Introduction
Contrôlez ce que chaque technicien peut voir et faire dans Level. Les autorisations sont basées sur des rôles : vous définissez un rôle, choisissez ce qu'il peut gérer, ce qu'il peut faire sur les appareils, et les groupes auxquels il peut accéder. Vous assignez ensuite les techniciens à ce rôle depuis la Équipe page.
Chaque technicien appartient à exactement un rôle. Les rôles peuvent être partagés par autant de techniciens que nécessaire.
Fonctionnement des rôles
Un rôle définit trois éléments :
Les autorisations de gestion déterminent si le rôle peut créer et gérer des ressources au niveau de l'espace de travail telles que les automatisations, les scripts, les politiques de surveillance et les étiquettes.
Les autorisations d'appareil déterminent ce que le rôle peut faire sur les appareils individuels : contrôle à distance, gestion en arrière-plan et étiquetage.
L'accès aux groupes détermine quels groupes d'appareils et groupes d'automatisations le rôle peut voir et dans lesquels il peut travailler.
Les techniciens n'ayant pas accès à un groupe d'appareils ne peuvent pas voir les appareils de ce groupe, lancer le contrôle à distance ni effectuer aucune action sur ces appareils. Il en va de même pour les groupes d'automatisations : les techniciens ne peuvent pas voir, exécuter ou modifier les automatisations des groupes auxquels ils n'ont pas accès.
💡 CONSEIL : Planifiez vos rôles en fonction de la structure de votre équipe avant de les créer. Une configuration courante : un rôle «Technicien Junior» limité à quelques groupes sans autorisations de gestion, un rôle «Technicien Senior» avec un accès plus large et la gestion des automatisations et des scripts, et un compte administrateur de secours hors SSO pour la récupération d'urgence.
Créer un rôle
Accédez à Espace de travail → Autorisations.
Cliquez sur + Créer un rôle dans le coin supérieur droit.
Saisissez un nom dans le champ Nom du rôle et cliquez sur Créer.
Le nouveau rôle apparaît dans la liste des rôles. Il n'a aucun accès configuré par défaut — configurez les autorisations de gestion et l'accès aux groupes avant d'y assigner quelqu'un.
💡 CONSEIL : Level crée un rôle «Tech» sur chaque nouveau compte à titre d'exemple. Vous pouvez le renommer, le reconfigurer ou le supprimer comme n'importe quel autre rôle.
Configurer un rôle
Sélectionnez n'importe quel rôle dans la liste pour ouvrir son panneau de configuration sur la droite.
Autorisations de gestion
La section Autorisations de gestion contrôle si ce rôle peut créer, modifier et supprimer des ressources au niveau de l'espace de travail.
Autorisation | Ce qu'elle contrôle |
Automatisations | Créer et gérer des automatisations |
Scripts | Créer et gérer des scripts |
Politiques de surveillance | Créer et gérer des politiques de surveillance |
Étiquettes | Créer et gérer des étiquettes |
💡 CONSEIL : Laissez Politiques de surveillance décoché pour la plupart des techniciens. Les modifications de politique affectent chaque appareil portant l'étiquette correspondante, donc le rayon d'impact est large. Limitez cela au personnel senior.
Chaque autorisation est indépendante. Vous pouvez accorder Scripts sans Automatisations, Étiquettes sans Politiques de surveillance, et ainsi de suite.
ℹ️ REMARQUE : La permission Automatisations L'autorisation de gestion Manuel déclencheur, mais ne peut exécuter cette automatisation que sur les appareils auxquels il a accès via son groupe. L'autorisation existe pour empêcher les techniciens de créer des automatisations dont les déclencheurs pourraient s'étendre à des appareils dans des groupes auxquels ils n'ont pas accès.
Autorisations d'appareil
La section Autorisations d'appareil contrôle les actions que ce rôle peut effectuer sur les appareils individuels auxquels il a déjà accès via son groupe.
Contrôle à distance permet au rôle de démarrer des sessions de contrôle à distance.
Gestion en arrière-plan permet au rôle d'ouvrir des sessions de terminal et de gestion en arrière-plan (explorateur de fichiers, services, processus, registre, etc.).
Étiquetage des appareils permet au rôle d'appliquer et de retirer des étiquettes sur les appareils. Cette autorisation se décline en deux sous-options :
Appliquer des étiquettes aux appareils permet au rôle d'ajouter des étiquettes existantes à un appareil.
Retirer des étiquettes des appareils permet au rôle de retirer des étiquettes d'un appareil.
ℹ️ REMARQUE : L'étiquetage des appareils est distinct de l'autorisation Étiquettes de gestion des étiquettes. Un technicien peut avoir l'autorisation d'appliquer des étiquettes aux appareils (autorisation d'appareil) sans avoir l'autorisation de créer ou renommer des étiquettes au niveau de l'espace de travail (autorisation de gestion). L'autorisation de gestion des étiquettes régit la bibliothèque d'étiquettes globale ; l'autorisation d'étiquetage des appareils régit si les étiquettes existantes peuvent être posées sur ou retirées des appareils individuels.
⚠️ AVERTISSEMENT : Accorder Gestion en arrière-plan donne au rôle un accès terminal complet à chaque appareil dans la portée de son groupe. Cela équivaut effectivement à un accès administrateur local. Assurez-vous que l'accès aux groupes du rôle est limité en conséquence.
Accès aux groupes
La section Accès aux groupes contrôle quels groupes d'appareils et groupes d'automatisations ce rôle peut voir et dans lesquels il peut travailler. Il y a deux onglets : Appareils et Automatisations. Chacun liste les groupes de votre espace de travail sous forme d'arborescence.
Chaque ligne comporte deux contrôles :
Case à cocher du groupe accorde à ce rôle l'accès à ce groupe. Les techniciens de ce rôle peuvent voir et travailler avec les appareils ou les automatisations de tout groupe coché.
Case à cocher Inclure les groupes futurs (sur le côté droit de la ligne) contrôle si les sous-groupes créés ultérieurement sous ce groupe héritent automatiquement du même accès. Lorsqu'elle est activée, tout nouveau sous-groupe est automatiquement ajouté à l'accès du rôle.
ℹ️ REMARQUE : La sélection d'un groupe active automatiquement Inclure les groupes futurs pour cette ligne. Si vous souhaitez accorder l'accès à un groupe mais pas à ses futurs sous-groupes, décochez Inclure les groupes futurs après avoir sélectionné le groupe.
Basculez vers l'onglet Automatisations pour configurer les groupes d'automatisations auxquels ce rôle peut accéder. Les contrôles fonctionnent de la même manière.
⚠️ AVERTISSEMENT : La désactivation d'un groupe supprime immédiatement l'accès pour tous les techniciens assignés à ce rôle. Ils perdront la visibilité sur ces appareils ou ces automatisations jusqu'à ce que l'accès soit rétabli.
💡 CONSEIL : Activez Inclure les groupes futurs sur votre groupe de niveau supérieur lorsque vous souhaitez qu'un rôle couvre automatiquement tous les nouveaux sous-groupes que votre équipe ajoutera ultérieurement. Sans cela, chaque nouveau sous-groupe doit se voir accorder l'accès manuellement.
Renommer un rôle
Sélectionnez le rôle dans la liste.
Cliquez sur l'icône de crayon dans le coin supérieur droit du panneau de configuration.
Modifiez le nom dans le champ Nom du rôle et cliquez sur Enregistrer.
Renommer un rôle n'affecte pas ses autorisations, son accès aux groupes ni les techniciens qui lui sont assignés. Seul le nom d'affichage change.
Supprimer un rôle
Sélectionnez le rôle dans la liste.
Cliquez sur l'icône de corbeille dans le coin supérieur droit du panneau de configuration.
Confirmez en cliquant sur Supprimer.
⚠️ AVERTISSEMENT : La suppression d'un rôle est définitive et ne peut pas être annulée. Level bloque la suppression si des techniciens sont encore assignés au rôle. Réassignez ou supprimez ces techniciens via Espace de travail → Équipe d'abord, puis réessayez la suppression.
FAQ
Un technicien assigné à un rôle sans gestion des automatisations dit qu'il peut quand même créer des automatisations. Est-ce un bug ? Non. L'autorisation de gestion des automatisations ne bloque que les déclencheurs non manuels (planifiés, basés sur des étiquettes, basés sur des événements, etc.). Les automatisations manuelles sont toujours autorisées car le technicien doit explicitement choisir les appareils cibles, et il ne peut choisir que des appareils dans des groupes auxquels il a déjà accès. L'autorisation existe pour empêcher les automatisations dont les déclencheurs pourraient atteindre des appareils que le technicien ne peut pas voir.
Quelle est la différence entre l'autorisation de gestion des étiquettes et l'étiquetage des appareils ? La gestion des étiquettes contrôle qui peut créer, renommer et supprimer des étiquettes dans la bibliothèque d'étiquettes de l'espace de travail. L'étiquetage des appareils contrôle qui peut appliquer des étiquettes existantes aux appareils ou les en retirer. Un technicien peut avoir l'étiquetage des appareils sans la gestion des étiquettes, ce qui lui permet d'étiqueter des appareils à l'aide d'étiquettes déjà définies par un administrateur.
Un technicien sans gestion en arrière-plan peut-il quand même utiliser le contrôle à distance ? Oui. Le contrôle à distance et la gestion en arrière-plan sont des autorisations distinctes. Vous pouvez accorder l'une sans l'autre. Le contrôle à distance couvre la session de contrôle à distance côté utilisateur ; la gestion en arrière-plan couvre le terminal, l'explorateur de fichiers, les services, les processus et autres outils backend.
Pourquoi ne puis-je pas supprimer un rôle ? Level bloque la suppression si des techniciens lui sont encore assignés. Accédez à Espace de travail → Équipe, déplacez ces techniciens vers un autre rôle, puis revenez et réessayez.
Un technicien peut exécuter une automatisation existante mais ne peut pas la modifier. Qu'est-ce qui manque ? Ils ont un rôle sans l'autorisation de gestion des automatisations. Activez-la si vous souhaitez qu'ils puissent créer et modifier des automatisations. Laissez-la désactivée si vous voulez seulement qu'ils déclenchent des automatisations créées par quelqu'un d'autre.
J'ai créé un nouveau sous-groupe et un rôle ne peut pas y accéder. Pourquoi ? Inclure les groupes futurs n'était pas activé sur le groupe parent pour ce rôle. Activez-le pour l'avenir, puis cochez manuellement la case du nouveau sous-groupe pour accorder l'accès rétroactivement.
Un technicien doit contrôler à distance des appareils dans le groupe d'un client, mais seulement voir (sans modifier) les automatisations. Comment configurer cela ? Accordez le contrôle à distance sous les autorisations d'appareil. Laissez les automatisations décochées sous les autorisations de gestion. Ajoutez le groupe d'appareils concerné sous l'onglet Appareils de l'accès aux groupes. Ajoutez le groupe d'automatisations du client sous l'onglet Automatisations si vous souhaitez qu'ils voient les automatisations ciblant ces appareils.
Plusieurs techniciens peuvent-ils partager le même rôle ? Oui. Assignez autant de techniciens que nécessaire à un seul rôle via Espace de travail → Équipe. Les modifications d'autorisation s'appliquent immédiatement à tous les membres du rôle.
Les comptes Administrateur et de secours sont-ils configurés ici ? Non. Administrateur est une propriété de compte au niveau de l'espace de travail, pas un rôle personnalisé. Les administrateurs contournent toutes les vérifications d'autorisation basées sur les rôles. Gérez le statut d'administrateur depuis Espace de travail → Équipe.