Configurer des comptes de Administration non globaux sur Surface Hub

• S’applique à:

  Surface Hub, Surface Hub 2S

La mise à jour Windows 10 Collaboration 2020 ajoute la prise en charge de la configuration de comptes Administration non globaux qui limitent les autorisations de gestion de l’application Paramètres sur les appareils Surface Hub joints à un domaine Microsoft Entra. Cela vous permet d’étendre les autorisations d’administrateur pour le Surface Hub uniquement et d’empêcher les accès administrateur potentiellement indésirables sur l’ensemble d’un domaine Microsoft Entra.

Windows 10 Collaboration 2020 Update 2 ajoute la prise en charge du fournisseur de services de configuration LocalUsersAndGroups. Il s’agit maintenant du fournisseur de services de configuration recommandé à utiliser ; RestrictedGroups CSP est toujours pris en charge, mais il a été déprécié.

Remarque

Avant de commencer, assurez-vous que votre Surface Hub est Microsoft Entra joint et Intune inscrit automatiquement. Si ce n’est pas le cas, vous devrez réinitialiser le Surface Hub et effectuer la première configuration OOBE (prête à l’emploi), en choisissant l’option pour rejoindre Microsoft Entra ID. Seuls les comptes qui s’authentifient via Microsoft Entra ID sont pris en charge avec la configuration de stratégie de Administration non globale.

Résumé

Le processus de création de comptes de Administration non globaux implique les étapes suivantes :

1. Dans Microsoft Intune, créez un groupe de sécurité contenant les administrateurs désignés pour gérer le Surface Hub.
2. Obtenez Microsoft Entra SID de groupe à l’aide de PowerShell.
3. Créez un fichier XML contenant Microsoft Entra SID de groupe.
4. Créez un groupe de sécurité contenant les appareils Surface Hub que le groupe de sécurité des administrateurs non généraux gérera.
5. Créez un profil de configuration personnalisé ciblant le groupe de sécurité qui contient vos appareils Surface Hub.

Créer des groupes de sécurité Microsoft Entra

Tout d’abord, créez un groupe de sécurité contenant les comptes d’administrateur. Créez ensuite un autre groupe de sécurité pour les appareils Surface Hub.

Créer un groupe de sécurité pour les comptes Administration

1. Connectez-vous à Intune via le centre d’administration Microsoft Intune, sélectionnez Groupes>Nouveau groupe> et sous Type de groupe, sélectionnez Sécurité.

2. Entrez un nom de groupe (par exemple, Administrateurs locaux surface Hub ), puis sélectionnez Créer.

   

3. Ouvrez le groupe, sélectionnez Membres, puis choisissez Ajouter des membres pour entrer les comptes d’administrateur que vous souhaitez désigner en tant qu’administrateurs non généraux sur Surface Hub. Pour en savoir plus sur la création de groupes dans Intune, consultez Ajouter des groupes pour organiser les utilisateurs et les appareils.

Créer un groupe de sécurité pour les appareils Surface Hub

1. Répétez la procédure précédente pour créer un groupe de sécurité distinct pour les appareils Hub . par exemple, les appareils Surface Hub.

   

Obtenir Microsoft Entra SID de groupe à l’aide de PowerShell

1. Lancez PowerShell avec des privilèges de compte élevés (Exécuter en tant qu’administrateur) et vérifiez que votre système est configuré pour exécuter des scripts PowerShell. Pour plus d’informations, consultez À propos des stratégies d’exécution.

2. Installez Azure PowerShell module.

3. Connectez-vous à votre locataire Microsoft Entra.

   Connect-AzureAD
   

   Remarque

   Les modules PowerShell Azure AD et MSOnline sont déconseillés à compter du 30 mars 2024. Pour en savoir plus, lisez la mise à jour déconseillée. Après cette date, la prise en charge de ces modules est limitée à l’assistance à la migration vers le Kit de développement logiciel (SDK) Microsoft Graph PowerShell et aux correctifs de sécurité. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

   Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour les questions courantes sur la migration, reportez-vous au FAQ sur la migration.

   N’oubliez pas que les versions 1.0. x de MSOnline peut subir une interruption après le 30 juin 2024.

4. Lorsque vous êtes connecté à votre locataire, exécutez le commandlet suivant. Il vous invite à « Veuillez taper l’ID d’objet de votre groupe de Microsoft Entra ».

   function Convert-ObjectIdToSid
   {    param([String] $ObjectId)   
        $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-')
   
   }
   

5. Dans Intune, sélectionnez le groupe que vous avez créé précédemment et copiez l’ID d’objet, comme illustré dans la figure suivante.

   

6. Exécutez le commandlet suivant pour obtenir le SID du groupe de sécurité :

   $AADGroup = Read-Host "Please type the Object ID of your Azure AD Group"
   $Result = Convert-ObjectIdToSid $AADGroup
   Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result
   

7. Collez l’ID d’objet dans l’applet de commande PowerShell, appuyez sur Entrée, puis copiez le SID du groupe Microsoft Entra dans un éditeur de texte.

Créer un fichier XML contenant Microsoft Entra SID de groupe

1. Copiez ce qui suit dans un éditeur de texte :

   <GroupConfiguration>
   <accessgroup desc = "S-1-5-32-544">
       <group action = "U" />
       <add member = "AzureAD\bob@contoso.com"/>
       <add member = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX"/>
   </accessgroup>
   </GroupConfiguration>
   

2. Remplacez le SID d’espace réservé (commençant par S-1-12-1) par votre SID de groupe Microsoft Entra, puis enregistrez le fichier au format XML, par exemple, Microsoft Entra ID-local-admin.xml.

   Remarque

   Bien que les groupes doivent être spécifiés via leur SID, si vous souhaitez ajouter directement des utilisateurs Azure, spécifiez leurs noms d’utilisateur principal (UPN) au format suivant : <member name = "AzureAD\user@contoso.com" />

Créer un profil de configuration personnalisé

1. Dans Endpoint Manager, sélectionnez Appareils> Profils >de configurationCréer un profil.

2. Sous Plateforme, sélectionnez Windows 10 et versions ultérieures. Sous Profil, sélectionnez Modèles>Création personnalisée>.

3. Ajoutez un nom et une description, puis sélectionnez Suivant.

4. Sous Paramètres> de configurationParamètres OMA-URI, sélectionnez Ajouter.

5. Dans le volet Ajouter une ligne, ajoutez un nom et sous OMA-URI, ajoutez la chaîne suivante :

    ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure
   

   Remarque

   Le paramètre de stratégie RestrictedGroups/ConfigureGroupMembership vous permet également de configurer des membres (utilisateurs ou groupes Microsoft Entra) sur un groupe local Windows 10. Toutefois, il permet uniquement un remplacement complet des groupes existants par les nouveaux membres. Vous ne pouvez pas ajouter ou supprimer des membres de manière sélective. Disponible dans Windows 10 Collaboration 2020 Update 2, il est recommandé d’utiliser le paramètre de stratégie LocalUsersandGroups au lieu du paramètre de stratégie RestrictedGroups. L’application des deux paramètres de stratégie au Surface Hub n’est pas prise en charge et peut produire des résultats imprévisibles.

6. Sous Type de données, sélectionnez String XML et recherchez le fichier XML que vous avez créé à l’étape précédente.

   

7. Cliquez sur Save.

8. Cliquez sur Sélectionner des groupes à inclure et choisissez le groupe de sécurité que vous avez créé précédemment (appareils Surface Hub). Cliquez sur Suivant.

9. Sous Règles d’applicabilité, ajoutez une règle si vous le souhaitez. Sinon, sélectionnez Suivant , puis Créer.

Pour en savoir plus sur les profils de configuration personnalisés utilisant des chaînes OMA-URI, consultez Utiliser des paramètres personnalisés pour les appareils Windows 10 dans Intune.

Administrateurs non généraux gérant le Surface Hub

Les membres du groupe de sécurité Administrateurs locaux surface Hub nouvellement configuré peuvent désormais se connecter à l’application Paramètres sur Surface Hub et gérer les paramètres.

Important

Sauf si l’action Mettre à jour (« U ») du fournisseur de services de configuration LocalUsersAndGroups est la seule configuration utilisée, l’accès préexistant des administrateurs généraux à l’application Paramètres est supprimé.