> For the complete documentation index, see [llms.txt](https://docs.realmjoin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.realmjoin.com/fr/automatisation/runbooks/runbook-permissions.md). # Autorisations des runbooks {% embed url="" %} ## Portée Cela explique comment autoriser/interdire l'accès à certains runbooks dans un tenant Azure. Si vous cherchez des réponses sur les autorisations d'API Microsoft Graph nécessaires pour exécuter une certaine action en tant que runbook, veuillez consulter nos [prérequis](/fr/automatisation/connecting-azure-automation/azure-ad-roles-and-permissions.md). ## Aperçu "Runbook Permissions" définissent la visibilité des runbooks pour certains utilisateurs. Certains runbooks peuvent également être bloqués/masqués globalement. Comme les [Personnalisations des runbooks](/fr/automatisation/runbooks/runbook-customization.md), la définition de ces autorisations se fait en fournissant une configuration au format JSON en tant qu'administrateur RealmJoin dans le portail web de RealmJoin à . ### À propos de ce guide Nous donnerons une brève description de la syntaxe, puis construirons un exemple complet pas à pas. N'hésitez pas à aller directement à l'exemple complet et à commencer à partir de [là](#targetentitygroups). ## Syntaxe de configuration ### Noms des runbooks Les runbooks sont référencés par leur nom, tel qu'il apparaît dans le compte Azure Automation, par ex. `rjgit-group_general_remove-group`. Des jokers ('\*') peuvent être utilisés pour faire correspondre plusieurs runbooks. Plusieurs jokers peuvent être utilisés dans la même chaîne, par ex. `rjgit-*_security_*`. Cela s'appliquerait à tous les exemples suivants : * `rjgit-org_security_list-inactive-users` * `rjgit-device_security_enable-or-disable-device` Le préfixe `rjgit-` désigne les runbooks importés depuis notre dépôt GitHub public. Les runbooks spécifiques au client n'ont pas de préfixe, par ex. `user_userinfo_custom-runbook` ### Entra ID Groups Les Entra ID Groups seront référencés à l'aide de leur Object ID, comme `91688d11-9a34-42cd-8d1e-ce617d6c1234`. Actuellement, seuls les groupes de sécurité peuvent être utilisés. ## Structure JSON et exemple Nous construirons un exemple complet de configuration pas à pas. Une configuration JSON se compose de plusieurs sections, mais toutes les sections sont facultatives et peuvent être omises. Il est permis d'ajouter des commentaires en utilisant le préfixe "//". ### EnabledRunbookPatterns Cette section contient une liste de runbooks autorisés à être utilisés. Si cette section est omise, tous les runbooks sont activés/autorisés par défaut. Si vous définissez cette section, seuls les runbooks mentionnés dans cette section seront utilisables par n'importe quel rôle / support et administrateur. #### Exemple * Autoriser uniquement certains runbooks individuels en donnant leur nom complet `rjgit-group_general_remove-group` * Autoriser tous les runbooks liés aux appareils depuis notre dépôt partagé `rjgit-device_*` * Autoriser tous les runbooks utilisateur partagés `rjgit-user_*` * Autoriser tous les runbooks liés aux utilisateurs spécifiques au client (locaux) `user_*` Cela exclut implicitement de nombreux runbooks basés sur les groupes et tous ceux basés sur l'organisation. Soyez-en conscient. ``` { "EnabledRunbookPatterns": [ "rjgit-group_general_remove-group", "rjgit-device_*", "rjgit-user_*", "user_*" ] } ``` ### DisabledRunbookPatterns Une liste de runbooks qui sont désactivés / interdits globalement. Si cette section est omise ou vide, tous les runbooks activés (indiqués via [EnabledRunbookPatterns](#enabledrunbookpatterns)) sont utilisables. Les entrées de cette section sont prioritaires sur les entrées dans [EnabledRunbookPatterns ](#enabledrunbookpatterns)- les runbooks seront masqués / ne seront pas utilisables pour quiconque dans ce Tenant. #### Exemple Nous réutiliserons la `EnabledRunbookPatterns` section précédente. * Désactiver tous les runbooks partagés (`rjgit-`) dans la `sécurité` catégorie. ``` { "EnabledRunbookPatterns": [ "rjgit-group_general_remove-group", "rjgit-device_*", "rjgit-user_*", "user_*" ], "DisabledRunbookPatterns": [ "rjgit-*_security_*" ] } ``` ### Rôles Dans cette section, vous pouvez attribuer une liste de runbooks à un groupe Entra ID. Cela permet de définir plusieurs rôles de support/opérateur dans votre Tenant. Si cette section est omise, tous les supports RealmJoin et administrateurs ont accès à tous les runbooks indiqués dans les sections précédentes. {% hint style="warning" %} Si elle est activée, les utilisateurs n'appartenant à aucun rôle ne verront aucun runbook. {% endhint %} #### Exemple En partant de ce que nous avons, créons un rôle de support des appareils `DeviceAdmin` et un rôle de support utilisateur `UserAdmin`. Nous appliquerons ces rôles à plusieurs Entra ID Groups et, pour chaque rôle, nous donnerons une liste de runbooks autorisés. Attention : cela limitera le rôle de support utilisateur à un très petit ensemble de runbooks. Ajoutons des commentaires ("//") à côté de l'ID d'objet du groupe pour aider le lecteur en indiquant les noms des Entra ID Groups. ```json { "EnabledRunbookPatterns": [ "rjgit-group_general_remove-group", "rjgit-device_*", "rjgit-user_*", "user_*" ], "DisabledRunbookPatterns": [ "rjgit-*_security_*" ], "Roles": { "DeviceAdmin": { "Groupes": [ "9cbfc0af-c217-41e9-b790-3043788f1234", // 1er groupe AAD de support des appareils "5555c0af-c217-41e9-b790-3043788f1234" // 2e groupe AAD de support des appareils - autre équipe ], "AllowedRunbookPatterns": [ "rjgit-device_*" ] }, "UserAdmin": { "Groupes": [ "1234c0af-c217-41e9-b790-3043788f1234" // groupe AAD de support utilisateur ], "AllowedRunbookPatterns": [ "rjgit-user_general_assign-or-unassign-license", "rjgit-user_mail_*", "user_*" ] } } } ``` Maintenant, le `UserAdmin` rôle peut : * attribuer des licences à tous les utilisateurs de votre Tenant * modifier les adresses e-mail de tous les utilisateurs de votre Tenant Le `DeviceAdmin` le rôle peut * effacer n'importe quel appareil dans votre Tenant ### TargetEntityGroups Vous avez peut-être des utilisateurs VIP essentiels. Il ne devrait pas être possible pour n'importe quel membre du support d'effacer l'appareil d'un VIP ou de modifier l'adresse e-mail d'un VIP. Nous pouvons utiliser le « ciblage » pour restreindre les rôles sur les utilisateurs critiques à des équipes dédiées. "Devices" seront ciblés par leur utilisateur principal/attribué, mais pas par l'objet appareil dans Entra ID. Cela permet de s'en tenir à un modèle de groupe purement basé sur les utilisateurs. Nous supposons qu'il existe des Entra ID Groups contenant des utilisateurs VIP critiques. En utilisant cette section, nous pouvons définir avec soin certains rôles et runbooks plus critiques pour ces Entra ID Groups spécifiques (cibles). Évidemment, si vous omettez cette section, tous les utilisateurs/groupes/appareils de votre Tenant sont traités sur un pied d'égalité. Si vous définissez TargetEntityGroups, cela ne devrait avoir aucun impact sur tout autre groupe non mentionné dans la section. #### Exemple complet Supposons que le groupe `0000c0af-c217-41e9-b790-3043788f0000` est notre groupe d'utilisateurs VIP. Nous introduisons un nouveau groupe Entra ID `4444c0af-c217-41e9-b790-3043788f4444` comprenant du personnel de support approuvé pour administrer les utilisateurs VIP. Ce personnel de support doit également disposer de toutes les autres autorisations de support de base, nous allons donc l'ajouter aux rôles existants. Le fait de « restreindre » un rôle n'accordera pas de nouveaux rôles à un intervenant du support. ```json { "EnabledRunbookPatterns": [ "rjgit-group_general_remove-group", "rjgit-device_*", "rjgit-user_*", "user_*" ], "DisabledRunbookPatterns": [ "rjgit-*_security_*" ], "Roles": { "DeviceAdmin": { "Groupes": [ "9cbfc0af-c217-41e9-b790-3043788f1234", // 1er groupe AAD de support des appareils "5555c0af-c217-41e9-b790-3043788f1234", // 2e groupe AAD de support des appareils - autre équipe "4444c0af-c217-41e9-b790-3043788f4444" // équipe de support VIP ], "AllowedRunbookPatterns": [ "rjgit-device_*" ] }, "UserAdmin": { "Groupes": [ "1234c0af-c217-41e9-b790-3043788f1234", // groupe AAD de support utilisateur "4444c0af-c217-41e9-b790-3043788f4444" // équipe de support VIP ], "AllowedRunbookPatterns": [ "rjgit-user_general_assign-or-unassign-license", "rjgit-user_mail_*", "user_*" ] } }, "TargetEntityGroups": { "0000c0af-c217-41e9-b790-3043788f0000": { // Utilisateurs VIP - À manipuler avec précaution ! "RestrictRoles": { "UserAdmin": [ "4444c0af-c217-41e9-b790-3043788f4444" // support VIP ], "DeviceAdmin": [ "4444c0af-c217-41e9-b790-3043788f4444" // support VIP ] } } } } ``` #### **Exemple : restreindre le personnel de support américain à gérer uniquement les utilisateurs américains** Dans ce scénario, nous avons du personnel de support basé aux États-Unis qui ne devrait gérer que les utilisateurs situés aux États-Unis. Pour appliquer cette restriction : * Créez une règle d'autorisation qui **interdit** aux intervenants US la possibilité d'exécuter des runbooks sur **tous les utilisateurs**. * Ajoutez une règle d'exception qui **autorise** l'exécution de runbooks uniquement pour **les utilisateurs US**. Cela garantit que les intervenants US disposent d'autorisations strictement limitées à leur public cible prévu (US Users) et évite des interactions accidentelles avec des utilisateurs en dehors de ce périmètre. **Mise en œuvre** 1. Un groupe Entra de Runbook Runners doit être attribué dans le portail RealmJoin 1. Settings > Permissions > Runbook Runner Permissions 2. Le groupe Entra US Supporters doit être membre du groupe Runbook Runners pour permettre l'utilisation générale des runbooks dans le portail RealmJoin. 2. Ajout d'un nouveau rôle sous Settings > Runbook Permissions 1. Dans la section Rôles, ajoutez le rôle USSupporters avec son groupe Entra (ID d'objet du groupe) 2. Ajoutez AllowedRunbookPatterns pour les USSupporters 3. Modifiez les TargetEntityGroups 1. Le groupe All-Users doit restreindre le rôle USSupporters avec une valeur vide (aucun ID d'objet de groupe Entra n'est ajouté ici). Il s'agit d'un refus implicite ! 2. Le groupe US Users doit restreindre le rôle USSupporters à l'ID d'objet du groupe Entra US Supporters

Restreindre le personnel de support US à gérer uniquement les utilisateurs US

Vous trouverez ci-dessous l'exemple complet pour ce scénario : ```json { // Autorisation du portail : // Rôle d'exécution de runbooks : US Supporters // Appartenances aux groupes : // 3e1e7540-7f0c-483c-b9bf-500342e2467c : All-Users // c603278c-cc36-4661-bb7a-eecb7ab079f9 : US Supporters // 0f76d01e-cc6b-4553-bf1d-e4ccedd9c824 : US Users "EnabledRunbookPatterns": [ // activation générale des runbooks de messagerie et de sécurité "rjgit-*_mail_*", "rjgit-*security*" ], "DisabledRunbookPatterns": [ "*password*" ], "Roles": { "USSupporters": { "Groupes": [ "c603278c-cc36-4661-bb7a-eecb7ab079f9" // US Supporters ], "AllowedRunbookPatterns": [ // runbooks autorisés pour ce rôle - US Supporters "rjgit-user_*", "rjgit-device_*", "rjgit-group_*" ] } }, "TargetEntityGroups": { "3e1e7540-7f0c-483c-b9bf-500342e2467c": { // All-Users "RestrictRoles": { "USSupporters": [ // en général, n'autorisez pas les runbooks pour les intervenants US ] } }, "0f76d01e-cc6b-4553-bf1d-e4ccedd9c824": { // US Users "RestrictRoles": { "USSupporters": [ "c603278c-cc36-4661-bb7a-eecb7ab079f9" // US Supporters ] } } } } ``` ### SchedulingEnabledRunbookPatterns Cette section contient une liste de runbooks qui seront marqués comme « planifiables ». RealmJoin Port permettra d'attribuer / de gérer des planifications pour ces runbooks. Voir [Planification des runbooks](/fr/automatisation/runbooks/scheduling.md). L'exemple suivant décrit le comportement par défaut si SchedulingEnabledRunbookPatterns n'est pas défini : ```json { "SchedulingEnabledRunbookPatterns": [ "*_scheduled" ] } ``` ### SchedulingDisabledRunbookPatterns Cette section contient une liste de runbooks qui seront inscrits sur liste noire afin de ne pas être marqués comme « planifiables ». RealmJoin Port ne permettra pas d'attribuer / de gérer des planifications pour ces runbooks. Voir [Planification des runbooks](/fr/automatisation/runbooks/scheduling.md). Un runbook présent à la fois dans SchedulingEnabledRunbookPatterns et SchedulingDisabledRunbookPatterns sera **pas** planifiable. Par défaut, aucun runbook n'est inscrit sur liste noire. L'exemple suivant illustre simplement la syntaxe : ```json { "SchedulingDisabledRunbookPatterns": [ "rjgit-user_*" ] } ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.realmjoin.com/fr/automatisation/runbooks/runbook-permissions.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.