Vous avez une machine sous Windows 11 Pro. Elle est jointe à votre tenant Microsoft 365. Vous devez donner les droits d’administration locale à un utilisateur spécifique (pour un debug, une install de driver ou un environnement de dev), sans passer par des GPO Intune complexes.

La solution CLI

L’astuce réside dans l’utilisation de la commande historique net localgroup, mais en spécifiant correctement le fournisseur d’identité.

Pour que Windows comprenne qu’il doit chercher l’utilisateur dans l’annuaire cloud et non dans la base SAM locale, il est impératif d’utiliser le préfixe AzureAD\.

La commande

Ouvrez votre terminal (CMD ou PowerShell) en tant qu’Administrateur et exécutez :

Net localgroup Administrateurs /add "AzureAD\monemail@masociete.com"

Note pour les OS en anglais : Remplacez Administrateurs par Administrators.

Vérification

Pour confirmer que l’opération s’est bien déroulée et que le SID de l’utilisateur a bien été résolu, listez simplement les membres du groupe :

Net localgroup Administrateurs

Vous devriez voir apparaître une entrée du type AzureAD\monemail@masociete.com ou parfois juste le nom complet de l’utilisateur associé à son SID.

Pourquoi cette méthode ?

1. Rapidité : Pas de clics inutiles dans Paramètres > Comptes > Autres utilisateurs.
2. Fiabilité : Contourne les bugs d’affichage fréquents de l’interface Windows sur les comptes connectés.
3. Scriptable : Idéal pour intégrer dans un script de déploiement rapide ou une procédure de support niveau 1.

L’utilisateur n’a plus qu’à se déconnecter et se reconnecter pour profiter de ses droits d’admin.