Définir les droits d'accès du compte sur les appareils Windows 10 ou 11

Éditions compatibles avec cette fonctionnalité : Frontline Starter, Frontline Standard et Frontline Plus ; Business Plus ; Enterprise Standard et Enterprise Plus ; Education Standard, Education Plus et Endpoint Education Upgrade ; Enterprise Essentials et Enterprise Essentials Plus ; Cloud Identity Premium.  Comparer votre édition

En tant qu'administrateur, vous pouvez modifier le paramètre du niveau d'autorisation d'un utilisateur sur ses appareils Microsoft Windows 10 ou 11. Vous pouvez par exemple lui accorder un contrôle limité ou un accès complet. Ce niveau d'autorisation est accordé au compte Windows associé au compte Google d'un utilisateur, et non au compte Google de cet utilisateur.

Vous pouvez également accorder des droits d'administrateur à d'autres comptes Windows existants. Ces comptes peuvent être liés à un appareil localement, ou être des utilisateurs et groupes Microsoft Active Directory, même s'ils ne sont pas encore connectés à l'appareil.

Avant de commencer

Pour que vous puissiez accorder des droits d'administrateur locaux, l'appareil doit être géré par le service de gestion des appareils Windows.

Définir les droits d'administrateur

Avant de commencer : Si vous devez configurer un service ou une équipe pour ce paramètre, consultez Ajouter une unité organisationnelle.

Ce paramètre vous permet de gérer l'accès Administrateur local pour les utilisateurs du fournisseur d'informations d'identification Google pour Windows (GCPW). Un utilisateur GCPW peut être un utilisateur standard ou un administrateur local.

Pour appliquer ces paramètres de droits, le système utilise le fournisseur de services de configuration (CSP) Microsoft LocalUsersAndGroups lors de l'événement de synchronisation de l'appareil. Lorsque l'option Gérer l'accès Administrateur local aux appareils est activée dans la console d'administration Google, le CSP traite la configuration pour accorder des droits d'administrateur locaux aux utilisateurs GCPW, ainsi qu'aux utilisateurs, groupes ou utilisateurs Windows locaux Active Directory existants inclus dans le champ Comptes avec accès Administrateur local.

1. Dans la console d'administration Google, accédez à Menu Appareils Mobiles et points de terminaison Paramètres Windows.

   Accéder à Windows

   Le droit d'administrateur Services et appareils est requis.

2. Cliquez sur Paramètres du compte.
3. Facultatif : Pour appliquer le paramètre à un service interne ou à une équipe, sélectionnez une unité organisationnelle sur le côté.
4. Dans la section Value (Valeur), sélectionnez Enabled (Activé).

5. Définissez les droits d'accès pour les utilisateurs GCPW :

   • Pour attribuer aux utilisateurs des comptes standards sans droits d'administrateur, sélectionnez Utilisateur avec accès standard dans Type de compte utilisateur.

   • Pour attribuer aux utilisateurs des droits d'administrateur locaux, sélectionnez Administrateur local dans Type de compte utilisateur.

     Limitation Windows : les utilisateurs GCPW sont ajoutés au groupe des administrateurs après leur première connexion et la synchronisation de leur appareil. Toutefois, le paramètre de leurs droits d'accès ne prend effet qu'à leur prochaine connexion.

6. Facultatif : Pour accorder des droits d'administrateur locaux à des utilisateurs, groupes ou comptes utilisateur Windows locaux Active Directory existants, ajoutez-les dans le champ Comptes avec accès Administrateur local. Utilisez les formats suivants, en séparant les différentes valeurs par des virgules :

   • Utilisateurs Active Directory : VotreDomaine\utilisateur (par exemple, VotreDomaine\jdupont)
   • Groupes Active Directory : VotreDomaine\groupe (par exemple, VotreDomaine\jdupont, VotreDomaine\Win11admins)
   • Utilisateurs locaux : nom-utilisateur (par exemple, lrayes, VotreDomaine\jdupont, rnguyen, VotreDomaine\Win11admins, hcampbell, bkwan)

   Si vous fournissez un nom de compte qui n'existe pas, aucun nouveau compte n'est créé sur l'appareil. Les comptes inexistants sont ignorés, et les comptes valides restants sont traités. La suppression de noms d'utilisateurs ou de groupes du champ Comptes avec accès Administrateur local ne les supprime pas du groupe Administrateur local. Toutefois, les noms supprimés ne sont pas ajoutés lors des futures synchronisations de l'appareil.

   Important : Nous vous recommandons de ne pas utiliser le champ Comptes avec accès Administrateur local. Ce champ n'existe qu'à des fins historiques et n'est probablement pas nécessaire.

7. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.

   Pour rétablir la valeur héritée ultérieurement, cliquez sur Hériter.

Dépannage

Si les paramètres d'administration ne sont pas appliqués comme prévu, vous pouvez consulter les journaux d'événements de gestion des appareils sur l'appareil Windows pour obtenir des informations de diagnostic détaillées.

Pour afficher les journaux d'événements de gestion des appareils :

1. Sur l'appareil cible, ouvrez l'observateur d'événements. Pour le trouver, recherchez-le dans le menu Démarrer de Windows.
2. Accédez à Journaux des applications et des services Microsoft Windows DeviceManagement-Enterprise-Diagnostics-Provider Administration.
3. Consultez les événements liés au CSP LocalUsersAndGroups.

Exemples de journaux :

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Article associé

Présentation : Sécurité renforcée des ordinateurs de bureau pour Windows

Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.