La gestion des administrateurs locaux avec Intune

Digital Workplace Intune
Description de l'image
Tom Machado Expert Technique Modern Workplace

La question des admins locaux est une question qui arrive très vite lorsque que l’on parle techniquement d’une transformation numérique. C’est principalement à des fins de support que ces administrateurs locaux sont utilisés.

Parce que ce sujet est géré principalement à travers des GPO, comment les retranscrire au mieux dans Intune ? Comment faire bénéficier d’administrateurs locaux les postes joints à Azure AD et détachés de l’Active Directory ?

Cta Lb Intune Sccm

Scénario classique d’un poste en version Windows 10 20H2 :

Depuis la mise à jour 20H2 de Windows 10, il est possible de gérer efficacement les administrateurs locaux grâce à une configuration créée dans Intune.

En créant une configuration customisée, voilà à quoi cela ressemble :
OMA-URI : ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

Datatype : String

Value :

<GroupConfiguration>
    <accessgroup desc = « Administrators »>
        <group action = « U » />
        <add member = « S-1-12-1-2467210666-1203319661-2805276081-2339455698″/>
        <add member = « AzureAD\user3@synapsystest.onmicrosoft.com »/>
        <remove member= « Tom »/>
    </accessgroup>
</GroupConfiguration>

Ici l’action “U” signifie que l’on va « Update » le groupe local Administrators en ajoutant et/ou supprimant des membres.

Il est aussi possible d’utiliser l’action R qui va « Remplacer » (Restrict) tous les utilisateurs locaux d’un groupe par ceux que vous allez lister dans la configuration.

On notera que dans cet exemple de configuration, on gère plusieurs types de cibles :

Cette configuration pourra être ciblée sur un groupe d’appareils plus ou moins large.

En effet, dans des contextes internationaux avec une équipe d’admins qui gère un pays, on peut imaginer une configuration par pays qui sera déployée sur le groupe AAD d’appareils du pays.

Une alternative Built-In. Simple mais parfois inadaptée.

Lorsqu’un poste est joint à Azure AD, deux SID sont ajoutés systématiquement dans la base SAM. Il s’agit des SID des deux rôles Azure AD Global Administrator et Device Administrator.

Administrateurs Locaux
Exemple des SID automatiquement ajoutés

Cela signifie que toute personne ayant ces deux rôles est par défaut administrateur.trice des postes. Une solution peut être d’assigner ces deux rôles aux admins souhaités.

Cette solution, bien que native d’Azure AD, signifie toutefois que les administrateurs assignés au rôle Device Administrator sont administrateurs de TOUTES les machines de l’annuaire. Un modèle qui conviendra aux plus petits contextes mais qui, dès lors que l’on parle d’une réelle délégation détaillée, rencontrera des limites de sécurité notamment.

Si on opte pour la première méthode, supprimer ces deux SID peut s’avérer pertinent.

Conclusion

Que ce soit avec une approche permettant la délégation ou bien une approche native d’Azure AD, la gestion des admins locaux est une question à laquelle le Modern Management peut répondre. Le faire à travers Intune ou Azure AD permet d’enfin adresser cette problématique aux postes en workgroup par exemple qui jusque-là étaient épargnés des GPO. On a désormais un management des admins locaux centralisé pour tous !

Articles Similaires

Digital Workplace

SCCM à l’ère Intune : co-management ou migration ?

Le co-management permet de fusionner les capacités de gestion d'Intune avec les compétences robustes de SCCM. Cette synergie offre aux...

Digital Workplace

SCCM vs Intune : quel avenir pour la gestion unifiée des appareils ?

Au fil des années, Intune est devenu une solution de gestion de dispositifs mobiles (MDM) de premier plan, offrant de...

Digital Workplace

Gestion de la sécurité dans Intune / Microsoft EndPoint Manager

Présentation de Microsoft EndPoint Manager et Intune Microsoft Endpoint Manager est une plateforme de gestion des terminaux qui combine les...