Microsoft Ignite 2024 : retour sur les annonces Modern Workplace
Microsoft Ignite est le rendez-vous de fin d’année à ne pas manquer pour nous, les professionnels de l’informatique 😊 Cette année...
La question des admins locaux est une question qui arrive très vite lorsque que l’on parle techniquement d’une transformation numérique. C’est principalement à des fins de support que ces administrateurs locaux sont utilisés.
Parce que ce sujet est géré principalement à travers des GPO, comment les retranscrire au mieux dans Intune ? Comment faire bénéficier d’administrateurs locaux les postes joints à Azure AD et détachés de l’Active Directory ?
Depuis la mise à jour 20H2 de Windows 10, il est possible de gérer efficacement les administrateurs locaux grâce à une configuration créée dans Intune.
En créant une configuration customisée, voilà à quoi cela ressemble :
OMA-URI : ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure
Datatype : String
Value :
<GroupConfiguration>
<accessgroup desc = « Administrators »>
<group action = « U » />
<add member = « S-1-12-1-2467210666-1203319661-2805276081-2339455698″/>
<add member = « AzureAD\user3@synapsystest.onmicrosoft.com »/>
<remove member= « Tom »/>
</accessgroup>
</GroupConfiguration>
Ici l’action “U” signifie que l’on va « Update » le groupe local Administrators en ajoutant et/ou supprimant des membres.
Il est aussi possible d’utiliser l’action R qui va « Remplacer » (Restrict) tous les utilisateurs locaux d’un groupe par ceux que vous allez lister dans la configuration.
On notera que dans cet exemple de configuration, on gère plusieurs types de cibles :
Cette configuration pourra être ciblée sur un groupe d’appareils plus ou moins large.
En effet, dans des contextes internationaux avec une équipe d’admins qui gère un pays, on peut imaginer une configuration par pays qui sera déployée sur le groupe AAD d’appareils du pays.
Lorsqu’un poste est joint à Azure AD, deux SID sont ajoutés systématiquement dans la base SAM. Il s’agit des SID des deux rôles Azure AD Global Administrator et Device Administrator.
Cela signifie que toute personne ayant ces deux rôles est par défaut administrateur.trice des postes. Une solution peut être d’assigner ces deux rôles aux admins souhaités.
Cette solution, bien que native d’Azure AD, signifie toutefois que les administrateurs assignés au rôle Device Administrator sont administrateurs de TOUTES les machines de l’annuaire. Un modèle qui conviendra aux plus petits contextes mais qui, dès lors que l’on parle d’une réelle délégation détaillée, rencontrera des limites de sécurité notamment.
Si on opte pour la première méthode, supprimer ces deux SID peut s’avérer pertinent.
Que ce soit avec une approche permettant la délégation ou bien une approche native d’Azure AD, la gestion des admins locaux est une question à laquelle le Modern Management peut répondre. Le faire à travers Intune ou Azure AD permet d’enfin adresser cette problématique aux postes en workgroup par exemple qui jusque-là étaient épargnés des GPO. On a désormais un management des admins locaux centralisé pour tous !
Articles similaires
Microsoft Ignite est le rendez-vous de fin d’année à ne pas manquer pour nous, les professionnels de l’informatique 😊 Cette année...
Les mises à jour Windows, Microsoft 365 ou les applications déployées par Intune peuvent contenir des fichiers volumineux et la...
Autopilot, lancé par Microsoft en 2017 peu de temps après la sortie de Windows 10, avait pour objectif principal de...