La gestion des administrateurs locaux avec Intune

La question des admins locaux est une question qui arrive très vite lorsque que l’on parle techniquement d’une transformation numérique. C’est principalement à des fins de support que ces administrateurs locaux sont utilisés.

Parce que ce sujet est géré principalement à travers des GPO, comment les retranscrire au mieux dans Intune ? Comment faire bénéficier d’administrateurs locaux les postes joints à Azure AD et détachés de l’Active Directory ?

Scénario classique d’un poste en version Windows 10 20H2 :

Depuis la mise à jour 20H2 de Windows 10, il est possible de gérer efficacement les administrateurs locaux grâce à une configuration créée dans Intune.

En créant une configuration customisée, voilà à quoi cela ressemble :
OMA-URI : ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

Datatype : String

Value :

<GroupConfiguration>
    <accessgroup desc = « Administrators »>
        <group action = « U » />
        <add member = « S-1-12-1-2467210666-1203319661-2805276081-2339455698″/>
        <add member = « AzureAD\user3@synapsystest.onmicrosoft.com »/>
        <remove member= « Tom »/>
    </accessgroup>
</GroupConfiguration>

Ici l’action “U” signifie que l’on va « Update » le groupe local Administrators en ajoutant et/ou supprimant des membres.

Il est aussi possible d’utiliser l’action R qui va « Remplacer » (Restrict) tous les utilisateurs locaux d’un groupe par ceux que vous allez lister dans la configuration.

On notera que dans cet exemple de configuration, on gère plusieurs types de cibles :

• Un utilisateur Azure AD, user3@synapsystest.onmicrosoft.com. Il est désormais administrateur du poste.
• Un groupe Azure AD dont on récupère le sid à l’aide du script d’Oliver Kieselbach. Tous les membres de ce groupe choisi sont donc désormais administrateurs du poste.

• Et un utilisateur local « Tom » que l’on enlève du groupe administrateur par la même occasion. Ici on l’enlève mais on peut en ajouter de nouveaux également. À noter qu’ils doivent déjà exister sur le poste pour être ajoutés en tant qu’admins.

• On ne peut pas supprimer l’Administrateur Built-In du groupe local. Si l’on essaye, la configuration remontera en erreur dans Intune.

Cette configuration pourra être ciblée sur un groupe d’appareils plus ou moins large.

En effet, dans des contextes internationaux avec une équipe d’admins qui gère un pays, on peut imaginer une configuration par pays qui sera déployée sur le groupe AAD d’appareils du pays.

Une alternative Built-In. Simple mais parfois inadaptée.

Lorsqu’un poste est joint à Azure AD, deux SID sont ajoutés systématiquement dans la base SAM. Il s’agit des SID des deux rôles Azure AD Global Administrator et Device Administrator.

Cela signifie que toute personne ayant ces deux rôles est par défaut administrateur.trice des postes. Une solution peut être d’assigner ces deux rôles aux admins souhaités.

Cette solution, bien que native d’Azure AD, signifie toutefois que les administrateurs assignés au rôle Device Administrator sont administrateurs de TOUTES les machines de l’annuaire. Un modèle qui conviendra aux plus petits contextes mais qui, dès lors que l’on parle d’une réelle délégation détaillée, rencontrera des limites de sécurité notamment.

Si on opte pour la première méthode, supprimer ces deux SID peut s’avérer pertinent.

Conclusion

Que ce soit avec une approche permettant la délégation ou bien une approche native d’Azure AD, la gestion des admins locaux est une question à laquelle le Modern Management peut répondre. Le faire à travers Intune ou Azure AD permet d’enfin adresser cette problématique aux postes en workgroup par exemple qui jusque-là étaient épargnés des GPO. On a désormais un management des admins locaux centralisé pour tous !