Gestion des comptes administrateurs

The management of administrator accounts in Primo enables the creation of default administrator accounts across your fleet, allowing for global or granular control while maintaining existing user rights, with upcoming features to reduce user privileges and facilitate temporary administrative access.

2 minutes de lecture

Introduction

La gestion des comptes administrateurs dans Primo permet de créer des comptes (sessions) administrateurs par défaut sur les appareils de votre flotte.

Une fois activée, cette fonctionnalité permet de créer des comptes administrateurs de manière globale ou granulaire sur l'ensemble de votre flotte, en fonction de vos équipes et de vos profils.

Concrètement :

➡️ Une session administrateur est créée sur l’ordinateur avec le nom choisi

➡️ Le mot de passe est stocké dans le panel des appareils concernés

➡️ Les droits des utilisateurs existants ne sont pas modifiés

👉
Ça arrive bientôt : la possibilité de réduire les privilèges des utilisateurs et de faciliter l'escalade de privilèges (donner un accès administrateur temporaire).

Détail de la fonctionnalité

Cas de figure initial :

Mise en place de la politique :

  1. Activez cette fonctionnalité
  1. Définissez le nom d'utilisateur (nom de la session) pour le compte à créer
  1. Définissez le mot de passe du compte
    1. utilisez un mot de passe aléatoire* (1)
    1. utilisez un mot de passe fixe* (2)

*(1) Mot de passe aléatoire : les mots de passe sont stockés dans le panel de chaque appareil (Equipement > Appareils > Panel de chaque appareil).

*(2) Mot de passe fixe : le mot de passe est stocké dans la modale du réglage (Profils > Profil concerné > Gestion des comptes administrateurs)

Modification de la politique :

⚠️
Une fois activée sur un Profil, la politique n'est plus modifiable. Pour la modifier, il faut la désactiver puis la réactiver.

La désactivation de la politique arrête de forcer le fonctionnement sur les machines concernées, mais ne la supprime pas. Le compte admin Primo et son mot de passe restent stockés dans Primo.

Cas spéciaux

Retirer l'accès administrateur sur un device avec le secure token actif

Le SecureToken est une fonctionnalité propre à macOS qui agit comme une clé d'accès. Il permet à un compte utilisateur d'activer et de gérer des fonctions de sécurité critiques, comme le chiffrement FileVault. Actuellement, il n'est pas possible de retirer les droits administrateur d'un compte s'il est le seul à posséder un SecureToken sur l'appareil. Nous travaillons à améliorer cette gestion pour permettre le transfert du SecureToken vers un autre compte, notamment celui administré via Primo.

Cas d'appareils ciblés par plusieurs politiques de gestion des comptes administrateurs

Des doublons de politiques peuvent survenir si vous activez la politique sur un profil global et sur un profil "spécifique". Dans ce cas, Primo ne gère pas le conflit : le MDM tente de créer l'utilisateur demandé en vérifiant uniquement que le nom du compte ne soit pas identique.

Avez-vous trouvé votre réponse?