Microsoft a dévoilé Zero Trust DNS, appelé aussi ZTDNS, une nouvelle fonctionnalité destinée à renforcer la sécurité des réseaux grâce au DNS. Elle être intégrée à Windows par la suite. Faisons le point sur cette annonce.
Microsoft veut renforcer l'implémentation et l'utilisation de DNS dans Windows pour qu'il puisse s'aligner sur le modèle de sécurité Zero Trust. Modèle qui implique d'authentifier et de vérifier l'activité du réseau, que ce soit sur le périmètre interne ou externe. Avec Zero Trust DNS, Microsoft veut lutter contre les abus du protocole DNS et offrir une meilleure protection contre les cybermenaces.
ZTDNS va intégrer Windows 11
"ZTDNS sera utile à tout administrateur qui tente d'utiliser les noms de domaine comme identifiant fort du trafic sur le réseau.", précise Microsoft dans son article. Au sein de Windows, ZTDNS va intégrer le client DNS du système d'exploitation ainsi que la plateforme de filtrage Windows (WFP).
Dans la pratique, l'objectif étant de forcer la machine Windows 11 à communiquer uniquement avec des serveurs DNS approuvés et sécurisés, via l'utilisation du DNS-over-HTTPS (DoH) ou DNS-over-TLS (DoT). Ceci permet de s'assurer que les échanges DNS entre la machine et le serveur DNS sont chiffrés.
De plus, la machine ne pourra pas communiquer avec un autre serveur DNS : "Windows bloque tout le trafic IPv4 et IPv6 sortant, à l'exception des connexions aux serveurs DNSainsi que du trafic DHCP, DHCPv6 et NDP nécessaire pour découvrir les informations de connectivité du réseau.", peut-on lire.
La requête DNS sert de validation pour autoriser ou non l'accès à un hôte. ZTDNS permettra de bloquer les flux suspects ou inhabituels. "Lorsque des applications et des services tentent d'envoyer du trafic IPv4 ou IPv6 à une adresse IP qui n'a pas été apprise par ZTDNS (et qui ne figure pas sur la liste des exceptions manuelles), le trafic est bloqué.", précise Microsoft.
Source : Microsoft
Une sélection stricte de serveurs DNS
La liste de "Protective DNS servers", c'est-à-dire de serveurs DNS protégés et de confiance, pourra uniquement contenir des serveurs DNS compatibles DoH ou DoT. Pour mettre au point son mécanisme de sécurité ZTDNS, Microsoft s'est appuyé sur des protocoles existants tout en veillant à l'interopérabilité.
À ce sujet, il est précisé : "Dans tous les cas, le ZTDNS n'introduit pas de nouveaux protocoles de réseau, ce qui en fait une approche interopérable prometteuse pour le verrouillage basé sur les noms de domaine. - Microsoft évoque Windows 11 sur ses différents schémas, mais pour le moment, une éventuelle prise en charge par Windows 10 ou par Windows Server n'est pas évoquée.
Dès à présent, Zero Trust DNS est accessible à certaines personnes dans le cadre d'une préversion privée. Par la suite, Zero Trust DNS devrait être disponible pour les membres du programme Windows Insiders. Pour approfondir le sujet, vous pouvez lire cet article.
Dans ce tutoriel, nous allons apprendre à déployer la suite Microsoft 365 Apps sur des appareils Windows 10 et Windows 11 à l'aide de la solution Intune. Ceci va permettre d'installer les applications de la suite Office sur les machines des utilisateurs : Word, Outlook, Excel, PowerPoint, Access, etc... Et même Visio et Project, si vous avez besoin et que vous disposez des abonnements adaptés.
Nous allons voir que Microsoft a tout prévu pour faciliter le déploiement de la suite Microsoft 365 Apps à partir d'Intune. Vous n'aurez qu'à vous laisser guider par ce tutoriel pour atteindre votre objectif final : automatiser le déploiement des applications Office sur vos PC Windows.
D'autres articles sur le sujet du déploiement d'applications avec Intune sont disponibles sur notre site :
Commençons par évoquer les prérequis nécessaires pour suivre ce tutoriel.
Système d'exploitation des appareils Windows : Windows 10 version 1703 (ou supérieure) ou Windows 11
Des abonnements Microsoft 365 avec les applications Microsoft 365 Apps intégrées : Business Standard, Business Premium, E3, E5, etc.
Des appareils inscrits dans Entra ID et Intune : Join et Hybrid Join
Plusieurs déploiements Microsoft 365 Apps ne sont pas pris en charge. Un seul déploiement sera distribué à l’appareil (donc attention à l'affectation de la stratégie, notamment si vous créez plusieurs stratégies pour cette même application).
Bien entendu, vous devez aussi disposer d'une licence Microsoft Intune : le "Plan 1" de base sera suffisant.
III. Déployer les applications Microsoft 365 Apps avec Intune
Commencez par vous connecter au Centre d'administration Microsoft Intune.
Une fois connecté au portail Intune, suivez ce chemin :
1 - Cliquez sur "Applications" sur la gauche puis sur "Windows".
2 - Cliquez sur le bouton "Ajouter".
3 - Choisissez la valeur "Windows 10 et ultérieur" sous "Applications Microsoft 365" car Microsoft a créé un type d'application spécifique pour faciliter le déploiement de Microsoft 365 Apps.
Cliquez sur le bouton "Sélectionner" pour valider.
Un assistant s'exécute. Il va vous permettre de personnaliser le déploiement de la suite Microsoft 365 Apps. Vous devez commencer par définir les informations globales sur l'application. J'attire votre attention sur ces options :
Nom de la suite : vous pouvez corriger la valeur afin d'indiquer "Microsoft 365 Apps pour Windows".
Catégorie : choisissez la catégorie que vous souhaitez, même si "Productivité" qui est présélectionné me semble adapté.
Afficher ceci en tant qu'application à la une dans le Portail d'entreprise : choisissez "Oui" si vous désirez que cette application soit visible dans l'application Portail d'entreprise (voir ce tutoriel à ce sujet), ce qui sera utile si vous voulez mettre à disposition cette application en libre-service.
Cliquez sur "Suivant". Éventuellement, vous pouvez modifier les autres valeurs, selon vos besoins.
L'étape "Configurer la suite d'applications" se présente à vous. Vous avez le choix entre deux formats pour les paramètres de configuration :
Concepteur de configuration : utiliser les paramètres de configuration proposés par l'interface Intune, c'est ce que nous allons faire.
Entrer des données XML : ceci permet d'avoir une zone de saisie dans laquelle vous pouvez coller le code XML obtenu à l'aide de l'outil "Office Deployment Tool (ODT)", afin de personnaliser la configuration d'Office.
Le fait de choisir "Concepteur de configuration" donne accès à différentes options. Tout d'abord, nous pouvons choisir les applications Office que nous souhaitons installer. Dans cet exemple, seules 5 applications seront installées : Excel, Outlook, PowerPoint, Teams et Word. Via l'option "Sélectionner d'autres applications Office (licence obligatoire)", vous pouvez ajouter Visio et/ou Project, en supplément.
Puis, nous devons sélectionner le type d'architecture, ici "64 bits" sera sélectionné. Aujourd'hui, la quasi-majorité des machines utilisent une architecture 64 bits. De plus, vous devez choisir :
Le format de fichier par défaut : le format "Office Open XML Format" correspond au format officiel de la suite Office.
Canal de mise à jour : permet d'indiquer sur quel canal de mise à jour, vous souhaitez "vous brancher" pour recevoir les mises à jour. Pour la production, je vous recommande : "Canal d'entreprise mensuel" ou "Canal Entreprise semi-annuel". Dans les deux cas, vous bénéficiez chaque mois des correctifs pour la sécurité et la résolution de bugs. Avec le "Canal d'entreprise mensuel", vous avez accès aux nouvelles fonctionnalités tous les mois, tandis qu'avec le "Canal Entreprise semi-annuel", vous avez accès aux nouvelles fonctionnalités deux fois par an (tous les 6 mois, environ).
En complément, voici d'autres options à configurer :
Supprimer les autres versions : sélectionnez "Oui" pour que les autres versions de Microsoft Office soient automatiquement supprimées.
Version à installer / version spécifique : vous pouvez sélectionner une version spécifique à installer, ou tout simplement déployer la dernière en date (vis-à-vis du canal sélectionné).
Utiliser l'activation de l'ordinateur partagé : ceci est utile lorsque plusieurs utilisateurs utilisent le même ordinateur, afin d'éviter qu'une activation soit décomptée sur le compte de l'utilisateur (voir cet article pour cette notion : Microsoft Office - Shared computers). Sélectionnez "Non", sauf si vous avez un besoin spécifique.
Accepter les termes du contrat de licence.... : choisissez "Oui" pour ne pas être perturbé par cette étape lors du premier lancement d'une application Office.
Langues : par défaut, Office va se caler sur la langue du système, mais vous pouvez ajouter un ou plusieurs langues supplémentaires si vous le souhaitez.
Quand c'est bon pour vous, poursuivez.
L'étape "Affectations" se présente à l'écran. Il s'agit de l'étape habituelle pour affecter la stratégie à un ou plusieurs groupes. Ici, l'application Microsoft 365 Apps sera obligatoire pour les appareils membres du groupe "PC_Windows" donc elle sera installée automatiquement.
Poursuivez, vérifiez votre configuration et validez la création de la stratégie.
IV. Tester sur un appareil
Désormais, la stratégie doit être testée sur un appareil qui rentre dans le périmètre de celle-ci. Après synchronisation, la suite Microsoft 365 Apps est correctement déployée par l'intermédiaire du composant Intune Management Extension.
Les applications ne seront pas épinglées dans le menu Démarrer, mais elles sont visibles dans la liste de toutes les applications.
En parallèle, le déploiement de l'application peut être suivi à l'aide du portail Intune.
V. Conclusion
En suivant ce tutoriel pas à pas, vous devriez être en mesure de déployer la suite Microsoft 365 Apps sur vos appareils Windows ! Microsoft a fait le nécessaire pour rendre le déploiement des applications Microsoft Office relativement simplement, et nous n'allons pas nous plaindre.
Pour obtenir des informations supplémentaires et prendre connaissances des "problèmes connus" relatifs à ce déploiement, consultez la documentation de Microsoft :
The latest Steam hardware survey and Statcounter figures shows that gamers upgrade to Windows 11 at a much higher rate than non-gamers. I took an educated guess as to why.
Les mises à jour d'avril 2024 pour les systèmes d'exploitation Windows peuvent « casser » les connexions VPN ! Microsoft a confirmé l'existence de ce problème ! Voici ce qu'il faut savoir.
Sur le site de Microsoft, un nouveau problème, intitulé "Les connexions VPN peuvent échouer après l'installation de la mise à jour de sécurité April 2024", a fait son apparition. Microsoft a pris connaissance de ce problème après avoir reçu de nombreux signalements de la part des utilisateurs de Windows. L'entreprise américaine ne donne pas plus de précision, ni même un code d'erreur.
Ce problème affecte aussi bien Windows que Windows Server. Il est lié aux mises à jour publiées par Microsoft le 9 avril dernier, à l'occasion du Patch Tuesday d'avril 2024. Voici un récapitulatif des systèmes impactés et des mises à jour à l'origine du problème :
Pour le moment, Microsoft ne propose pas de correctif : "Nous travaillons à une solution et fournirons une mise à jour dans une prochaine version.", peut-on lire. Des investigations sont en cours et la seule solution temporaire disponible pour les utilisateurs, c'est de désinstaller la mise à jour problématique. Disons que c'est un peu la solution par défaut.
Ce n'est pas la première fois que la fonction VPN de Windows est impactée par une mise à jour. En janvier 2022, une mise à jour pour Windows 10 et Windows 11 était déjà l'origine d'un dysfonctionnement sur le VPN. En effet, à la suite de l'installation de la mise à jour, les connexions VPN L2TP étaient inutilisables.
Vous rencontrez ce problème ? N'hésitez pas à nous le dire en commentant cet article !
Microsoft Edge includes a new "Rewrite with Copilot" feature that appears when selecting text in a text box, but if you don't find it useful, you can disable it with these steps.
Windows 11 LTSC is a variant edition of the operating system available with a volume license for mission-critical setups. In this guide, I will explain more about this release.
Start11 is a third-party Start menu that supports several themes and customization options. It also lacks ads, which differentiates it from the default Start menu Microsoft ships with Windows 11. Right now, you can get Start11 at a discount.
On Windows 11, if the touchpad is not working, you can perform basic troubleshooting steps, check the device configuration, or fix driver and updates issues, and in this guide, I will show you how.
The latest optional update for Windows 11 will place ads in the Recommended section of the Start menu. Microsoft received negative feedback about its plans but moved forward with the change.
Le menu Démarrer de Windows 11 va accueillir des publicités pour mettre en avant des applications tierces. Ce changement est imminent, car il vient d'être ajouté par la mise à jour optionnelle d'avril 2024 : KB5036980. Faisons le point.
Après l'installation de la mise à jour KB5036980 sur Windows 11 23H2, le système passe sur la Build 22631.3527. Par ailleurs, si vous installez la même mise à jour sur Windows 11 22H2, le système passera sur la Build 22621.3527.
Le menu Démarrer de Windows 11 ne va pas lister uniquement vos documents et vos applications, il va aussi lister des applications tierces mises en avant par Microsoft. Il s'agit de publicités intégrées directement au menu Démarrer pour promouvoir les applications des entreprises ayant payé Microsoft pour cela. Par exemple, il y aura des publicités pour le navigateur Opera et 1Password Manager.
Source : WindowsLatest
Peut-on éviter ce changement ?
Si vous n'installez pas la mise à jour KB5036980 sur votre PC, vous ne verrez pas de publicités dans le menu Démarrer de Windows 11. Enfin, pour le moment, car cette mise à jour donne un aperçu des changements à venir le mardi 14 mai 2024. Date à laquelle Microsoft va dévoiler son nouveau Patch Tuesday et publier les nouvelles mises à jour cumulatives mensuelles, qui elles sont obligatoires (et recommandées).
Ce changement était attendu, car Microsoft l'a déjà évoqué, mais il semble être déployé plus tôt que prévu. En effet, Microsoft devait activer l'affichage des publicités sur Windows 11 à partir de la fin du mois de mai (avec une mise à jour optionnelle), afin de les activer pour tout le monde avec la mise à jour cumulative de juin 2024. Microsoft a visiblement pris un mois d'avance sur son planning initial.
Néanmoins, bien que cette fonctionnalité soit activée par défaut, elle peut être désactivée dans les paramètres du système. Il conviendra de désactiver l'option nommée "Afficher des recommandations pour les conseils, les raccourcis, les nouvelles applications, etc." présente dans : Paramètres, Personnalisation, Démarrer.
Got yourself a new Windows on Arm PC? Now it's time to get to work with your favorite apps! Windows on Arm PCs can run most apps, but some apps will run better than others depending on whether they've been compiled natively for Windows on Arm.
On Windows 11, if a window appears off the screen, you can use the Task View UI or keyboard shortcut to drag it back to the screen, and in this guide, I will show you how.
Dans ce tutoriel, nous allons apprendre à gérer le groupe "Administrateurs" local des appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune. Ceci s'avère particulièrement utile pour ajouter un utilisateur ou un groupe Entra ID (Azure AD) en tant qu'administrateur d'un ensemble d'appareils.
Le groupe "Administrateurs" présent sur chaque machine Windows est particulièrement sensible, car tous les membres de ce groupe peuvent administrer l'ordinateur : installation d'applications, modification des paramètres du système, etc... De ce fait, il est important de gérer les membres de ce groupe afin d'en garder la maitrise et la gestion centralisée par une stratégie permet d'avoir une configuration homogène.
Il me semble important de vous présenter la configuration cible présentée dans ce tutoriel, car les possibilités sont nombreuses ! En effet, vous verrez que vous avez l'opportunité d'ajouter des membres au groupe "Administrateurs" sans toucher aux membres déjà présents, ou à l'inverse de le purger pour ajouter les membres présents dans la stratégie Intune que nous allons créer.
En ce qui me concerne, voici la configuration que je souhaite déployer :
Nous allons créer un groupe de sécurité nommé "Admins_PC" dans Entra afin que tous les membres de ce groupe soient en mesure d'administrer les appareils Windows 10 et Windows 11 de notre parc informatique.
De plus, nous souhaitons supprimer tous les membres présents dans le groupe "Administrateurs", sauf les utilisateurs locaux nommés "adm_itconnect" et "Administrateur" (qui lui est désactivé par une autre stratégie et ne peut pas être retiré aussi simplement de ce groupe). L'utilisateur "adm_itconnect" quant à lui est géré par Windows LAPS.
Vous allez me dire : pourquoi supprimer les membres déjà présents du groupe "Administrateurs" ? Tout simplement, car je souhaite entièrement maîtriser les membres de ce groupe et je ne souhaite pas que le propriétaire de l'appareil, qui est un utilisateur lambda, soit Administrateur local de la machine.
III. Le propriétaire de l'appareil est administrateur local
Lorsqu'un appareil est joint Entra ID par un utilisateur, ce dernier devient automatiquement administrateur local de la machine Windows. La configuration que nous allons effectuer aujourd'hui va permettre de l'exclure ou de le conserver, en fonction des valeurs associées aux paramètres.
Récemment, Microsoft a introduit deux nouveaux paramètres dans la section "Paramètres de l'appareil" accessible via le portail Microsoft Entra puis "Appareils".
Le rôle Administrateur général est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)
Ce paramètre permet d'indiquer si oui ou non, un Administrateur général du tenant doit être ajouté en tant qu'administrateur local d'un appareil au moment de la jonction à Microsoft Entra ID. Tout dépend de vos besoins et votre façon de gérer votre SI, mais pour des raisons de sécurité et dans l'objectif de cloisonner les rôles, il est préférable qu'un Administrateur général ne soit pas également administrateur des appareils. Cette option offre plus de contrôle, même si ce n'est pas rétroactif pour les appareils déjà inscrits.
L’utilisateur qui inscrit son appareil est ajouté en tant qu’administrateur local sur l’appareil lors de la jointure Microsoft Entra (préversion)
Ce paramètre permet d'indiquer si oui ou non, l'utilisateur à l'origine de l'inscription de l'appareil doit être ajouté en tant qu'administrateur local sur cet appareil, au moment de la jonction à Microsoft Entra ID. Ceci n'est pas rétroactif pour les appareils déjà inscrits, mais au moins, cela vous permet de faire votre choix pour l'avenir.
Voici un aperçu de ces deux paramètres :
IV. Gérer les administrateurs des appareils : deux solutions
Avant de commencer, sachez que les utilisateurs avec le rôle "Administrateur général" pourront administrer les appareils, et que vous pouvez gérer le groupe "Administrateurs" local de deux façons :
Avec l'attribution du rôle "Administrateur local de l’appareil joint Microsoft Entra" d'Entra
Cette méthode peut s'avérer pratique, mais elle n'est pas flexible : les membres de ce groupe seront administrateurs de tous les appareils.
Avec une stratégie de sécurité Intune
Cette méthode, que nous allons mettre en place, offre plus de flexibilité, car nous pouvons cibler uniquement un ensemble d'appareils (affectation par groupe) ou tous les appareils.
V. Préparer le groupe de sécurité Entra ID
À partir du portail Microsoft Entra, nous allons créer un groupe de sécurité. Cliquez sur "Tous les groupes" sous "Groupes" puis cliquez sur "Nouveau groupe". Ce groupe de sécurité s'appellera "Admins_PC" et il aura un membre : l'utilisateur qui doit être administrateur local des appareils.
Remarque : si vous avez besoin de gérer le groupe "Administrateurs" local de machines jointes dans Entra ID (Azure AD) mais aussi pour des machines "hybrides", vous devez configurer deux stratégies distinctes. Ceci permettra d'éviter certaines erreurs d'application de la stratégie.
Cliquez sur la gauche sur "Sécurité du point de terminaison" (1), puis sur "Protection de compte" (2) afin de pouvoir "Créer une stratégie" (3). C'est également de cette façon que l'on peut définir une stratégie pour Windows LAPS.
Choisissez la plateforme "Windows 10 et ultérieur", puis sélectionnez le profil "Modifier l'appartenance du groupe de l'utilisateur".
Commencez par ajouter un nom et une description à cette stratégie. Dans cet exemple, la stratégie est nommée "Ajouter le groupe Admins_PC en administrateur local". Passez à l'étape suivante.
L'étape "Paramètres de configuration" va nous permettre de gérer les membres du groupe Administrateurs, mais pas seulement ! En effet, nous pouvons voir qu'Intune offre la possibilité de gérer également d'autres groupes prédéfinis : Utilisateurs, Invités, Utilisateurs du Bureau à distance, etc...
Nous allons simplement sélectionner "Administrateurs" pour répondre à notre besoin.
Ensuite, nous devons configurer d'autres paramètres :
Action du groupe et de l'utilisateur : quelle stratégie adopter pour gérer le compte administrateur, notamment vis-à-vis des objets déjà membres de ce groupe. Trois choix sont proposés :
Ajouter (mettre à jour) : ajouter de nouveaux membres, tout en conservant la liste actuelle des membres (donc on conserve l'existant)
Supprimer (mettre à jour) : supprimer les membres spécifiés, tout en conservant les autres membres (utile pour faire du tri)
Ajouter (remplacer) : supprimer les membres actuels et ajouter ceux définis dans cette stratégie
Type de sélection de l'utilisateur :
Utilisateurs/groupes : sélectionner des utilisateurs et/ou groupes à partir d'Entra ID
Manuel : ajouter des utilisateurs en spécifiant le nom (avec éventuellement le domaine Active Directory en préfixe) ou le SID
Utilisateurs/groupes sélectionnés : choisir les objets à ajouter en tant que membre du groupe Administrateurs
Nous allons choisir "Ajouter (remplacer)" pour ajouter le groupe "Admins_PC" en tant que nouveau membre du groupe "Administrateurs", tout en supprimant l'existant.
Ensuite, nous devons choisir "Manuel" comme "Type de sélection de l'utilisateur" afin de pouvoir spécifier à la fois le groupe "Admins_PC" d'Entra par l'intermédiaire de son SID et les utilisateurs locaux.
Pour récupérer le SID du groupe "Admins_PC", vous pouvez utiliser cet outil en ligne ou ce script PowerShell afin de convertir l'ObjectID en SID. À partir du portail Entra, récupérez la valeur de "ID d'objet" et collez cette valeur sur la page de l'outil afin d'obtenir le SID. Vu que nous sommes en mode manuel, nous sommes contraint d'utiliser cette méthode.
Note : si vous désirez faire un ajout d'un groupe sans écraser l'existant, vous pouvez rester sur "Utilisateurs/groupes" et cliquer sur "Sélectionner des utilisateurs/groupes" pour sélectionner directement le groupe dans Entra ID.
Voici la configuration obtenue. Attention, n'ajoutez pas plusieurs instructions "Ajouter (remplacer)" pour le même groupe local, sinon la seconde règle écrasera la première règle.
Nous pouvons continuer... Jusqu'à l'étape n°4.
Vous devez choisir à quels appareils affecter cette stratégie, en fonction de vos besoins. Sélectionnez un ou plusieurs groupes d'appareils, ou utilisez l'option "Ajouter tous les appareils".
Poursuivez jusqu'à la fin dans le but de créer la stratégie. La stratégie est prête !
VII. Tester la stratégie Intune
La prochaine étape consiste à tester cette stratégie Intune sur un appareil. Voici l'état actuel de la machine Windows 11 utilisée pour faire le test, c'est-à-dire avant application de notre nouvelle stratégie de protection de compte.
Après avoir synchronisé l'appareil, nous pouvons voir qu'il a bien récupéré une stratégie "LocalUsersAndGroups", ce qui est plutôt bon signe.
Pour vérifier la liste des membres du groupe "Administrateurs", il suffit d'accéder à la console "Gestion de l'ordinateur" (comme dans l'exemple ci-dessous).
Ici, nous remarquons plusieurs valeurs, notamment deux comptes locaux : "adm_itconnect" et "Administrateurs". En plus, nous avons un SID qui est présent et la traduction avec le nom n'est pas effectuée. Toutefois, il faut savoir que tout SID que vous voyez dans le groupe "Administrateurs" commençant par "S-1-12-1" correspond à un groupe Entra ID (Azure AD).
Pour faire la correspondance entre ce SID et les groupes dans Entra ID, nous pouvons utiliser ce script PowerShell (ou ce site).
Si nous prenons l'exemple du script, il suffit d'indiquer le SID comme valeur de la variable "$sid" située à la fin du script. Par exemple :
Puis, il faut exécuter la fonction PowerShell pour obtenir le "GUID" (ObjectId) du groupe :
Guid
----
768a3b68-b5b5-462a-88fc-c41938db68ae
Ainsi, dans le portail Entra, nous pouvons voir que cet ID correspond bien au groupe "Admins_PC". Vous pouvez copier-coller l'objectID dans la zone de recherche pour gagner du temps !
Nous pouvons en conclure que la configuration fonctionne ! Tous les utilisateurs membres du groupe "Admins_PC" seront administrateurs des appareils.
VIII. Conclusion
Grâce à ce tutoriel, vous pouvez gérer les membres du groupe "Administrateurs" de vos appareils Windows 10 et Windows 11 à l'aide d'une stratégie Intune relativement simple à mettre en place ! Cette stratégie peut être utilisée avec des appareils "Joined", mais aussi en environnement hybride lorsque les appareils sont inscrits en "Hybrid Joined".
Pour aller plus loin, vous pouvez configurer Windows LAPS pour sécuriser le compte Administrateur local :
Connexion
