Poser des questions dynamiques).

Read Associated Packages Pas une permission explicite. Implicite dans la permission Write Action for Saved Question (Écrire l’action pour la question enregistrée).
Read Dashboard (Lire tableau de bord) Permet d’afficher les tableaux de bord sur la page Content (Contenu) d’Interact, si l’utilisateur a également la permission pour l’interface Interact.

Un utilisateur a également besoin des permissions Read Saved Question (Lire question enregistrée) et Read Sensor (Lire le sensor) sur le contenu associé pour utiliser le tableau de bord.

Write Dashboard Peut créer, modifier ou supprimer des configurations de tableau de bord. Implique la permission Read Dashboard (Lire le tableau de bord).
Read Dashboard Group (Lire groupe de tableaux de bord) Permet d’afficher les catégories sur la page Content (Contenu) d’Interact, si l’utilisateur a également la permission pour l’interface Interact.

Un utilisateur a également besoin des permissions Read Dashboard (Lire le tableau de bord), Read Saved Question (Lire la question enregistrée), et Read Sensor (Lire le sensor) sur le contenu associé pour utiliser la catégorie.

Write Dashboard Group Peut créer, modifier ou supprimer des configurations de catégorie. Implique la permission Read Category (Lire la catégorie).
Show Preview Pas une permission explicite. Implicite dans les permissions Write Action (Écrire l’action), Write Action for Saved Question (Écrire l’action pour la question enregistrée), Write Sensor (Écrire le sensor), et Write Package (Écrire le package). Permet aux auteurs de poser des questions nécessaires pour prévisualiser l’impact des configurations nouvelles et modifiées. Pour poser des questions de prévisualisation, l’utilisateur doit également disposer de la permission Read Sensor (Lire le sensor) sur le Content Set réservé. Le content set réservé inclut le contenu utilisé pour poser des questions de prévisualisation.

Créer un rôle micro admin

Les rôles micro admin affectent les permissions d’administration du système Tanium.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Cliquez sur New Role (Nouveau rôle) > Grant Micro Admin Role (Attribuer un rôle Micro Admin) ou New Role (Nouveau rôle) > Deny Micro Admin Role (Refuser un rôle Micro Admin) pour afficher la page de configuration des rôles.
  3. Saisissez un Name (Nom) pour identifier le rôle.
  4. Cliquez sur Add (Ajouter) Ajouter pour chaque permission que vous souhaitez que le rôle accorde ou refuse (consultez le tableau suivant), puis cliquez sur Save (Enregistrer).

    certaines tâches administratives dans la console Tanium ne sont pas associées à des permissions micro admin ; seuls les utilisateurs ayant un rôle réservé peuvent effectuer ces tâches. Pour plus de détails, reportez-vous à la section Tâches nécessitant des rôles réservés.

T :  Tableau 22 : Permissions micro admin
Permission Description
Read System Status Permet d’afficher la page Client Status (Statut du client).
Read Question History Permet d’afficher la page Question History (Historique des questions). Pour émettre une question à partir de la page Question History (Historique des questions), l’utilisateur a également besoin de permissions de rôle avancées sur les Content Sets correspondants.
Read User Permet d’afficher et d’exporter les configurations utilisateur.

Des permissions supplémentaires sont requises pour afficher le rôle, le groupe d’utilisateurs et les affectations de personas des utilisateurs : consultez la section Gérer les utilisateurs.

Write User Permet de créer, modifier et supprimer des utilisateurs. Implique la permission Read User (Lire l’utilisateur).

Des permissions supplémentaires sont requises pour modifier le rôle, le groupe d’utilisateurs et les affectations de personas des utilisateurs : consultez la section Gérer les utilisateurs.

Read User Group Permet d’afficher et d’exporter les configurations du groupe d’utilisateurs.

Des permissions supplémentaires sont requises pour afficher le rôle, l’utilisateur et les affectations de personas du groupe d’utilisateurs : consultez la section Gérer les groupes d’utilisateurs.

Write User Group Permet d’ créer, modifier ou supprimer des groupes d’utilisateurs. Implique la permission Read User Group (Lire le groupe d’utilisateurs).

Des permissions supplémentaires sont requises pour modifier le rôle, l’utilisateur et les affectations de personas du groupe d’utilisateurs : consultez la section Gérer les groupes d’utilisateurs.

Read Computer Group Permet d’afficher et exporter des groupes de gestion des ordinateurs et des groupes de filtres. Implique la permission Read Filter Group (Lecture du groupe de filtres).

Des permissions supplémentaires sont requises pour afficher les affectations de groupe d’utilisateurs, d’utilisateur et de persona des groupes de gestion des ordinateurs : consultez la section Gérer les groupes de gestion d’ordinateurs.

Write Computer Group Permet de créer, modifier et supprimer des groupes de gestion des ordinateurs et des groupes de filtres. Implique les permissions Read Computer Group (Lecture du groupe d’ordinateurs) et Write Filter Group (Écriture du groupe de filtres).

Pour créer un groupe de gestion des ordinateurs ou un groupe de filtres dans lequel l’appartenance est basée sur un filtre de sensor, les permissions suivantes sont requises en plus de la permission Write Computer Group (Écriture du groupe d’ordinateurs) :

  • Read Sensor (Lire le sensor) (avancée) sur le Content Set Reserved (Réservé), qui inclut le contenu utilisé pour poser des questions d’aperçu.
  • Permission Interact Module Write (Écriture du module Interact) (module).

Les groupes d’ordinateurs avec une appartenance définie manuellement n’ont pas besoin des permissions Read Sensor (Lire le sensor) ou Write Interact Module (Écriture du module Interact).

Lire le persona Permet d’afficher et exporter des configurations et des affectations de personas. La permission Permission Administrator (Administrateur de permissions) implique la permission Read Persona (Lire le persona).
Écrire un persona Permet de créer, modifier et supprimer un persona. Implique la permission Read Persona (Lire le persona).

Des permissions supplémentaires sont requises pour modifier l’utilisateur, le groupe d’utilisateurs et les attributions de rôles de personas : consultez la section Gérer les personas.

Read Global Settings Permet d’afficher la page Global Settings (Paramètres globaux).
Write Global Settings Peut créer, modifier et supprimer des paramètres globaux. Implique la permission Read Global Settings (Lire les paramètres globaux).
Lire les URL autorisées Permet d’afficher la page Allowed URLs (URL autorisées).
Écrire les URL autorisées Permet de créer, modifier et supprimer la configuration des URL autorisées. Implique la permission Read Allowed Urls (Lire les URL autorisées).
Read Audit Peut afficher :
  • Les informations de Last Sign In (Dernière connexion) sur la page Users (Utilisateurs)
  • Les informations de Last Modified on (Date de dernière modification) sur la page de configuration de l’utilisateur
  • Les informations de Last Modification (Dernière modification) sur la page Global Settings (Paramètres globaux)
Read Server Status Permet d’afficher la page https://<Tanium_Server>/info. Pour plus de détails, reportez-vous à la section Afficher la page d’informations.
View Token (Afficher le jeton) Permet d’afficher la page API Tokens (Jetons d’API).
Use Token (Utiliser le jeton) Permet d’envoyer des demandes au TaaSserveur Tanium pour de nouveaux jetons d’API.
Revoke Token (Révoquer le jeton) Permet de révoquer les jetons d’API utilisés pour accéder au Taasserveur Tanium.
Exporter le contenu Permet d’exporter les types de contenu suivants :
  • URL autorisées
  • Groupes d’ordinateurs
  • Content Sets
  • Groupes de filtres
  • Packages
  • Rôles
  • Questions enregistrées
  • Actions planifiées
  • Capteurs 

Seul le rôle réservé Administrateur peut exporter des catégories et des tableaux de bord.

Import Signed Content (Importer le contenu signé) Permet d’importer des fichiers de contenu signés numériquement.
Read Action Group (Lecture du groupe d’actions) Permet d’afficher des groupes d’actions spécifiques sur la page Scheduled Actions (Actions planifiées).
Write Action Group (Écriture du groupe d’actions) Permet de créer, modifier ou supprimer des groupes d’actions. Implique la permission Read Action Group (Lecture du groupe d’actions).

Créer un rôle de module

Les rôles de module attribuent des permissions du module de la solution Tanium, qui contrôlent l’accès aux workbenches et aux fonctionnalités des modules. Les rôles du module attribuent également des permissions aux Content Sets spécifiques au module. Les rôles de module n’ont pas de rôles Refuser. Les utilisateurs, qui sont dépourvus de rôle attribuant un accès au module, ne peuvent pas accéder au workbench ou aux fonctionnalités du module. Certaines permissions de module activent les permissions fournies, qu’une configuration de rôle inclut automatiquement lorsque vous sélectionnez des permissions de module. Par exemple, si vous sélectionnez la permission Patch Module Write (Écriture du module de correctifs), le rôle inclut automatiquement la permission Ask Dynamic Questions (Poser des questions dynamiques).

Exigences pour les rôles spécifiques au module

Reportez-vous aux guides d’utilisation du module pour plus d’informations sur les permissions requises pour les rôles propres au module :

Ajouter un rôle de module

Procédez comme suit pour ajouter un rôle de module :

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Cliquez sur New Role (Nouveau rôle) > Grant Module Role (Attribuer rôle de module) pour afficher la page de configuration des rôles.
  3. Saisissez un Name (Nom) pour identifier le rôle.
  4. (Facultatif) Dans la section All Content Sets (Tous les Content Sets), sélectionnez l’option Add all Content Sets that exist or will exist to the permissions selected below (Ajouter tous les Content Sets qui existent ou existeront pour les permissions sélectionnées ci-dessous) pour attribuer des permissions pour tous les Content Sets existants et à venir, qui sont associés au module. Cette option s’applique uniquement aux modules personnalisés tels que Trends qui a un contenu spécifique au module.
  5. Dans la section Module Permissions (Permissions du module), cliquez sur Add (Ajouter) Ajouter à côté de chaque module pour lequel vous souhaitez que le rôle accorde des permissions.
  6. Pour chaque module, cliquez sur Edit (Modifier), sélectionnez les permissions et cliquez sur Save (Enregistrer).
  7. Pour chaque module qui contient un contenu spécifique au module, cliquez sur Add (Ajouter) dans la mosaïque de permission, sélectionnez les Content Sets, puis cliquez sur Save (Enregistrer). Ignorez cette étape si vous avez sélectionné l’option Add all Content Sets that exist or will exist to the permissions selected below (Ajouter tous les Content Sets existants ou à venir aux permissions sélectionnées ci-dessous).

    Pour créer un Content Set personnalisé sans quitter la page de configuration des rôles, cliquez sur Apply New Content Set (Appliquer un nouveau Content Set) dans le coin supérieur droit de la section Module Permissions (Permissions du module), cliquez sur New Content Set (Nouveau Content Set), saisissez un Name (Nom) et une Description (Description) (facultative), puis cliquez sur Save (Enregistrer).

    • Ajouter les mêmes Content Sets à toutes les permissions : cliquez sur Apply New Content Set (Appliquer un nouveau Content Set), sélectionnez les Content Sets, puis cliquez sur Save (Enregistrer).
    • Ajouter des Content Sets à une permission spécifique : cliquez sur Add (Ajouter) dans la mosaïque de permission, sélectionnez les Content Sets, puis cliquez sur Save (Enregistrer).
  8. Cliquez sur Save (Enregistrer) pour enregistrer la configuration des rôles.

Gérer l’utilisateur et les attributions de groupes d’utilisateurs pour un rôle

Pour attribuer des rôles à des personas, consultez la section Gérer les attributions de rôles pour un persona.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles) et cliquez sur Role Name (Nom du rôle).
  2. Développez Développer la section Users (Utilisateurs), cliquez sur Manage Users (Gérer les utilisateurs), sélectionnez ou désélectionnez les utilisateurs, puis cliquez sur Select (Sélectionner).
    Si vous modifiez un rôle auquel des utilisateurs ont déjà été attribués, cliquez sur le numéro au-dessus du champ Users (Utilisateurs) dans la section Role Details (Détails du rôle) pour faire défiler jusqu’à la section Users (Utilisateurs) et l’agrandir.

    Pour afficher ou modifier la configuration d’un utilisateur en particulier, cliquez sur le Name (Nom) de l’utilisateur dans la section Users (Utilisateurs). La page Edit User (Modifier l’utilisateur) s’ouvre dans un nouvel onglet.

  3. Développez Développer la section User Groups (Groupes d’utilisateurs), cliquez sur Manage User Groups (Gérer les groupes d’utilisateurs), sélectionnez ou désélectionnez les groupes, puis cliquez sur Select (Sélectionner).
    Si vous modifiez un rôle auquel des groupes d’utilisateurs ont déjà été attribués, cliquez sur le numéro au-dessus du champ Users (Utilisateurs) dans la section Role Details (Détails du rôle) pour faire défiler jusqu’à la section User Groups (Groupes d’utilisateurs) et l’agrandir.

    Pour afficher ou modifier la configuration d’un groupe d’utilisateurs en particulier, cliquez sur le Name (Nom) du groupe dans la section User Groups (Groupes d’utilisateurs). La page Edit User Group (Modifier le groupe d’utilisateurs) s’ouvre dans un nouvel onglet.

  4. Vérifiez les affectations de l’utilisateur et du groupe d’utilisateurs et cliquez sur Save (Enregistrer).
  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Sélectionnez un rôle et cliquez sur Edit (Modifier).
  3. Cliquez sur Edit User Assignment (Modifier l’affectation des utilisateurs) pour afficher la page Assign Users and User Groups (Affecter des utilisateurs et des groupes d’utilisateurs).
  4. Cliquez sur Edit (Modifier) en regard de User Groups (Groupes d’utilisateurs). Sélectionnez les groupes et cliquez sur Save (Enregistrer).
  5. Cliquez sur Edit (Modifier) en regard de Users (Utilisateurs). Sélectionnez les utilisateurs et cliquez sur Save (Enregistrer).
  6. Cliquez sur Show Preview to Continue (Afficher l’aperçu pour continuer), examinez les permissions en vigueur, puis cliquez sur Save (Enregistrer).

Cloner un rôle

Pour ajouter un rôle comportant de nombreux paramètres en commun avec un rôle existant, cloner le rôle existant avant de le modifier est souvent une méthode plus rapide que la configuration d’un nouveau rôle. Notez que vous devez toujours affecter des utilisateurs et des groupes d’utilisateurs au clone, et facultativement entrer une description : le clone n’héritera pas des paramètres du rôle d’origine. Vous pouvez cloner n’importe quel rôle, sauf les rôles réservés.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Sélectionnez un rôle et cliquez sur Clone (Cloner).
  3. Saisissez un Role Name (Nom du rôle) pour identifier le rôle, mettez à jour les permissions si nécessaire et cliquez sur Save (Enregistrer).
  4. Attribuez des utilisateurs et des groupes d’utilisateurs au rôle (consultez la section Gérer l’utilisateur et les attributions de groupes d’utilisateurs pour un rôle).

Exporter et importer des rôles

Les procédures suivantes décrivent comment exporter et importer les configurations de rôles spécifiques ou de tous les rôles.

Développez et testez le contenu dans l’environnement de votre laboratoire avant d’importer ce contenu dans votre environnement de production.

Exporter les rôles

Exportez les rôles sous forme de fichier CSV pour consulter leurs paramètres dans une application qui prend en charge ce format. Si votre compte d’utilisateur dispose d’un rôle avec la permission Export Content (Exporter le contenu), vous pouvez également exporter des rôles sous forme de fichier JSON pour les importer dans un autre serveur Tanium. Le rôle réservé Administrateur comporte cette permission.

Si vous souhaitez exporter ou importer d’autres types de contenu en plus des rôles, reportez-vous à la section Gérer les services partagés et le contenu.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Sélectionnez des lignes dans la grille pour exporter uniquement des rôles spécifiques. Si vous souhaitez exporter tous les rôles, ignorez cette étape.
  3. Cliquez sur Export (Exporter) ExportExport.
  4. (Facultatif) Modifiez le File Name (Nom de fichier) d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  5. Sélectionnez une option pour Export Data (Exporter les données) : All (Tous) les rôles dans la grille ou seulement les rôles Selected (Sélectionnés).
  6. Sélectionnez le Format (Format) du fichier : JSON ou CSV.
  7. Cliquez sur Export (Exporter).

    TaaSLe serveur Tanium exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Importer des rôles

Vous pouvez importer des fichiers de contenu au format JSON ou XML.

  1. Signez numériquement le fichier de contenu et assurez-vous qu’une clé publique est en place pour valider la signature. Reportez-vous à la section Authentification des fichiers de contenu.
  2. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Solutions (Solutions).
  3. Faites défiler jusqu’à la section Content (Contenu) et cliquez sur Import Import Content (Importer le contenu).
  4. Cliquez sur Choose File (Choisir un fichier), sélectionnez le fichier de contenu et cliquez sur Open (Ouvrir).
  5. Cliquez sur Import (Importer).

    Si les noms d’objet dans le fichier sont les mêmes que pour les objets existants, la console Tanium détaille les conflits et fournit des options de résolution pour chacun d’eux.

  6. Sélectionnez les résolutions pour tout conflit. Pour obtenir des conseils, reportez-vous aux sections Conflits et Best practices.
  7. Cliquez sur Import (Importer) et cliquez sur Close (Fermer) lorsque l’importation est terminée.

Copier les détails de configuration du rôle

Copiez les informations de la page Roles (Rôles) dans votre presse-papiers pour coller les informations dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options, puis cliquez sur Copy (Copier) Copier.

Supprimer un rôle

La suppression d’un rôle le supprime de n’importe quel utilisateur, groupe d’utilisateurs et persona auquel il a été attribué.

Effectuez les tâches suivantes avant de supprimer un rôle :
  1. Supprimer l’utilisateur et les affectations de groupes d’utilisateurs de la configuration du rôle : Gérer l’utilisateur et les attributions de groupes d’utilisateurs pour un rôle.
  2. Accédez à la page des permissions effectives pour vos utilisateurs, et examinez l’impact résultant sur les permissions effectives : Afficher les permissions en vigueur pour un utilisateur.

Pour supprimer un rôle :

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Roles (Rôles).
  2. Sélectionnez le rôle et cliquez sur Delete (Supprimer) Supprimer.