Définir les droits d'accès du compte sur les appareils Windows 10 ou 11

Éditions compatibles avec cette fonctionnalité : Frontline Starter, Frontline Standard et Frontline Plus ; Business Plus ; Enterprise Standard et Enterprise Plus ; Education Standard, Education Plus et Endpoint Education Upgrade ; Enterprise Essentials et Enterprise Essentials Plus ; Cloud Identity Premium.  Comparer votre édition

En tant qu'administrateur, vous pouvez définir le niveau d'autorisation d'un utilisateur sur ses appareils Microsoft Windows 10 ou 11. Vous pouvez par exemple lui accorder un contrôle limité ou un accès complet. Ce niveau de privilège est accordé au compte Windows associé au compte Google d'un utilisateur, et non au compte Google de cet utilisateur.

Vous pouvez également accorder des droits d'administrateur à d'autres comptes Windows existants. Ces comptes peuvent être liés à un appareil localement, ou être des utilisateurs et groupes Active Directory, même s'ils ne sont pas encore connectés à l'appareil.

Avant de commencer

Pour que vous puissiez accorder des droits d'administrateur local, l'appareil doit être géré par le service de gestion des appareils Windows.

Définir des droits d'administrateur

Avant de commencer : Si vous devez configurer un service ou une équipe pour ce paramètre, consultez Ajouter une unité organisationnelle.

Ce paramètre vous aide à gérer l'accès administratif local pour les utilisateurs du fournisseur d'informations d'identification Google pour Windows (GCPW). Un utilisateur GCPW peut être un utilisateur standard ou un administrateur local.

Pour appliquer ces paramètres de privilèges, le système utilise le fournisseur de services de configuration (CSP) Microsoft LocalUsersAndGroups lors de l'événement de synchronisation de l'appareil. Lorsque l'option Gérer l'accès administrateur local aux appareils est activée dans la console d'administration Google, le CSP traite la configuration pour accorder des droits d'administrateur local aux utilisateurs GCPW et aux utilisateurs, groupes ou utilisateurs Windows locaux Active Directory existants spécifiés dans le champ Comptes disposant d'un accès administrateur local.

  1. Dans la console d'administration Google, accédez à Menu  puis Appareils puisMobiles et points de terminaison puisParamètres puisWindows

    Vous devez disposer du droit d'administrateur Services et appareils.

  2. Cliquez sur Paramètres du compte.
  3. (Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté.
  4. Sous Gérer l'accès administrateur local aux appareils, sélectionnez Activé dans la liste des éléments.

  5. Pour définir les droits d'accès des utilisateurs GCPW :

    • Pour Type de compte utilisateur, sélectionnez Utilisateur standard pour attribuer aux utilisateurs des comptes standards sans droits d'administrateur.

    • Pour Type de compte utilisateur, sélectionnez Administrateur local pour attribuer des droits d'administrateur locaux aux comptes utilisateur.

      Limitation Windows : les utilisateurs GCPW se voient accorder des droits d'administrateur local lors de leur deuxième connexion à l'appareil. Bien que la synchronisation de l'appareil après la première connexion de l'utilisateur l'ajoute au groupe des administrateurs, la modification ne devient active qu'à la connexion suivante.

  6. (Facultatif) Pour accorder des droits d'administrateur local aux utilisateurs Active Directory, aux groupes Active Directory ou aux comptes utilisateur Windows locaux existants, ajoutez-les dans le champ Comptes disposant d'un accès administrateur local. Utilisez les formats suivants et séparez les valeurs multiples par des virgules :

    • Utilisateurs Active Directory : VotreDomaine\utilisateur
    • Groupes Active Directory : VotreDomaine\groupe
    • Utilisateurs locaux : nom d'utilisateur

    Si vous fournissez un nom de compte qui n'existe pas, aucun compte ne sera créé sur l'appareil. Les comptes inexistants seront ignorés, et les comptes valides restants seront traités. Si vous supprimez des noms d'utilisateurs ou de groupes du champ, ils ne seront pas supprimés du groupe "Administrateurs locaux", mais ils ne seront pas ajoutés lors des prochaines synchronisations des appareils.

    Important : Nous vous recommandons de ne pas utiliser ce champ, qui existe pour assurer la continuité historique et qui est peu susceptible d'être nécessaire.

  7. Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour une unité organisationnelle.

    Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter.

Dépannage

Si les paramètres d'administration ne sont pas appliqués comme prévu, vous pouvez consulter les journaux d'événements de gestion des appareils sur l'appareil Windows pour obtenir des informations de diagnostic détaillées.

  1. Ouvrez la Visionneuse d'événements sur l'appareil cible en recherchant "Visionneuse d'événements" dans le menu Démarrer de Windows.
  2. Accédez à Journaux des applications et des services puisMicrosoft puisWindows puisDeviceManagement-Enterprise-Diagnostics-Provider puisAdministration.
  3. Examinez les événements liés au CSP LocalUsersAndGroups.

Exemples de journaux :

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Présentation : Sécurité renforcée des ordinateurs de bureau pour Windows


Google, Google Workspace, ainsi que les marques et logos associés sont des marques appartenant à Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.