En tant qu'administrateur, vous pouvez modifier le paramètre du niveau d'autorisation d'un utilisateur sur ses appareils Microsoft Windows 10 ou 11. Vous pouvez par exemple lui accorder un contrôle limité ou un accès complet. Ce niveau d'autorisation est accordé au compte Windows associé au compte Google d'un utilisateur, et non au compte Google de cet utilisateur.
Vous pouvez également accorder des autorisations d'administration à d'autres comptes Windows existants. Ces comptes peuvent être liés à un appareil localement, ou être des utilisateurs et groupes Microsoft Active Directory, même s'ils ne sont pas encore connectés à l'appareil.
Avant de commencer
Pour que vous puissiez accorder des autorisations d'administration locales, l'appareil doit être géré par le service de gestion des appareils Windows.
Définir les autorisations d'administration
Avant de commencer : Si vous devez configurer un service ou une équipe pour ce paramètre, consultez Ajouter une unité organisationnelle.
Ce paramètre vous permet de gérer l'accès administrateur local pour les utilisateurs du fournisseur d'informations d'identification Google pour Windows (GCPW). Un utilisateur GCPW peut être un utilisateur standard ou un administrateur local.
Pour appliquer ces paramètres d'autorisation, le système utilise le fournisseur de services de configuration (CSP) Microsoft LocalUsersAndGroups lors de l'événement de synchronisation de l'appareil. Lorsque l'option Gérer l'accès administrateur local aux appareils est activée dans la console d'administration Google, le CSP traite la configuration pour accorder des droits d'administrateur locaux aux utilisateurs GCPW et aux utilisateurs, groupes ou utilisateurs Windows locaux Active Directory existants inclus dans le champ Comptes avec accès administrateur local.
-
Dans la console d'administration Google, accédez à Menu
Appareils Mobiles et points de terminaison Paramètres Windows. Le droit d'administrateur Services et appareils est requis.
- Cliquez sur Paramètres du compte.
- Facultatif : Pour appliquer le paramètre à un service interne ou à une équipe, sélectionnez une unité organisationnelle sur le côté.
- Dans la section Value (Valeur), sélectionnez Enabled (Activé).
Définissez les autorisations de compte pour les utilisateurs GCPW :
- Pour attribuer aux utilisateurs des comptes standards sans autorisations d'administration, sélectionnez Utilisateur avec accès standard dans Type de compte utilisateur.
Pour attribuer aux utilisateurs des autorisations d'administration locales, sélectionnez Administrateur local dans Type de compte utilisateur.
Limitation Windows : les utilisateurs GCPW sont ajoutés au groupe d'administrateurs après leur première connexion et la synchronisation de leur appareil. Toutefois, le paramètre de leurs autorisations de compte ne prend effet qu'après leur prochaine connexion.
Facultatif : Pour accorder des droits d'administrateur locaux aux utilisateurs, groupes ou comptes utilisateur Windows locaux Active Directory existants, ajoutez-les dans le champ Comptes avec accès administrateur local. Utilisez les formats suivants, en séparant les valeurs par des virgules :
- Utilisateurs Active Directory : VotreDomaine\utilisateur (par exemple, VotreDomaine\jdupont)
- Groupes Active Directory : VotreDomaine\groupe (par exemple, VotreDomaine\jdupont, VotreDomaine\Win11admins)
- Utilisateurs locaux : nom d'utilisateur (par exemple, lrayes, VotreDomaine\jdupont, rnguyen, VotreDomaine\Win11admins, hcampbell, bkwan)
Si vous fournissez un nom de compte qui n'existe pas, aucun nouveau compte n'est créé sur l'appareil. Les comptes inexistants sont ignorés, et les comptes valides restants sont traités. La suppression de noms d'utilisateurs ou de groupes du champ Comptes avec accès administrateur local ne les supprime pas du groupe d'administrateurs locaux. Toutefois, les noms supprimés ne sont pas ajoutés lors des futures synchronisations de l'appareil.
Important : Nous vous recommandons de ne pas utiliser le champ Comptes avec accès administrateur local. Ce champ n'existe qu'à des fins historiques et il est peu probable que vous en ayez besoin.
-
Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.
Pour rétablir la valeur héritée ultérieurement, cliquez sur Hériter.
Dépannage
Si les paramètres d'administration ne sont pas appliqués comme prévu, vous pouvez consulter les journaux d'événements de gestion des appareils sur l'appareil Windows pour obtenir des informations de diagnostic détaillées.
Pour afficher les journaux d'événements de gestion des appareils :
- Sur l'appareil cible, ouvrez l'observateur d'événements. Pour le trouver, recherchez-le dans le menu Démarrer de Windows.
- Accédez à Journaux des applications et des services Microsoft
Windows
DeviceManagement-Enterprise-Diagnostics-Provider
Administration.
- Consultez les événements liés au CSP LocalUsersAndGroups.
Exemples de journaux :
MDM PolicyManager: Set policy string, Policy: (Configure), Area:
(LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current
User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target
Group>"<group action="U" /><add
member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment
Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names
and security IDs was done.
Article associé
Présentation : Sécurité renforcée des ordinateurs de bureau pour Windows
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.