Introduction
Contrôlez ce que chaque technicien peut voir et faire dans Level. Les autorisations sont basées sur des rôles : vous définissez un rôle, choisissez ce qu'il peut gérer, ce qu'il peut faire sur les appareils, et quels groupes il peut consulter. Vous assignez ensuite les techniciens à ce rôle depuis la Équipe page.
Chaque technicien appartient à exactement un rôle. Les rôles peuvent être partagés par autant de techniciens que nécessaire.
Fonctionnement des rôles
Un rôle définit trois éléments :
Autorisations de gestion déterminent si le rôle peut créer et gérer des ressources au niveau de l'espace de travail, telles que les automatisations, les scripts, les politiques de surveillance et les étiquettes.
Autorisations sur les appareils déterminent ce que le rôle peut faire sur des appareils individuels : contrôle à distance, gestion en arrière-plan et étiquetage.
Accès aux groupes détermine quels groupes d'appareils, groupes d'automatisations et groupes de scripts le rôle peut voir et dans lesquels il peut travailler.
Les techniciens sans accès à un groupe d'appareils ne peuvent pas voir les appareils de ce groupe, lancer le contrôle à distance, ni effectuer la moindre action sur ces appareils. Il en va de même pour les groupes d'automatisations et de scripts : les techniciens ne peuvent pas voir, exécuter ni modifier les automatisations ou les scripts dans des groupes auxquels leur rôle n'a pas accès.
💡 CONSEIL : Planifiez vos rôles en fonction de la structure de votre équipe avant de les créer. Une configuration courante : un rôle « Technicien junior » limité à quelques groupes sans autorisations de gestion, un rôle « Technicien senior » avec un accès plus large ainsi que la gestion des automatisations et des scripts, et un compte administrateur de secours situé en dehors du SSO pour la récupération d'urgence.
Créer un rôle
Accédez à Espace de travail → Autorisations.
Cliquez sur + Créer un rôle dans le coin supérieur droit.
Saisissez un nom dans le champ Nom du rôle et cliquez sur Créer.
Le nouveau rôle apparaît dans la liste des rôles. Aucun accès n'est configuré par défaut — configurez les accès de gestion et les accès aux groupes avant d'y assigner des techniciens.
💡 CONSEIL : Level crée un rôle « Tech » pour chaque nouveau compte à titre d'exemple de départ. Vous pouvez le renommer, le reconfigurer ou le supprimer comme n'importe quel autre rôle.
Configurer un rôle
Sélectionnez n'importe quel rôle dans la liste pour ouvrir son panneau de configuration à droite.
Autorisations de gestion
La section Autorisations de gestion contrôle si ce rôle peut créer, modifier et supprimer des ressources au niveau de l'espace de travail.
Autorisation | Ce qu'elle contrôle |
Automatisations | Créer et gérer des automatisations |
Scripts | Créer et gérer des scripts |
Politiques de surveillance | Créer et gérer des politiques de surveillance |
Étiquettes | Créer et gérer des étiquettes |
💡 CONSEIL : Laissez Politiques de surveillance décoché pour la plupart des techniciens. Les modifications de politique affectent chaque appareil portant l'étiquette correspondante, ce qui peut avoir un impact très large. Réservez cette option au personnel senior.
Chaque autorisation est indépendante. Vous pouvez accorder Scripts sans Automatisations, Étiquettes sans Politiques de surveillance, et ainsi de suite.
ℹ️ REMARQUE : L' Automatisations L'autorisation de gestion des Manuel déclencheur, mais ne peuvent exécuter cette automatisation que sur les appareils auxquels ils ont accès via leur groupe. Cette autorisation existe pour empêcher les techniciens de créer des automatisations dont les déclencheurs pourraient s'étendre à des appareils dans des groupes auxquels ils n'ont pas accès.
Autorisations sur les appareils
La section Autorisations sur les appareils contrôle les actions que ce rôle peut effectuer sur les appareils individuels auxquels il a déjà accès via son groupe.
Contrôle à distance permet au rôle de démarrer des sessions de contrôle à distance.
Gestion en arrière-plan permet au rôle d'ouvrir des sessions de terminal et de gestion en arrière-plan (explorateur de fichiers, services, processus, registre, etc.).
Étiquetage des appareils permet au rôle d'appliquer et de retirer des étiquettes sur les appareils. Cette autorisation se décline en deux sous-options :
Appliquer des étiquettes aux appareils permet au rôle d'ajouter des étiquettes existantes à un appareil.
Retirer des étiquettes des appareils permet au rôle de retirer des étiquettes d'un appareil.
ℹ️ REMARQUE : L'étiquetage des appareils est distinct de l'autorisation Étiquettes de gestion. Un technicien peut avoir l'autorisation d'appliquer des étiquettes aux appareils (autorisation sur les appareils) sans avoir l'autorisation de créer ou de renommer des étiquettes au niveau de l'espace de travail (autorisation de gestion). L'autorisation de gestion des étiquettes régit la bibliothèque d'étiquettes globale ; l'autorisation d'étiquetage des appareils régit la possibilité d'apposer ou de retirer des étiquettes existantes sur des appareils individuels.
⚠️ AVERTISSEMENT : Accorder Gestion en arrière-plan donne au rôle un accès complet au terminal sur tous les appareils dans sa portée de groupe. Cela équivaut en pratique à un accès administrateur local. Assurez-vous que l'accès aux groupes du rôle est limité en conséquence.
Accès aux groupes
La section Accès aux groupes contrôle quels groupes d'appareils, groupes d'automatisations et groupes de scripts ce rôle peut voir et dans lesquels il peut travailler. Il y a trois onglets : Appareils, Automatisations, et Scripts. Chacun liste les groupes correspondants de votre espace de travail sous forme d'arborescence.
Chaque ligne comporte deux contrôles :
Case à cocher du groupe accorde à ce rôle l'accès à ce groupe. Les techniciens dans ce rôle peuvent voir et utiliser les appareils, automatisations ou scripts de tout groupe coché.
Case à cocher « Inclure les groupes futurs » (à droite de la ligne) contrôle si les sous-groupes créés ultérieurement sous ce groupe héritent automatiquement du même accès. Lorsqu'elle est activée, tout nouveau sous-groupe est automatiquement ajouté à l'accès du rôle.
ℹ️ REMARQUE : La sélection d'un groupe active automatiquement « Inclure les groupes futurs » pour cette ligne. Si vous souhaitez accorder l'accès à un groupe mais pas à ses futurs sous-groupes, décochez « Inclure les groupes futurs » après avoir sélectionné le groupe.
Configurez chaque onglet indépendamment :
Appareils contrôle quels groupes d'appareils le rôle peut voir et sur lesquels il peut agir.
Automatisations contrôle quels groupes d'automatisations le rôle peut voir, exécuter et modifier.
Scripts contrôle quels groupes de scripts le rôle peut voir et exécuter.
Les contrôles fonctionnent de la même manière sur les trois onglets.
⚠️ AVERTISSEMENT : Décocher un groupe supprime immédiatement l'accès pour tous les techniciens assignés à ce rôle. Ils perdront la visibilité sur ces appareils, automatisations ou scripts jusqu'à ce que l'accès soit rétabli.
💡 CONSEIL : Activez Inclure les groupes futurs sur votre groupe de niveau supérieur lorsque vous souhaitez qu'un rôle couvre automatiquement tout nouveau sous-groupe ajouté par votre équipe ultérieurement. Sans cela, chaque nouveau sous-groupe doit se voir accorder un accès manuellement.
ℹ️ REMARQUE : L'accès aux groupes de scripts est distinct de l'autorisation de gestion des scripts. L'accès aux groupes de scripts (ici) contrôle quels groupes de scripts un rôle peut voir et exécuter. L'autorisation de gestion des scripts (sous Autorisations de gestion) contrôle si le rôle peut créer, modifier et supprimer des scripts. Un rôle peut avoir accès à un groupe de scripts sans la gestion des scripts, ce qui lui permet d'exécuter les scripts existants sans les modifier.
Renommer un rôle
Sélectionnez le rôle dans la liste.
Cliquez sur l'icône de crayon dans le coin supérieur droit du panneau de configuration.
Modifiez le nom dans le champ Nom du rôle et cliquez sur Enregistrer.
Renommer un rôle n'affecte pas ses autorisations, ses accès aux groupes ni les techniciens qui lui sont assignés. Seul le nom d'affichage change.
Supprimer un rôle
Sélectionnez le rôle dans la liste.
Cliquez sur l'icône de corbeille dans le coin supérieur droit du panneau de configuration.
Confirmez en cliquant sur Supprimer.
⚠️ AVERTISSEMENT : La suppression d'un rôle est définitive et ne peut pas être annulée. Level bloque la suppression si des techniciens sont encore assignés au rôle. Réassignez ou retirez ces techniciens via Espace de travail → Équipe d'abord, puis réessayez la suppression.
FAQ
Un technicien assigné à un rôle sans gestion des automatisations dit qu'il peut quand même créer des automatisations. Est-ce un bug ? Non. L'autorisation de gestion des automatisations ne bloque que les déclencheurs non manuels (planifiés, basés sur les étiquettes, basés sur les événements, etc.). Les automatisations manuelles sont toujours autorisées, car le technicien doit explicitement choisir les appareils cibles, et il ne peut sélectionner que des appareils dans des groupes auxquels il a déjà accès. Cette autorisation existe pour empêcher les automatisations dont les déclencheurs pourraient atteindre des appareils que le technicien ne peut pas voir.
Quelle est la différence entre l'autorisation de gestion des étiquettes et l'étiquetage des appareils ? La gestion des étiquettes contrôle qui peut créer, renommer et supprimer des étiquettes dans la bibliothèque d'étiquettes de l'espace de travail. L'étiquetage des appareils contrôle qui peut appliquer des étiquettes existantes sur des appareils ou les en retirer. Un technicien peut avoir l'étiquetage des appareils sans la gestion des étiquettes, ce qui lui permet d'étiqueter des appareils en utilisant des étiquettes déjà définies par un administrateur.
Quelle est la différence entre l'autorisation de gestion des scripts et l'accès aux groupes de scripts ? La gestion des scripts (sous Autorisations de gestion) contrôle si le rôle peut créer, modifier et supprimer des scripts. L'accès aux groupes de scripts (sous Accès aux groupes → Scripts) contrôle quels groupes de scripts le rôle peut voir et exécuter. Un rôle peut avoir accès à un groupe de scripts sans la gestion des scripts, ce qui lui permet d'exécuter ces scripts sans les modifier.
Un technicien a la gestion des scripts mais ne peut pas voir certains scripts. Qu'est-ce qui manque ? La gestion des scripts leur permet de créer et de modifier des scripts, mais ils ne voient toujours que les scripts dans les groupes de scripts auxquels leur rôle a accès. Ajoutez le groupe de scripts concerné sous Accès aux groupes → Scripts.
Un technicien sans gestion en arrière-plan peut-il quand même utiliser le contrôle à distance ? Oui. Le contrôle à distance et la gestion en arrière-plan sont des autorisations distinctes. Vous pouvez accorder l'une sans l'autre. Le contrôle à distance couvre la session de contrôle à distance côté utilisateur ; la gestion en arrière-plan couvre le terminal, l'explorateur de fichiers, les services, les processus et les autres outils d'administration.
Pourquoi ne puis-je pas supprimer un rôle ? Level bloque la suppression si des techniciens lui sont encore assignés. Accédez à Espace de travail → Équipe, déplacez ces techniciens vers un autre rôle, puis revenez et réessayez.
Un technicien peut exécuter une automatisation existante mais ne peut pas la modifier. Qu'est-ce qui manque ? Ils sont dans un rôle sans l'autorisation de gestion des automatisations. Activez-la si vous souhaitez qu'ils puissent créer et modifier des automatisations. Laissez-la désactivée si vous souhaitez seulement qu'ils puissent déclencher des automatisations créées par quelqu'un d'autre.
J'ai créé un nouveau sous-groupe et un rôle ne peut pas y accéder. Pourquoi ? Inclure les groupes futurs n'était pas activé sur le groupe parent pour ce rôle. Activez-le pour l'avenir, puis cochez manuellement la case du nouveau sous-groupe pour accorder l'accès rétroactivement.
Un technicien doit contrôler à distance des appareils dans le groupe d'un client, mais seulement voir (sans modifier) les automatisations. Comment configurer cela ? Accordez le contrôle à distance sous Autorisations sur les appareils. Laissez les automatisations décochées sous Autorisations de gestion. Ajoutez le groupe d'appareils concerné sous l'onglet Appareils de l'accès aux groupes. Ajoutez le groupe d'automatisations du client sous l'onglet Automatisations si vous souhaitez qu'il voie les automatisations ciblant ces appareils.
Plusieurs techniciens peuvent-ils partager le même rôle ? Oui. Assignez autant de techniciens que nécessaire à un même rôle via Espace de travail → Équipe. Les modifications d'autorisations s'appliquent immédiatement à tous les membres du rôle.
Les comptes Administrateur et les comptes de secours sont-ils configurés ici ? Non. Administrateur est une propriété de compte au niveau de l'espace de travail, et non un rôle personnalisé. Les administrateurs contournent toutes les vérifications d'autorisations basées sur les rôles. Gérez le statut d'administrateur depuis Espace de travail → Équipe.







