Configurer les comptes administrateurs non globaux sur Surface Hub

La mise à jour Windows 10 Collaboration 2020 ajoute la prise en charge de la configuration de comptes d’administrateur non généraux qui limitent les autorisations de gestion de l’application Paramètres sur les appareils Surface Hub joints à un domaine Azure AD. Cela vous permet d’étendre uniquement les autorisations d’administrateur pour le Surface Hub et d’empêcher l’accès administrateur potentiellement indésirable sur l’ensemble d’un domaine Azure AD.

Windows 10 Collaboration 2020 Update 2 ajoute la prise en charge du fournisseur de services cloud LocalUsersAndGroups. Il s’agit maintenant du fournisseur CSP recommandé à utiliser; RestrictedGroups CSP est toujours pris en charge, mais il a été déconseillé.

Remarque

Avant de commencer, assurez-vous que votre Surface Hub est joint à Azure AD et Intune inscrit automatiquement. Si ce n’est pas le cas, vous devez réinitialiser le Surface Hub et terminer à nouveau la première configuration OOBE (Out-of-the-Box), en choisissant l’option permettant de rejoindre Azure AD. Seuls les comptes qui s’authentifient via Azure AD sont pris en charge avec la configuration de stratégie d’administration non globale.

Résumé

Le processus de création de comptes d’administrateur non généraux implique les étapes suivantes :

  1. Dans Microsoft Intune, créez un groupe de sécurité contenant les administrateurs désignés pour gérer le Surface Hub.
  2. Obtenez le SID de groupe Azure AD à l’aide de PowerShell.
  3. Créez un fichier XML contenant le SID du groupe Azure AD.
  4. Créez un groupe de sécurité contenant les appareils Surface Hub que le groupe de sécurité des administrateurs non généraux gérera.
  5. Créez un profil de configuration personnalisé ciblant le groupe de sécurité qui contient vos appareils Surface Hub.

Créer des groupes de sécurité Azure AD

Tout d’abord, créez un groupe de sécurité contenant les comptes d’administrateur. Créez ensuite un autre groupe de sécurité pour les appareils Surface Hub.

Créer un groupe de sécurité pour les comptes Administration

  1. Connectez-vous à Intune via le Centre d’administration Microsoft Endpoint Manager, sélectionnez Groupes>Nouveau groupe> et sous Type de groupe, sélectionnez Sécurité.

  2. Entrez un nom de groupe (par exemple, Administrateurs locaux Surface Hub ), puis sélectionnez Créer.

    Créez un groupe de sécurité pour les administrateurs hub.

  3. Ouvrez le groupe, sélectionnez Membres, puis choisissez Ajouter des membres pour entrer les comptes Administrateur que vous souhaitez désigner en tant qu’administrateurs non généraux sur Le Surface Hub. Pour en savoir plus sur la création de groupes dans Intune, consultez Ajouter des groupes pour organiser les utilisateurs et les appareils.

Créer un groupe de sécurité pour les appareils Surface Hub

  1. Répétez la procédure précédente pour créer un groupe de sécurité distinct pour les appareils hub ; par exemple, les appareils Surface Hub.

    Créez un groupe de sécurité pour les appareils hub.

Obtenir le SID de groupe Azure AD à l’aide de PowerShell

  1. Lancez PowerShell avec des privilèges de compte élevés (Exécuter en tant qu’administrateur) et vérifiez que votre système est configuré pour exécuter des scripts PowerShell. Pour en savoir plus, consultez À propos des stratégies d’exécution.

  2. Installez Azure PowerShell module.

  3. Connectez-vous à votre locataire Azure AD.

    Connect-AzureAD
    
  4. Lorsque vous êtes connecté à votre locataire, exécutez l’applet de commande suivante. Il vous invite à « Tapez l’ID d’objet de votre groupe Azure AD ».

    function Convert-ObjectIdToSid
    {    param([String] $ObjectId)   
         $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-')
    
    }
    
  5. Dans Intune, sélectionnez le groupe que vous avez créé précédemment et copiez l’ID d’objet, comme illustré dans la figure suivante.

    Copier l’ID d’objet du groupe de sécurité.

  6. Exécutez l’applet de commande suivante pour obtenir le SID du groupe de sécurité :

    $AADGroup = Read-Host "Please type the Object ID of your Azure AD Group"
    $Result = Convert-ObjectIdToSid $AADGroup
    Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result
    
  7. Collez l’ID d’objet dans la commande PowerShell, appuyez sur Entrée et copiez le SID du groupe Azure AD dans un éditeur de texte.

Créer un fichier XML contenant le SID de groupe Azure AD

  1. Copiez ce qui suit dans un éditeur de texte :

    <GroupConfiguration>
    <accessgroup desc = "S-1-5-32-544">
        <group action = "U" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX"/>
    </accessgroup>
    </GroupConfiguration>
    
  2. Remplacez le SID d’espace réservé (à compter de S-1-12-1) par votre SID de groupe Azure AD , puis enregistrez le fichier au format XML ; par exemple, aad-local-admin.xml.

    Remarque

    Bien que les groupes doivent être spécifiés via leur SID, si vous souhaitez ajouter des utilisateurs Azure directement, spécifiez leurs noms d’utilisateur principal (UPN) dans ce format : <member name = "AzureAD\user@contoso.com" />

Créer un profil de configuration personnalisé

  1. Dans Endpoint Manager, sélectionnezProfils> de configuration des appareils>Créer un profil.

  2. Sous Plateforme, sélectionnez Windows 10 et versions ultérieures. Sous Profil, sélectionnez Créer des modèles personnalisés>>.

  3. Ajoutez un nom et une description, puis sélectionnez Suivant.

  4. Sous Paramètres de> configurationOMA-URI, sélectionnez Ajouter.

  5. Dans le volet Ajouter une ligne, ajoutez un nom et, sous OMA-URI, ajoutez la chaîne suivante :

     ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure
    

    Remarque

    Le paramètre de stratégie RestrictedGroups/ConfigureGroupMembership vous permet également de configurer des membres (utilisateurs ou groupes AAD) sur un groupe local Windows 10. Toutefois, elle autorise uniquement le remplacement complet des groupes existants par les nouveaux membres. Vous ne pouvez pas ajouter ou supprimer des membres de manière sélective. Disponible dans Windows 10 Collaboration 2020 Update 2, il est recommandé d’utiliser le paramètre de stratégie LocalUsersandGroups au lieu du paramètre de stratégie RestrictedGroups. L’application des deux paramètres de stratégie au Surface Hub n’est pas prise en charge et peut produire des résultats imprévisibles.

  6. Sous Type de données, sélectionnez String XML et accédez pour ouvrir le fichier XML que vous avez créé à l’étape précédente.

    charger le fichier de configuration xml de l’administrateur local.

  7. Cliquez sur Save.

  8. Cliquez sur Sélectionner des groupes pour inclure et choisir le groupe de sécurité que vous avez créé précédemment (appareils Surface Hub). Cliquez sur Suivant.

  9. Sous règles d’applicabilité, ajoutez une règle si vous le souhaitez. Sinon, sélectionnez Suivant , puis créez.

Pour en savoir plus sur les profils de configuration personnalisés à l’aide de chaînes OMA-URI, consultez Utiliser des paramètres personnalisés pour Windows 10 appareils dans Intune.

Administrateurs non généraux gérant le Surface Hub

Les membres du groupe Sécurité des administrateurs locaux du Surface Hub peuvent désormais se connecter à l’application Paramètres sur Le Surface Hub et gérer les paramètres.

Important

L’accès par défaut des administrateurs généraux à l’application Paramètres est supprimé (sauf s’ils sont également membres de ce nouveau groupe de sécurité).