Guide pratique pour gérer le groupe d’administrateurs locaux sur les appareils joints Microsoft Entra

Pour gérer un appareil Windows, vous devez être membre du groupe Administrateurs local. Dans le cadre du processus de jointure Microsoft Entra, Microsoft Entra ID met à jour l’appartenance de ce groupe sur un appareil. Vous pouvez personnaliser la mise à jour de l’appartenance pour répondre aux besoins de votre entreprise. Une mise à jour de l’appartenance peut par exemple être utile si vous souhaitez autoriser le personnel du support technique à effectuer des tâches nécessitant des droits d’administrateur sur un appareil.

Cet article explique le fonctionnement de la mise à jour de l’appartenance aux administrateurs locaux et comment vous pouvez la personnaliser pendant une jonction à Microsoft Entra. Le contenu de cet article ne s’applique pas aux appareils à jointure hybride Microsoft Entra.

Fonctionnement

Au moment de la jonction à Microsoft Entra, les principaux de sécurité suivants sont ajoutés au groupe d’administrateurs locaux sur l’appareil :

• Les rôles d’Administrateur local d’appareils joints à Microsoft Entra et d’Administrateur général
• L’utilisateur effectuant la jointure Microsoft Entra

Remarque

Nous le faisons seulement pendant l’opération de jonction. Si un administrateur apporte des modifications après ce point, il doit mettre à jour l’appartenance au groupe sur l’appareil.

En ajoutant des rôles Microsoft Entra au groupe d’administrateurs locaux, vous pouvez mettre à jour les utilisateurs qui peuvent gérer un appareil à tout moment dans Microsoft Entra ID, sans modifier quoi que ce soit sur l’appareil. Microsoft Entra ID ajoute également le rôle Administrateur local d’appareils joints à Microsoft Entra au groupe Administrateurs local pour permettre la prise en charge du principe du moindre privilège (PoLP). En plus des utilisateurs disposant du rôle Administrateur général, vous pouvez également permettre aux utilisateurs ayant uniquement le rôle Administrateur local d’appareils joints à Microsoft Entra de gérer un appareil.

Gérer le rôle Administrateur général

Pour afficher et mettre à jour l’appartenance du rôle Administrateur général, consultez :

• Afficher tous les membres d’un rôle d’administrateur dans Microsoft Entra ID
• Affecter un utilisateur aux rôles d’administrateur dans Microsoft Entra ID
• Afficher tous les membres d’un rôle d’administrateur dans Microsoft Entra ID
• Affecter un utilisateur aux rôles d’administrateur dans Microsoft Entra ID

Gérer le rôle Administrateur local d’appareils joints à Microsoft Entra

Vous pouvez gérer le rôle Administrateur local d’appareils joint à Microsoft Entra à partir des Paramètres de l’appareil.

1. Connectez-vous au Centre d’administration Microsoft Entra au minimum en tant qu’Administrateur de rôle privilégié.
2. Accédez à Identité>Appareils>Tous les appareils>Paramètres de l’appareil.
3. Sélectionnez Gérer les administrateurs locaux supplémentaires sur tous les appareils joints Microsoft Entra.
4. Sélectionnez Ajouter des attributions, puis choisissez les autres administrateurs que vous souhaitez ajouter et sélectionnez Ajouter.

Pour modifier le rôle Administrateur local d’appareils joints à Microsoft Entra, configurez des administrateurs locaux supplémentaires sur tous les appareils joints à Microsoft Entra.

Remarque

Cette option nécessite des licences Microsoft Entra ID P1 ou P2.

Les administrateurs locaux d’appareils à jointure Microsoft Entra sont attribués à tous les appareils à jointure Microsoft Entra. Vous ne pouvez pas définir l’étendue ce de rôle à un ensemble d’appareils spécifique. La mise à jour du rôle Administrateur local d’appareils joints à Microsoft Entra n’a pas nécessairement un impact immédiat sur les utilisateurs affectés. Sur les appareils où un utilisateur est déjà connecté, l’élévation des privilèges a lieu lorsque les deux actions ci-dessous se produisent :

• Jusqu’à 4 heures se sont écoulées avant que Microsoft Entra ID émette un nouveau jeton d’actualisation principal avec les privilèges appropriés.
• L’utilisateur se déconnecte, puis se reconnecte, sans verrouillage/déverrouillage, pour actualiser son profil.

Les utilisateurs ne sont pas répertoriés directement dans le groupe d’administrateurs local, les autorisations sont reçues via le jeton d’actualisation principal.

Remarque

Les actions ci-dessus ne s’appliquent pas aux utilisateurs qui ne se sont pas connectés précédemment à l’appareil approprié. Dans ce cas, les privilèges d’administrateur sont appliqués immédiatement après leur première connexion à l’appareil.

Gérer les privilèges d’administrateur en utilisant des groupes Microsoft Entra (préversion)

Vous pouvez utiliser des groupes Microsoft Entra pour gérer les privilèges d’Administrateur sur les appareils joints à Microsoft Entra à l’aide de la stratégie MDM (Gestion des périphériques mobiles) des Utilisateurs et groupes locaux. Cette stratégie vous permet d’affecter des utilisateurs individuels ou des groupes Microsoft Entra au groupe d’administrateurs locaux sur un appareil joint Microsoft Entra. Vous disposez ainsi de la granularité nécessaire pour configurer des administrateurs distincts pour différents groupes d’appareils.

Les organisations peuvent utiliser Intune pour gérer ces stratégies à l’aide de paramètres OMA-URI personnalisés ou de la stratégie de protection de compte. Voici quelques éléments à prendre en compte pour l’utilisation de cette stratégie :

• L’ajout de groupes Microsoft Entra via la stratégie nécessite le SID (security identifier) du groupe, lequel peut être obtenu en exécutant l’API Microsoft Graph API pour les groupes. Le SID correspond à la propriété securityIdentifier dans la réponse de l’API.

• Les privilèges d’administrateur utilisant cette stratégie sont uniquement évalués pour les groupes bien connus suivants sur un appareil Windows 10 ou version ultérieure : Administrateurs, Utilisateurs, Invités, Utilisateurs avancés, Utilisateurs du Bureau à distance et Utilisateurs de gestion à distance.

• La gestion des administrateurs locaux en utilisant des groupes Microsoft Entra ne s’applique pas aux appareils à jointure hybride ou inscrits Microsoft Entra.

• Les groupes Microsoft Entra déployés sur un appareil avec cette stratégie ne s’appliquent pas aux connexions Bureau à distance. Pour contrôler les autorisations Bureau à distance pour les appareils joints Microsoft Entra, vous devez ajouter le SID de l’utilisateur individuel au groupe approprié.

Important

La connexion Windows avec Microsoft Entra ID prend en charge l’évaluation de jusqu’à 20 groupes pour les droits d’administrateur. Pour vérifier que les droits d’administrateur sont correctement attribués, nous vous recommandons de ne pas avoir plus de 20 groupes Microsoft Entra groupes sur chaque appareil. Cette limitation s’applique également aux groupes imbriqués.

Gérer les utilisateurs réguliers

Par défaut, Microsoft Entra ID ajoute l’utilisateur qui effectue la jointure Microsoft Entra au groupe d’administrateurs sur l’appareil. Si vous souhaitez empêcher les utilisateurs réguliers de devenir des administrateurs locaux, vous disposez des options suivantes :

• Windows Autopilot : Windows Autopilot fournit une option permettant d’empêcher l’utilisateur principal qui effectue la jointure de devenir un administrateur local en créant un profil Autopilot.
• Inscription en bloc : une jointure Microsoft Entra qui est effectuée dans le contexte d’une inscription en bloc se produit dans le contexte d’un utilisateur créé automatiquement. Les utilisateurs qui se connectent après la jointure d’un appareil ne sont pas ajoutés au groupe Administrateurs.

Élever manuellement un utilisateur sur un appareil

Outre l’utilisation du processus de jointure Microsoft Entra, vous pouvez également élever manuellement un utilisateur normal pour en faire un administrateur local sur un appareil spécifique. Cette étape nécessite que vous soyez déjà membre du groupe Administrateurs local.

À compter de la version Windows 10 1709, vous pouvez effectuer cette tâche depuis Paramètres -> Comptes -> Autres utilisateurs. Sélectionnez Ajouter un utilisateur professionnel ou scolaire, entrez l’UPN (user principal name) de l’utilisateur sous Compte d’utilisateur, puis sélectionnez Administrateur sous Type de compte

Vous pouvez également ajouter des utilisateurs à l’invite de commandes :

• Si vos utilisateurs locataires sont synchronisés à partir d’Active Directory en local, utilisez net localgroup administrators /add "Contoso\username".
• Si les utilisateurs de votre locataire sont créés dans Microsoft Entra ID, utilisez net localgroup administrators /add "AzureAD\UserUpn"

À propos de l’installation

• Vous pouvez uniquement attribuer des groupes basés sur des rôles au rôle Administrateur local d’appareils joints à Microsoft Entra.
• Le rôle Administrateur local d’appareils joints à Microsoft Entra est attribué à tous les appareils joints à Microsoft Entra. Ce rôle ne peut pas être limité à un jeu spécifique d’appareils.
• Les droits d’administrateur local sur les appareils Windows ne s’appliquent pas aux utilisateurs invités Microsoft Entra B2B.
• Quand vous supprimez des utilisateurs du rôle Administrateur local d’appareils joints par Microsoft Entra, les changements ne sont pas instantanés. Les utilisateurs disposent toujours des privilèges d’administrateur local sur un appareil tant qu’ils y sont connectés. Le privilège est révoqué la prochaine fois qu’ils se connectent quand un nouveau jeton d’actualisation principal est émis. Cette révocation, similaire à l’élévation des privilèges, peut prendre jusqu’à 4 heures.

Étapes suivantes

• Pour obtenir une vue d’ensemble de la gestion des appareils, consultez Gestion des identités des appareils.
• Pour plus d’informations sur l’accès conditionnel basé sur les appareils, consultez Accès conditionnel : exiger un appareil conforme ou joint Microsoft Entra hybride.