Gestion des utilisateurs

La configuration d’un utilisateur associe des personas, des groupes d’utilisateurs, des groupes de gestion d’ordinateurs et des rôles à un utilisateur. Vous pouvez créer des comptes d’utilisateurs localement sur le serveur Tanium ou les importer depuis un serveur LDAP (Lightweight Directory Access Protocol) ou Active Directory (AD. Si votre déploiement nécessite à la fois des utilisateurs locaux et importés, configurez d’abord les importations (reportez-vous à la section Intégration aux serveurs LDAP).

La figure suivante illustre la relation entre les utilisateurs et les autres composants RBAC dans Tanium :

F : Figure 1 :  Utilisateurs Tanium

Pour connaître les permissions de rôle d’utilisateur requises pour pouvoir gérer les utilisateurs, reportez-vous à la section Gérer les utilisateurs.

Authentification de l’utilisateur

Dans le cadre d’un déploiement Tanium en tant que service (TaaS), tous les utilisateurs s’authentifient via un fournisseur d’identité (PDi) SAML (Security Assertion Markup Language). Contacter l’assistance Tanium pour plus de détails.

Dans le cadre d’un déploiement où les utilisateurs s’authentifient sur Tanium Console à partir de domaines sur une instance Salesforce Information Technology Service Management (ITSM), vous devez mettre à jour le paramètre Origines d’authentification approuvée sur la console si les domaines changent.

Vous pouvez configurer les méthodes suivantes pour authentifier les utilisateurs lorsqu’ils accèdent à la console Tanium ou à l’API :

Si vous utilisez un service externe pour l’authentification, conservez au moins un compte d’utilisateur qui repose sur l’authentification locale et attribuez-lui le rôle réservé Administrateur. Si le service externe devient indisponible (par exemple, la connexion au serveur LDAP ou au PDi SAML tombe en panne), cet utilisateur local peut tout de même accéder à la console Tanium et reconfigurer la connexion au service externe, le cas échéant. Vous pouvez éventuellement utiliser l’utilisateur par défaut créé pendant l’installation du serveur Tanium à cette fin.

Utilisateur par défaut

Pendant la configuration de votre déploiement Tanium en tant que service (TaaS), un compte administrateur est créé que vous pouvez utiliser pour vous connecter à Tanium Console pour la première fois. Cet utilisateur est basé sur un compte PDi que votre organisation sélectionne comme administrateur principal pour votre déploiement TaaS. L’utilisateur a des droits de gestion illimités du groupe d’ordinateurs. L’utilisateur dispose également du rôle réservé Administrateur, qui permet d’accéder à toutes les fonctionnalités disponibles dans TaaS, y compris la possibilité de configurer le contrôle d’accès basé sur les rôles (RBAC) pour tous les autres utilisateurs TaaS.

Le processus d’installation du serveur Tanium crée un compte d’utilisateur de la console Tanium qui dispose de permissions similaires à celles du super-utilisateur racine ou admin dans certains systèmes d’exploitation. Cet utilisateur initial se voit attribuer le groupe d’ordinateurs All Computers (Tous les ordinateurs) et le rôle réservé Administrateur, ce qui lui permet d’effectuer n’importe quelle opération sur Tanium Core Platform. Cependant, cet utilisateur n’est pas un utilisateur intégré comme pour l’utilisateur racine ou admin. C’est pourquoi, vous pouvez modifier ou supprimer le compte.

Afficher les paramètres de l’utilisateur

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs)Administration (Administration) > Management (Gestion) > Users (Utilisateurs).

    La grille Users (Utilisateurs) affiche les attributs de base de chaque utilisateur, notamment la valeur Name (Nom) de l’utilisateur et le nombre de groupes d’ordinateurs attribués. Toutefois, pour voir les groupes d’utilisateurs, groupes d’ordinateurs, personas ou rôles (et permissions) spécifiques qui sont attribués, vous devez afficher la configuration d’un utilisateur en particulier.

    Pour afficher les utilisateurs supprimés, réglez le bouton à bascule Users (Utilisateurs) sur All (Tous) (par défaut, les utilisateurs à l’état Active (Actif) uniquement). La colonne Status (Statut) indique les utilisateurs qui sont actifs Actif ou supprimés Supprimé.

  2. (Facultatif) Utilisez les filtres pour trouver des utilisateurs spécifiques :
    • Filter by text (Filtrer par texte) : pour filtrer la grille avec le nom de l’utilisateur, le nom d’affichage ou le nom de domaine, saisissez une chaîne de texte dans le champ Filter items (Filtrer les éléments).
    • Filter by attribute (Filtrer par attribut) : filtrez la grille selon un ou plusieurs attributs, tels que le nombre de Computer Groups (Groupes d’ordinateurs) attribués. Développez la section DévelopperFilters (Filtres), cliquez sur Ajouter Add (Ajouter), sélectionnez un attribut et un opérateur, saisissez une chaîne de texte qui contient tout ou une partie de la valeur d’attribut, puis cliquez sur Apply (Appliquer). Si vous ajoutez plusieurs filtres d’attributs, l’opérateur booléen AND (ET) s’applique. Une fois que vous avez fini de spécifier les attributs, cliquez sur Apply All (Appliquer tout) pour filtrer la grille.
  3. (Facultatif) Pour voir les groupes d’utilisateurs, les groupes d’ordinateurs, les personas, les rôles et les permissions qui sont attribués à un utilisateur, cliquez sur la valeur Name (Nom) de l’utilisateursélectionnez l’utilisateur et cliquez sur View User (Afficher l’utilisateur).

Créer un utilisateur

Lorsque vous créez une configuration d’utilisateur, par défaut, celle-ci n’a pas de groupes de gestion d’ordinateurs, de personas alternatifs, de groupes d’utilisateurs ou de rôles tant que vous ne les avez pas affectés. Un utilisateur sans rôle peut se connecter à Tanium Console mais ne peut accéder à rien. Ne créez pas de configurations pour les comptes d’utilisateur que vous importez à partir d’un serveur LDAP (reportez-vous à la section Intégration aux serveurs LDAP).

Pour connaître les méthodes pour authentifier des utilisateurs, reportez-vous à la section Authentification de l’utilisateur.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs) et cliquez sur New User (Nouvel utilisateur).
  2. Spécifiez un User Name (Nom d’utilisateur) correspondant à un compte de votre PDi. l’un des éléments suivants :
    • Compte d’utilisateur défini localement sur le serveur Tanium.
    • (Déploiement Windows uniquement) Un nom de compte AD. Spécifiez uniquement le nom d’utilisateur, et non le nom de domaine. Le serveur Tanium utilise l’authentification Windows et il n’assure ni le stockage ni la gestion des informations d’identification pour l’utilisateur.
  3. Configurez les détails de l’utilisateur et les attributions RBAC :
  4. Cliquez sur Save (Enregistrer) pour créer l’utilisateur.
  5. (Déploiement des appliances Tanium uniquement) Configurez le service d’authentification locale et le compte utilisateur sur l’appliance, comme décrit dans le Guide de déploiement des appliances Tanium : Configurer le service d’authentification local.
  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Users (Utilisateurs) et cliquez sur New User (Nouvel utilisateur).
  2. Spécifiez un User Name (Nom d’utilisateur) correspondant à un compte de votre PDi. l’un des éléments suivants :
    • Compte d’utilisateur défini localement sur le serveur Tanium.
    • (Déploiement Windows uniquement) Un nom de compte AD. Spécifiez uniquement le nom d’utilisateur, et non le nom de domaine. Le serveur Tanium utilise l’authentification Windows et il n’assure ni le stockage ni la gestion des informations d’identification pour l’utilisateur.
  3. Cliquez sur Save (Enregistrer) pour créer l’utilisateur.
  4. Ajoutez des propriétés d’utilisateur et attribuez des groupes d’ordinateurs, des groupes d’utilisateurs, des rôles et des personas à l’utilisateur, comme décrit dans les sections suivantes.
  5. (Déploiement des appliances Tanium uniquement) Configurez le service d’authentification locale et le compte utilisateur sur l’appliance, comme décrit dans le Guide de déploiement des appliances Tanium : Configurer le service d’authentification local.

Modifier les détails de l’utilisateur

Pour chaque utilisateur, vous pouvez configurer un nom d’affichage facultatif qui apparaît comme libellé pour la liste déroulante des utilisateurs dans le menu principal :

Nom affiché

Vous pouvez également configurer des propriétés d’utilisateur. Il s’agit de paires nom-valeur qui enregistrent des détails facultatifs sur l’utilisateur, notamment le nom complet, l’entreprise, l’adresse e-mail et le numéro de téléphone.

Pour chaque utilisateur, vous pouvez configurer des paires nom-valeur qui enregistrent des détails facultatifs sur l’utilisateur, notamment le nom complet, l’entreprise, l’adresse e-mail et le numéro de téléphone.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs) et cliquez sur la valeur Name (Nom) de l’utilisateurAdministration (Administration) > Management (Gestion) > Users (Utilisateurs), sélectionnez l’utilisateur et cliquez sur View User (Afficher l’utilisateur).
  2. Saisissez un Display Name (Nom d’affichage). Cliquez sur Properties (Propriétés) .
  3. Mettez à jour les propriétés comme suit, puis cliquez sur Save (Enregistrer) : Cliquez sur Add Property (Ajouter une propriété), utilisez les commandes pour ajouter des paires nom-valeur, puis cliquez sur Save (Enregistrer).
    • Ajouter : Cliquez sur Add properties (Ajouter des propriétés) ou, si l’utilisateur possède déjà des propriétés, cliquez sur Add (Ajouter) Ajouter, puis saisissez une paire nom-valeur dans les champs de texte.
    • Modifier : Écrasez les entrées des paires nom-valeur existantes.
    • Delete (Supprimer) : Cliquez sur Delete (Supprimer) Supprimer à côté d’une paire nom-valeur.

Gérer les attributions de rôles pour un utilisateur

Procédez comme suit pour mettre à jour les attributions de rôles pour le persona par défaut d’un utilisateur. Pour configurer des rôles via un persona alternatif, modifiez la configuration du persona (reportez-vous à la section Gérer les attributions de rôles pour un persona) et affectez le persona à l’utilisateur (reportez-vous à la section Gérer les attributions de personas pour un utilisateur).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs) et cliquez sur la valeur Name (Nom) de l’utilisateur.
  2. Dans la section Roles (Rôles), cliquez sur Manage Roles (Gérer les rôles).
  3. Sélectionnez ou désélectionnez les rôles et cliquez sur Apply (Appliquer).
  4. Passez en revue les Permissions (Permissions) et Content Sets (Content Sets) qui sont associés aux rôles sélectionnés (reportez-vous à la section Permissions de rôles en vigueur), puis cliquez sur Save (Enregistrer).
  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Users (Utilisateurs), sélectionnez l’utilisateur et cliquez sur View User (Afficher l’utilisateur).
  2. Dans la section Roles and Effective Permissions (Rôles et permissions en vigueur), cliquez sur Manage (Gérer).
  3. Dans les sections Grant Roles (Attribuer des rôles) et Deny Roles (Refuser des rôles), cliquez sur Edit (Modifier), sélectionnez ou désélectionnez des rôles, puis cliquez sur Save (Enregistrer).
  4. Cliquez sur Show Preview to Continue (Afficher l’aperçu pour continuer), vérifiez l’impact de vos modifications et cliquez sur Save (Enregistrer).

Gérer les attributions de groupes d’utilisateurs pour un utilisateur

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs) et cliquez sur la valeur Name (Nom) de l’utilisateur.
  2. Développez Développer la section User Groups (Groupes d’utilisateurs) et cliquez sur Manage User Groups (Gérer les groupes d’utilisateurs).
  3. Sélectionnez ou désélectionnez les groupes d’utilisateurs et cliquez sur Select (Sélectionner).
  4. Passez en revue les Roles (Rôles), Permissions (Permissions), Content Sets (Content Sets) et Computer Groups (Groupes d’ordinateurs) hérités, puis cliquez sur Save (Enregistrer).
  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Users (Utilisateurs), sélectionnez l’utilisateur et cliquez sur View User (Afficher l’utilisateur).
  2. Dans la section User Groups (Groupes d’utilisateurs), cliquez sur Manage (Gérer) et Edit (Modifier).
  3. Sélectionnez ou désélectionnez les groupes d’utilisateurs et cliquez sur Save (Enregistrer).
  4. Cliquez sur Show Preview to Continue (Afficher l’aperçu pour continuer), vérifiez l’impact de vos modifications et cliquez sur Save (Enregistrer).

Gérer les attributions de groupes d’ordinateurs pour un utilisateur

Procédez comme suit pour mettre à jour les attributions de groupes de gestion d’ordinateurs pour le persona par défaut d’un utilisateur. Pour configurer les attributions via des personas alternatifs, configurez les personas (reportez-vous à la section Créer un persona) et attribuez le persona à l’utilisateur (reportez-vous à la section Gérer les attributions de personas pour un utilisateur).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs) et cliquez sur la valeur Name (Nom) de l’utilisateur.
  2. Développez Développer la section Computer Groups (Groupes d’ordinateurs).
  3. Si vous souhaitez que l’utilisateur dispose de droits de gestion pour tous les endpoints, sélectionnez Unrestricted Management Rights (Droits de gestion sans restriction) et cliquez sur Save (Enregistrer) (vous pouvez ignorer les étapes restantes).

    Tanium vous recommande vivement de ne pas attribuer l’option Unrestricted Management Rights (Droits de gestion sans restriction) à moins que vous ne souhaitiez que l’utilisateur puisse émettre des questions sur tous les endpoints dans tous les groupes d’ordinateurs, indépendamment des considérations de sécurité.

  4. Cliquez sur Manage Computer Groups (Gérer les groupes d’ordinateurs), sélectionnez ou désélectionnez les groupes de gestion d’ordinateurs, puis cliquez sur Select (Sélectionner).

    Les sélections sont combinées logiquement. Par exemple, l’union de All Computers (Tous les ordinateurs) et No Computers (Aucun ordinateur) est de fait All Computers (Tous les ordinateurs).

  5. Passez en revue la liste des groupes d’ordinateurs que vous avez attribués ou que l’utilisateur hérite des groupes d’utilisateurs, puis cliquez sur Save (Enregistrer).
  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Users (Utilisateurs).
  2. Sélectionnez l’utilisateur et cliquez sur View User (Afficher l’utilisateur).
  3. Dans la section Computer Groups (Groupes d’ordinateurs), cliquez sur Manage (Gérer) et Edit (Modifier).
  4. Spécifiez le champ Selected Management Rights (Droits de gestion sélectionnés), sélectionnez ou désélectionnez des groupes de gestion d’ordinateurs, puis cliquez sur Save (Enregistrer).

    Les sélections sont combinées logiquement. L’union de All Computers (Tous les ordinateurs) et No Computers (Aucun ordinateur) est de fait All Computers (Tous les ordinateurs). Tanium recommande vivement de ne pas sélectionner l’option Unrestricted Management Rights (Droits de gestion sans restriction) à moins que vous ne souhaitiez que l’utilisateur puisse poser des questions sur tous les endpoints dans tous les groupes d’ordinateurs, indépendamment des considérations de sécurité.

  5. Cliquez sur Show Preview to Continue (Afficher l’aperçu pour continuer), vérifiez l’impact de vos modifications et cliquez sur Save (Enregistrer).

Gérer les attributions de personas pour un utilisateur

Le serveur Tanium TaaS attribue automatiquement un persona par défaut aux nouveaux comptes d’utilisateurs et, après avoir effectué la mise à niveau vers la version 7.4 ou une version ultérieure de Tanium Core Platform, il l’attribue aux comptes existants avant la mise à niveau. Un utilisateur qui dispose d’un rôle ayant les permissions Permission Administrator (Administrateur de permissions), Write Persona (Écrire le persona) et Write User (Écrire l’utilisateur) avec le rôle réservé Administrateur doit mettre à jour manuellement l’attribution des personas alternatifs comme suit. Le rôle réservé Administrateur comporte toutes ces permissions. Pour plus de détails sur les personas, reportez-vous à la section Gestion des personas.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs) et cliquez sur la valeur Name (Nom) de l’utilisateur.
  2. Développez Développer la section Personas (Personas) et cliquez sur Manager Personas (Gérer les personas).
  3. Sélectionnez ou désélectionnez des personas et cliquez sur Select (Sélectionner).
  4. Passez en revue les Personas (Personas) attribués et cliquez sur Save (Enregistrer).
  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Users (Utilisateurs).
  2. Sélectionnez l’utilisateur et cliquez sur View User Group (Afficher le groupe d’utilisateurs).
  3. Cliquez sur Alternative Personas (Personas alternatifs) et Manage (Gérer).
  4. Sélectionnez ou désélectionnez des personas et cliquez sur Save (Enregistrer).

Afficher les permissions en vigueur pour un utilisateur

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs) et cliquez sur la valeur Name (Nom) de l’utilisateurAdministration (Administration) > Management (Gestion) > Users (Utilisateurs), sélectionnez l’utilisateur et cliquez sur View User (Afficher l’utilisateur).
  2. Passez en revue les rôles, permissions et Content Sets attribués et hérités. Pour en savoir plus, reportez-vous à la section Permissions de rôles en vigueur.

Supprimer, annuler la suppression ou verrouiller un utilisateur

Lorsque les employés quittent votre organisation, les options suivantes sont disponibles pour verrouiller leur accès au système Tanium :

  • Attribuez le rôle Deny All (Tout refuser) à l’utilisateur. L’utilisateur peut toujours se connecter à Tanium Console, mais ne peut accéder à aucune fonctionnalité de la console. La page Administration (Administration) > Management (Gestion) > Users (Utilisateurs) affiche les noms d’utilisateur grisés pour les utilisateurs disposant du rôle Deny All (Refuser tout).
  • Supprimez la configuration de la console Tanium pour un utilisateur créé manuellement.
  • Désactivez le compte d’utilisateur AD ou LDAP qui est associé à la configuration d’utilisateur dans Tanium Console, ou modifiez le mot de passe s’il s’agit d’un compte alias d’administrateur. Si le serveur Tanium a importé l’utilisateur via un serveur LDAP, il est important de modifier les détails de l’utilisateur sur le serveur LDAP de sorte que le serveur Tanium n’importe pas une nouvelle fois l’utilisateur à la prochaine synchronisation.

Considérations concernant la suppression d’utilisateurs

La suppression d’un utilisateur présente les conséquences suivantes pour les activités planifiées :

  • Les programmations de plug-in associées à l’utilisateur continuent à être exécutées.
  • Les programmations de questions enregistrées associées à l’utilisateur continuent à être exécutées.
  • Actions planifiées associées à l’arrêt de l’utilisateur.

Après avoir supprimé l’utilisateur, vous pouvez supprimer le contenu que l’utilisateur possède ou transférer la propriété à un utilisateur actif : reportez-vous à la section Supprimer, désactiver ou transférer la propriété du contenu d’un utilisateur non actif.

Utilisateurs verrouillés

Le serveur Tanium désigne les utilisateurs, qu’il a importés à partir d’un serveur LDAP, comme verrouillés lorsque les données de synchronisation LDAP indiquent que le compte LDAP associé est désactivé ou lorsque les données sont manquantes. Lorsque l’utilisateur a le statut Locked out (Verrouillé), il ne peut pas se connecter, mais l’exécution du contenu planifié que l’utilisateur possède continue de s’effectuer.

La page Administration (Administration) > Management (Gestion)  > Users (Utilisateurs) affiche le statut Locked out (Verrouillé) des utilisateurs :

  • Locked out - Disabled (Verrouillé - Désactivé) : les données renvoyées lors la dernière synchronisation LDAP indiquent que le compte d’utilisateur est désactivé. Lorsque des employés sont sur le départ, la best practice consiste à désactiver les comptes LDAP plutôt que de les supprimer pour éviter de supprimer les enregistrements associés.
  • Locked out - Missing (Verrouillé - Manquant) : aucune donnée n’a été renvoyée lors de la dernière synchronisation LDAP pour l’utilisateur. Des données peuvent être manquantes si l’utilisateur a été supprimé du serveur  LDA, ou si elles ne correspondent plus à l’expression de filtre utilisée par le serveur LDAP.

Vérifiez la politique de votre entreprise quant à la gestion des utilisateurs verrouillés. Une option consiste à les supprimer et à transférer le contenu qu’ils possèdent à un autre utilisateur. Reportez-vous à la section Supprimer, désactiver ou transférer la propriété du contenu d’un utilisateur non actif.

Supprimer un utilisateur

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs)Administration (Administration) > Management (Gestion) > Users (Utilisateurs) et sélectionnez l’utilisateur.
  2. Cliquez sur Delete (Supprimer) Supprimer et sur Confirm (Confirmer).

    Pour afficher les utilisateurs supprimés, réglez le bouton à bascule Users (Utilisateurs) sur All (Tous) (par défaut, les utilisateurs à l’état Active (Actif) uniquement). La colonne Status (Statut) indique les utilisateurs qui sont actifs Actif ou supprimés Supprimé.

Pour transférer, désactiver ou supprimer du contenu qui appartenait à l’utilisateur supprimé, reportez-vous à la section Supprimer ou transférer la propriété du contenu d’un utilisateur non actif.

Annuler la suppression d’un utilisateur

Par défaut, le persona qu’un utilisateur sélectionne pour une session Tanium est le propriétaire de tout contenu que l’utilisateur crée pendant la session. Lorsque vous annulez la suppression des utilisateurs qui possèdent du contenu, vous pouvez supprimer, réactiver ou transférer la propriété de ce contenu.

Lorsque vous transférez la propriété du contenu, le nouveau propriétaire n’a pas besoin de correspondre à l’utilisateur supprimé en ce qui concerne les permissions de rôle et les attributions de groupes de gestion d’ordinateurs. Cependant, le transfert de la propriété des actions planifiées et des questions enregistrées à un utilisateur non correspondant peut avoir des conséquences imprévues. Par exemple, toutes les actions planifiées que vous transférez à un utilisateur non correspondant sont désactivées après le transfert. Avant d’effectuer un transfert, comparez les attributions de groupes de gestion d’ordinateurs de l’utilisateur supprimé et du nouveau propriétaire pour comprendre quels endpoints recevront les actions et les questions après le transfert. Pour voir les attributions de groupes d’ordinateurs pour un utilisateur, dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Users (Utilisateurs), sélectionnez l’utilisateur et cliquez sur View User (Afficher l’utilisateur).

Annulez la suppression d’un seul utilisateur à la fois :

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs).
  2. Réglez le bouton à bascule Users (Utilisateurs) sur All (Tous) (par défaut, les utilisateurs à l’état Active (Actif) uniquement).

    La colonne Status (Statut) indique les utilisateurs qui sont actifs Actif ou supprimés Supprimé.

  3. Sélectionnez la ligne de l’utilisateur supprimé, cliquez sur Undelete User (Annuler la suppression de l’utilisateur) Rétablir l’utilisateur, puis cliquez sur Confirm (Confirmer).
  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Users (Utilisateurs).
  2. Réglez le bouton à bascule Users (Utilisateurs) sur All (Tous) (par défaut, les utilisateurs à l’état Active (Actif) uniquement).

    La colonne Status (Statut) indique les utilisateurs qui sont actifs Actif ou supprimés Supprimé.

  3. Sélectionnez la ligne de l’utilisateur supprimé, cliquez sur Undelete User (Annuler la suppression de l’utilisateur) Rétablir l’utilisateur, puis confirmez l’opération.
  4. Si l’utilisateur possède du contenu, une boîte de dialogue vous invite à sélectionner une option pour le traitement du contenu :

    Options de réactivation

    • Purge content (Purger le contenu) : supprimez le contenu dont aucun utilisateur n’a besoin.
    • Migrate content (Migrer le contenu) : transférez la propriété à un autre utilisateur. Le workflow de transfert commence après que vous cliquez sur Reactivate (Réactiver).
    • Reactivate as is (Réactiver comme tel) : en tant que propriétaire du contenu, conservez l’utilisateur dont vous souhaitez annuler la suppression.
  5. Cliquez sur Reactivate (Réactiver).

    Si vous avez sélectionné Purge content (Purger le contenu) ou Reactivate as is (Réactiver comme tel), le serveur Tanium effectue l’action automatiquement, donc ignorez les étapes restantes.

    Si vous avez sélectionné Migrate content (Migrer le contenu), la boîte de dialogue Manage Content (Gérer le contenu) s’ouvre et vous invite à effectuer les étapes restantes.

  6. Sélectionnez une option pour traiter le contenu de l’utilisateur dont vous avez annulé la suppression :

    Sélectionner une action

    • Delete Selected Content (Supprimer le contenu sélectionné) : supprimez le contenu dont aucun utilisateur n’a besoin.
    • Transfer Selected Content to Matching User (Transférer le contenu sélectionné vers l’utilisateur correspondant) : Transférez la propriété du contenu qui est toujours nécessaire à un utilisateur (persona) qui dispose des mêmes attributions de rôles et de groupes de gestion d’ordinateurs que l’utilisateur dont vous avez annulé la suppression. Sélectionnez le nom d’utilisateur du nouveau propriétaire. Si vous transférez du contenu appartenant à un persona alternatif, sélectionnez également un persona correspondant du nouveau propriétaire.
    • Transfer Selected Content to Administrator (Transférer le contenu sélectionné à l’administrateur) : Transférez la propriété du contenu qui est toujours nécessaire à n’importe quel utilisateur qui dispose du rôle réservé Administrateur, indépendamment du fait que les attributions de groupes d’ordinateurs et de rôles de cet utilisateur correspondent ou non à celles de l’utilisateur dont vous avez annulé la suppression. Sélectionnez le nom d’utilisateur du nouveau propriétaire. Si vous transférez du contenu appartenant à un persona alternatif, sélectionnez également un persona du nouveau propriétaire.
    • Transfer Selected Content to Any User (Transférer le contenu sélectionné vers n’importe quel utilisateur) : transférez la propriété du contenu qui est toujours nécessaire à n’importe quel utilisateur, indépendamment du fait que les attributions de groupes d’ordinateurs et de rôles de cet utilisateur correspondent ou non à celles de l’utilisateur dont vous avez annulé la suppression. Sélectionnez le nom d’utilisateur du nouveau propriétaire. Si vous transférez du contenu appartenant à un persona alternatif, sélectionnez également un persona du nouveau propriétaire.
  7. Dans la section Select Content (Sélectionner le contenu), passez en revue et sélectionnez le contenu que vous souhaitez transférer ou supprimer, puis cliquez sur Confirm (Confirmer).

    Sélectionner le contenu

Supprimer ou transférer la propriété du contenu d’un utilisateur non actif

La page Manage Non-Active User Content (Gérer le contenu de l’utilisateur non actif) répertorie les utilisateurs qui sont supprimés ou verrouillés et qui possèdent du contenu. Vous pouvez utiliser la page pour supprimer, désactiver ou transférer la propriété de ce contenu. Le persona par défaut ou alternatif qu’un utilisateur sélectionne pour une session Tanium est le propriétaire de tout contenu que l’utilisateur crée pendant la session. Vous pouvez transférer la propriété des personas d’un utilisateur non actif aux personas d’un ou de plusieurs utilisateurs actifs. Vous devez effectuer une seule opération de suppression, de désactivation ou de transfert à la fois. Recommencez les opérations autant de fois que nécessaire pour traiter tout le contenu de l’utilisateur non actif.

Lorsque vous transférez la propriété du contenu, le nouveau propriétaire n’a pas besoin de correspondre à l’utilisateur non actif en ce qui concerne les permissions de rôles et les attributions de groupes de gestion d’ordinateurs. Cependant, le transfert de la propriété des actions planifiées et des questions enregistrées à un utilisateur non correspondant peut avoir des conséquences imprévues. Par exemple, toutes les actions planifiées que vous transférez à un utilisateur non correspondant sont désactivées après le transfert. Avant d’effectuer le transfert, comparez les attributions de groupes de gestion d’ordinateurs de l’utilisateur non actif et du nouveau propriétaire pour comprendre quels endpoints recevront les actions et les questions après le transfert. Pour voir les attributions de groupes d’ordinateurs pour un utilisateur, dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Users (Utilisateurs), sélectionnez l’utilisateur et cliquez sur View User (Afficher l’utilisateur).

Procédez comme suit pour supprimer, désactiver ou transférer la propriété du contenu appartenant à un utilisateur non actif :

  1. Dans le menu principal, accédez à Administration (Administration) > Content (Contenu) > Content Alignment (Alignement du contenu) > Manage Non-Active User Content (Gérer le contenu de l’utilisateur non actif).
  2. Sélectionnez la ligne de l’utilisateur (persona) et cliquez sur Manage Content (Gérer le contenu).
  3. Sélectionnez une option pour gérer le contenu.

    • Delete Selected Content (Supprimer le contenu sélectionné) : Supprimez le contenu appartenant à l’utilisateur non actif et dont aucun autre utilisateur n’a besoin.
    • Disable Selected Scheduled Content (Désactiver le contenu planifié sélectionné) : Désactivez les activités qui se répètent sur une planification, comme les questions enregistrées avec des intervalles de réémission, les actions planifiées ou les planifications de plug-in qui s’exécutent dans le contexte de l’utilisateur non actif.
    • Transfer Selected Content to Matching User (Transférer le contenu sélectionné vers l’utilisateur correspondant) : Transférez la propriété du contenu qui est toujours nécessaire à un utilisateur qui dispose des mêmes attributions de rôles et de groupes de gestion d’ordinateurs que l’utilisateur non actif. Sélectionnez le nom d’utilisateur du nouveau propriétaire. Si vous transférez du contenu appartenant à un persona alternatif, sélectionnez également un persona correspondant du nouveau propriétaire.
    • Transfer Selected Content to Administrator (Transférer le contenu sélectionné à l’administrateur) : Transférez la propriété du contenu qui est toujours nécessaire à n’importe quel utilisateur qui dispose du rôle réservé Administrateur, indépendamment du fait que les attributions de groupes d’ordinateurs et de rôles de cet utilisateur correspondent ou non à celles de l’utilisateur non actif. Sélectionnez le nom d’utilisateur du nouveau propriétaire. Si vous transférez du contenu appartenant à un persona alternatif, sélectionnez également un persona du nouveau propriétaire.
    • Transfer Selected Content to Any User (Transférer le contenu sélectionné vers n’importe quel utilisateur) : Transférez la propriété du contenu qui est toujours nécessaire à n’importe quel utilisateur, indépendamment du fait que les attributions de groupes d’ordinateurs et de rôles de cet utilisateur correspondent ou non à celles de l’utilisateur non actif. Sélectionnez le nom d’utilisateur du nouveau propriétaire. Si vous transférez du contenu appartenant à un persona alternatif, sélectionnez également un persona du nouveau propriétaire.
  4. Dans la section Select Content (Sélectionner le contenu), passez en revue et sélectionnez le contenu que vous souhaitez supprimer, désactiver ou transférer.Sélectionner le contenu
  5. Cliquez sur Confirm (Confirmer).

Après la suppression d’un utilisateur, il est possible que l’exécution des tâches du module Tanium qui sont associées à l’utilisateur, comme un job Tanium Connect planifié que l’utilisateur a créé, s’arrête. Si cela se produit, accédez aux interfaces du module et mettez à jour la configuration. Par exemple, accédez aux interfaces Connect, ouvrez une connexion et cliquez sur Take Ownership (Prendre possession) pour transférer la propriété de la connexion planifiée au compte d’utilisateur que vous avez utilisé pour établir la connexion.

Activer ou désactiver l’accès aux utilisateurs locaux

Par défaut, les utilisateurs dont les comptes sont locaux au serveur Tanium peuvent accéder à la console Tanium. Cependant, si vous effectuez une transition vers un service d’authentification externe, comme un serveur LDAP ou un PDi SAML et si vous voulez garantir que tous les accès utilisateur sont effectués via ce service, désactivez l’authentification locale.

Utilisateurs locaux sur un appliance Tanium

Pour désactiver ou réactiver l’accès à la console Tanium pour les comptes d’utilisateur qui sont locaux sur un appliance Tanium, reportez-vous au Guide de déploiement des appliances Tanium : Configurer le service d’authentification local.

Utilisateurs locaux sur un serveur Windows

Procédez comme suit pour désactiver ou réactiver l’accès à la console Tanium pour les comptes d’utilisateur qui sont locaux sur un serveur Tanium installé sur un serveur Windows.

Si vous désactivez les connexions de comptes locaux et que le service d’authentification distant cesse plus tard de fonctionner (par exemple, la connexion au serveur LDAP ou au PDi SAML tombe en panne), aucun utilisateur ne peut accéder à Tanium Console, y compris l’utilisateur par défaut. Dans ces conditions, vous devez réactiver l’authentification locale via la CLI en exécutant la commande suivante dans le dossier d’installation du serveur Tanium :
TaniumReceiver global-settings set soap_enable_local_auth 1

  1. Dans le menu principal, accédez à Administration (Administration) > Management (Gestion) > Global Settings (Paramètres globaux).
  2. Sélectionnez soap_enable_local_auth (soap_activer_authentification_locale) dans la grille et, dans le volet Selected System Setting (Paramètre système sélectionné), cliquez sur Edit (Modifier).
  3. Dans le champ Setting Value (Valeur du paramètre), saisissez 0 pour désactiver ou 1 pour activer l’authentification locale, puis cliquez sur Save (Enregistrer).

Exporter ou importer des configurations d’utilisateurs

Les procédures suivantes décrivent comment exporter et importer les configurations d’utilisateurs spécifiques ou de tous les utilisateurs.

Développez et testez le contenu dans l’environnement de votre laboratoire avant d’importer ce contenu dans votre environnement de production.

Exporter des configurations d’utilisateurs

Exportez des configurations d’utilisateurs sous forme de fichier CSV pour consulter leurs paramètres dans une application qui prend en charge ce format. Si vous disposez du rôle réservé Administrateur, vous pouvez également exporter des configurations d’utilisateurs sous forme de fichier JSON pour les importer dans un autre serveur Tanium.

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs)Administration (Administration) > Management (Gestion) > Users (Utilisateurs).
  2. Sélectionnez des lignes dans la grille pour exporter uniquement des configurations d’utilisateurs spécifiques. Si vous souhaitez exporter toutes les configurations d’utilisateurs, ignorez cette étape.
  3. Cliquez sur Export (Exporter) ExportExport.
  4. (Facultatif) Modifiez le File Name (Nom de fichier) d’exportation par défaut.

    Le suffixe du fichier (.csv ou .json) change automatiquement en fonction de la sélection du format.

  5. Sélectionnez une option pour Export Data (Exporter les données) : L’option All (Tous) pour toutes les configurations d’utilisateurs de la grille, ou Selected (Sélectionnés) pour les configurations d’utilisateurs sélectionnées uniquement.
  6. Sélectionnez le Format (Format) du fichier : JSON (rôle réservé Administrateur uniquement) ou CSV.
  7. Cliquez sur Export (Exporter).

    TaaSLe serveur Tanium exporte le fichier vers le dossier des téléchargements sur le système que vous avez utilisé pour accéder à Tanium Console.

Importer des configurations d’utilisateurs

Vous pouvez importer des fichiers de contenu au format JSON ou XML.

  1. Signez numériquement le fichier de contenu et assurez-vous qu’une clé publique est en place pour valider la signature. Reportez-vous à la section Authentification des fichiers de contenu.
  2. Dans le menu principal, allez à Administration (Administration) > Configuration (Configuration) > Solutions (Solutions).
  3. Faites défiler jusqu’à la section Content (Contenu) et cliquez sur Import Import Content (Importer le contenu).
  4. Cliquez sur Choose File (Choisir un fichier), sélectionnez le fichier de contenu et cliquez sur Open (Ouvrir).
  5. Cliquez sur Import (Importer).

    Si les noms d’objet dans le fichier sont les mêmes que pour les objets existants, la console Tanium détaille les conflits et fournit des options de résolution pour chacun d’eux.

  6. Sélectionnez les résolutions pour tout conflit. Pour obtenir des conseils, reportez-vous aux sections Conflits et Best practices.
  7. Cliquez sur Import (Importer) et cliquez sur Close (Fermer) lorsque l’importation est terminée.

Copier les détails de la configuration de l’utilisateur

Copiez les détails de la configuration dans la grille sur la page Users (Utilisateurs) dans votre presse-papiers pour les coller dans un message, un fichier texte ou une feuille de calcul. Chaque ligne de la grille est une chaîne de valeurs séparées par des virgules (CSV).

  1. Dans le menu principal, accédez à Administration (Administration) > Permissions (Permissions) > Users (Utilisateurs)Administration (Administration) > Management (Gestion) > Users (Utilisateurs).
  2. Effectuez l’une des étapes suivantes :
    • Copy row information (Copier les informations de la ligne) : sélectionnez une ou plusieurs lignes et cliquez sur Copy (Copier) Copier.
    • Copy cell information (Copier les informations de la cellule) : survolez la cellule, cliquez sur Options (Options) Options, puis cliquez sur Copy (Copier) Copier.