Contexte
Dans un environnement entreprise, la gestion des administrateurs locaux sur les postes Windows représente un enjeu important de sécurité.
Avec le temps, certains utilisateurs ou groupes peuvent être ajoutés localement au groupe
Administrateurs, volontairement ou non. Cela peut entraîner :
- des risques de sécurité
- des écarts de conformité
- des difficultés d’audit
Microsoft Intune permet aujourd’hui d’automatiser :
- la détection
- la correction
- le reporting
via les scripts de remédiation.
Vue Scripts and Remediation Intune
Cas d’usage réel
Dans certains environnements, les équipes IT utilisent Microsoft LAPS afin de fournir temporairement des privilèges administrateur locaux aux utilisateurs.
Cependant, un utilisateur possédant temporairement ces privilèges peut ajouter son propre compte Entra ID dans le groupe local Administrateurs :
net localgroup administrators AzureAD\[email protected] /addUne fois le mot de passe LAPS expiré ou renouvelé, le compte Entra ID reste membre du groupe Administrateurs, créant ainsi une élévation persistante non souhaitée.
L’objectif de cette remédiation est donc de :
- détecter les comptes Entra ID ajoutés localement
- supprimer automatiquement ces comptes
- conserver les comptes administrateurs légitimes (LAPS, Administrator, etc.)
Problématique
Sans supervision automatisée :
- les administrateurs locaux dérivent dans le temps
- les audits deviennent complexes
- le support IT perd en visibilité
L’objectif est donc :
- détecter les comptes non autorisés
- supprimer automatiquement les comptes non conformes
- centraliser la gestion via Intune
Prérequis
- Microsoft Intune configuré
- Licences compatibles Remediation Scripts
- Appareils Windows enrôlés
- Droits administrateur Intune
Principe de fonctionnement
Le mécanisme repose sur deux scripts Intune :
Script de détection
Le script analyse les membres du groupe local :
AdministratorsContrairement à une approche “liste blanche” globale, la logique retenue cible uniquement :
- les objets de type user
- provenant d’Entra ID (AzureAD\*)
Cela permet :
- de conserver les comptes LAPS
- de conserver les comptes locaux légitimes
- d’éviter les faux positifs
Si un compte Entra ID non autorisé est détecté :
- le script retourne un code différent de 0
- la remédiation est automatiquement déclenchée
Script de remédiation
Supprime automatiquement les comptes non autorisés.
Étape 1 – Créer le script de détection
Exemple :
$ErrorActionPreference = "Stop"
$AdministratorsGroupSid = "S-1-5-32-544"
$AdminsGroup = Get-LocalGroup | Where-Object {
$_.SID -eq $AdministratorsGroupSid
}
$Members = Get-LocalGroupMember -Group $AdminsGroup.Name
$UnauthorizedEntraUsers = $Members | Where-Object {
$_.ObjectClass -eq "User" -and
$_.Name -like "AzureAD\*"
}
if ($UnauthorizedEntraUsers) {
Write-Output "Unauthorized Entra user accounts found in local Administrators group:"
$UnauthorizedEntraUsers | ForEach-Object { Write-Output "- $($_.Name)"
}
exit 1
}
Write-Output "Compliant - No unauthorized Entra user accounts found."
exit 0Étape 2 – Créer le script de remédiation
Exemple :
$ErrorActionPreference = "Stop"
$AdministratorsGroupSid = "S-1-5-32-544"
$AdminsGroup = Get-LocalGroup | Where-Object {
$_.SID -eq $AdministratorsGroupSid
}
$Members = Get-LocalGroupMember -Group $AdminsGroup.Name
$UnauthorizedEntraUsers = $Members | Where-Object {
$_.ObjectClass -eq "User" -and
$_.Name -like "AzureAD\*"
}
foreach ($User in $UnauthorizedEntraUsers) {
Write-Output "Removing unauthorized Entra user from local Administrators group: $($User.Name)"
Remove-LocalGroupMember `
-Group $AdminsGroup.Name `
-Member $User.Name `
-ErrorAction Continue
}
Write-Output "Remediation completed."
exit 0
Les comptes non autorisés sont supprimés automatiquement.
Limitation importante – Session utilisateur active
La suppression du compte du groupe Administrateurs est appliquée immédiatement dans la configuration locale du poste.
Cependant, si l’utilisateur possède déjà une session ouverte, son jeton de sécurité Windows peut conserver les privilèges administrateur jusqu’à :
- une déconnexion/reconnexion
- ou un redémarrage du poste
La remédiation corrige donc la persistance du droit administrateur, mais ne coupe pas brutalement la session active de l’utilisateur.
Étape 3 – Déployer la remédiation
Dans Intune :
Devices → Scripts and remediationsConfigurer :
- fréquence d’exécution
- groupes ciblés
- contexte système
Exécution manuelle de la remédiation
En complément de l’exécution planifiée, Intune permet également de lancer manuellement une remédiation sur un poste spécifique.
Cette fonctionnalité est particulièrement utile pour :
- les phases de test
- le troubleshooting
- les validations rapides avant déploiement global
Depuis la fiche du device
Naviguer vers :
Devices → Windows → [Nom du poste]Puis :
… → Run remediation (preview)
Sélection du package de remédiation
Sélectionner ensuite le package souhaité puis lancer l’exécution :
WIN - Detect Unauthorized Local Administrators
Avantage de cette approche
Cela permet :
- d’accélérer les tests
- de valider immédiatement une correction
- d’éviter d’attendre le prochain cycle planifié
Vérification
Dans Intune :
- statut des devices
- nombre de détections
- remédiations exécutées
Vérification côté poste
Commande locale :
Get-LocalGroupMember -Group "Administrators"Vérifier que seuls les comptes autorisés restent présents.
Points d’attention – Troubleshooting
Les scripts de remédiation nécessitent certaines fonctionnalités Endpoint Analytics et peuvent demander un délai d’initialisation après activation dans un tenant récent.
Toujours tester sur un groupe pilote avant production.
Certains comptes locaux ou techniques doivent être conservés :
- comptes LAPS
- Administrator
- comptes break-glass
La remédiation ne doit pas supprimer les comptes administrateurs légitimes.
La suppression du compte ne révoque pas immédiatement les privilèges d’une session déjà ouverte.
Vérifier :
- l’exécution en contexte système
- la synchronisation Intune
Bonnes pratiques
- Maintenir une liste d’administrateurs autorisés
- Centraliser la gouvernance
- Utiliser des groupes Entra ID dédiés
- Journaliser les actions de remédiation
Conclusion
Les scripts de remédiation Intune permettent :
- d’automatiser le contrôle des administrateurs locaux
- de renforcer la sécurité des postes Windows
- de réduire les écarts de conformité
Une approche particulièrement utile dans les environnements Modern Workplace à grande échelle.
Auteur
Jonathan Duthil
Administrateur Modern Workplace
Expertise : Intune | Entra ID | Endpoint Security