Déployez et gérez les comptes d’administrateur local sur l’ensemble de votre flotte à partir d’une seule politique. Primo peut créer des sessions d’administration avec des mots de passe aléatoires ou fixes (stockés en toute sécurité dans la plate-forme), éventuellement réduire les privilèges d’autres comptes existants et vous permettre d’effectuer des opérations de compte précises au niveau de chaque appareil.
Prise en charge du système d’exploitation
| macOS | Windows | Linux | iOS / iPadOS | Android |
|---|
| ✅ | ✅ | | | |
Bientôt disponible : la possibilité de faciliter l’élévation des privilèges (en donnant un accès administrateur temporaire). En attendant, vous pouvez utiliser des outils comme Privileges et MakemeAdmin pour ces actions.
- Activez la fonctionnalité.
- Définissez le nom d’utilisateur de la session administrateur à créer.
- Définissez le mot de passe du compte :
- Mot de passe aléatoire : généré par appareil
- Mot de passe fixe : identique sur tous les appareils ciblés
- Choisissez si vous souhaitez ajuster les droits des utilisateurs existants :
- Par défaut : aucun changement
- Facultatif : réduire les privilèges pour les autres sessions
Emplacements de stockage des mots de passe
- Mot de passe aléatoire : stocké dans le panneau de chaque appareil — Équipement > Appareils > Panneau de l’appareil
- Mot de passe fixe : stocké dans les paramètres de fonctionnalité — Profils > Profil pertinent > Gestion du compte administrateur
Gérer les comptes au niveau de l’appareil
À partir de l’onglet Utilisateurs d’un appareil, vous pouvez :
- Accorder des droits d’administrateur
- Supprimer les droits d’administrateur
- Créer une session locale
- Faire pivoter le mot de passe d’une session existante
Ces actions permettent une gestion fine en complément de la politique globale basée sur les profils.
Modifier ou désactiver la politique
Après activation sur un profil, la politique ne peut pas être modifiée directement.
- Pour le mettre à jour, désactivez la stratégie, puis réactivez-la avec de nouveaux paramètres.
- La désactivation de la stratégie arrête son application mais ne supprime pas le compte administrateur ni son mot de passe, qui restent disponibles.
Sur macOS
Suppression de l’accès administrateur sur un appareil avec un jeton sécurisé actif
SecureToken est une fonctionnalité spécifique à macOS qui agit comme une clé d’accès, permettant à un compte utilisateur d’activer et de gérer des fonctions de sécurité critiques telles que le cryptage FileVault.
Actuellement, il n’est pas possible de supprimer les droits d’administrateur d’un compte si c’est le seul à disposer d’un SecureToken sur l’appareil. Nous travaillons à améliorer cette gestion pour permettre le transfert du SecureToken vers un autre compte, notamment celui administré via Primo.
Sur Windows
La stratégie crée un compte d’administrateur local et stocke le mot de passe. Les options de mot de passe (aléatoire ou fixe) et la réduction des privilèges pour les autres comptes fonctionnent de la même manière que sur macOS.
Cas particuliers
Appareils ciblés par plusieurs politiques de gestion de compte administrateur
Des duplications de stratégie peuvent survenir si vous activez la stratégie sur un profil global et sur un profil « spécifique ». Dans ce cas, Primo ne gère pas le conflit : le MDM tente de créer l’utilisateur demandé en vérifiant uniquement que le nom du compte n’est pas identique.
Meilleures pratiques
- Préférez les mots de passe aléatoires pour améliorer la sécurité à grande échelle.
- Documentez les exceptions macOS SecureToken dans les procédures informatiques internes.
- Évitez d’activer des stratégies en double sur des profils qui se chevauchent pour éviter les conflits.
