Jak zarządzać lokalną grupą administratorów na urządzeniach połączonych z Microsoft Entra

Aby zarządzać urządzeniem z systemem Windows, musisz być członkiem grupy administratorów lokalnych. W ramach procesu dołączania do Microsoft Entra, Microsoft Entra ID aktualizuje członkostwo tej grupy na urządzeniu. Możesz dostosować aktualizację członkostwa, aby spełnić wymagania biznesowe. Aktualizacja członkostwa jest na przykład przydatna, jeśli chcesz umożliwić pracownikom pomocy technicznej wykonywanie zadań wymagających uprawnień administratora na urządzeniu.

W tym artykule wyjaśniono, jak działa aktualizacja członkostwa administratorów lokalnych i jak można ją dostosować podczas dołączania do firmy Microsoft Entra. Zawartość tego artykułu nie ma zastosowania do urządzeń dołączonych hybrydowo do Microsoft Entra.

Jak to działa

W momencie dołączenia do firmy Microsoft Entra następujące podmioty zabezpieczeń są dodawane do lokalnej grupy administratorów na urządzeniu:

• Rola Lokalnego Administratora Urządzenia Przyłączonego do Microsoft Entra oraz rola Administratora Globalnego
• Użytkownik wykonujący dołączenie do usługi Microsoft Entra

Dodając użytkowników do roli lokalnego administratora urządzenia dołączonego do Entra Microsoft, możesz aktualizować użytkowników, którzy mogą zarządzać urządzeniem w dowolnym momencie w Microsoft Entra ID, bez żadnych zmian na urządzeniu. Rola lokalnego administratora urządzenia dołączonego do Microsoft Entra jest dodawana do lokalnej grupy administratorów, aby wspierać zasadę najmniejszych uprawnień.

Zarządzanie rolami administratorów

Aby wyświetlić i zaktualizować członkostwo w roli administratora, zapoznaj się z:

• Wyświetl wszystkich członków roli administratora w Microsoft Entra ID
• Przypisywanie użytkownika do ról administratora w identyfikatorze Entra firmy Microsoft

Zarządzanie rolą lokalnego administratora urządzenia dołączonego do Microsoft Entra

Można zarządzać rolą lokalnego administratora urządzenia połączonego z Microsoft Entra w ustawieniach urządzenia.

1. Zaloguj się do centrum administracyjnego Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
2. Przejdź do Tożsamość>Urządzenia>Wszystkie urządzenia>Ustawienia urządzenia.
3. Wybierz pozycję Zarządzaj dodatkowymi administratorami lokalnymi na wszystkich urządzeniach dołączonych do Microsoft Entra.
4. Wybierz pozycję Dodaj przypisania , a następnie wybierz innych administratorów, których chcesz dodać, i wybierz pozycję Dodaj.

Aby zmodyfikować rolę lokalnego administratora urządzenia dołączonego do Microsoft Entra, skonfiguruj dodatkowych administratorów lokalnych na wszystkich urządzeniach dołączonych do Microsoft Entra.

Administratorzy lokalni urządzeń dołączonych do Microsoft Entra są przypisywani do wszystkich takich urządzeń. Nie można ograniczyć tej roli do określonego zestawu urządzeń. Aktualizacja roli Lokalnego administratora urządzenia dołączonego do Microsoft Entra nie musi mieć bezpośredniego wpływu na dotkniętych użytkowników. Na urządzeniach, na których użytkownik jest już zalogowany, podniesienie uprawnień odbywa się po wystąpieniu obu poniższych akcji:

• Zajęło do 4 godzin, zanim Microsoft Entra ID wydał nowy podstawowy token odświeżania z odpowiednimi uprawnieniami.
• Użytkownik wylogowuje się i loguje ponownie, a nie blokuje/odblokowuje, aby odświeżyć swój profil.

Użytkownicy nie są bezpośrednio wyświetlani w lokalnej grupie administratorów, a ich uprawnienia są odbierane za pośrednictwem Primary Refresh Token (podstawowego tokenu odświeżania).

Zarządzanie uprawnieniami administratora przy użyciu grup firmy Microsoft Entra

Grupy Microsoft Entra umożliwiają zarządzanie uprawnieniami administratora na urządzeniach połączonych z Microsoft Entra przy użyciu polityki zarządzania urządzeniami przenośnymi (MDM) lokalnych użytkowników i grup. Te zasady umożliwiają przypisywanie poszczególnych użytkowników lub grup firmy Microsoft Entra do lokalnej grupy administratorów na urządzeniu dołączonym do firmy Microsoft, co zapewnia stopień szczegółowości konfigurowania odrębnych administratorów dla różnych grup urządzeń.

Organizacje mogą używać usługi Intune do zarządzania tymi zasadami przy użyciu niestandardowych ustawień OMA-URI lub zasad ochrony konta. Kilka zagadnień dotyczących korzystania z tych zasad:

• Dodanie grup firmy Microsoft Entra za pomocą polityki wymaga identyfikatora zabezpieczeń grupy (SID), który można uzyskać, wykonując Microsoft Graph API dla grup. Identyfikator SID odpowiada właściwości securityIdentifier w odpowiedzi interfejsu API.

• Uprawnienia administratora korzystające z tych zasad są oceniane tylko dla następujących dobrze znanych grup na urządzeniu z systemem Windows 10 lub nowszym — Administratorzy, Użytkownicy, Goście, Użytkownicy programu Power Users, Użytkownicy pulpitu zdalnego i Użytkownicy zdalnego zarządzania.

• Zarządzanie administratorami lokalnymi przy użyciu grup Firmy Microsoft Entra nie ma zastosowania do urządzeń hybrydowych dołączonych do firmy Microsoft Entra ani zarejestrowanych urządzeń firmy Microsoft Entra.

• Grupy Microsoft Entra wdrożone na urządzeniu na podstawie tej zasady nie mają zastosowania do połączeń pulpitu zdalnego. Aby kontrolować uprawnienia pulpitu zdalnego dla urządzeń dołączonych do Microsoft Entra, należy dodać identyfikator SID poszczególnych użytkowników do odpowiedniej grupy.

Zarządzanie zwykłymi użytkownikami

Domyślnie identyfikator Entra firmy Microsoft dodaje użytkownika wykonującego dołączenie do grupy administratorów na urządzeniu. Jeśli chcesz uniemożliwić zwykłym użytkownikom bycie administratorami lokalnymi, masz następujące opcje:

• Rozwiązanie Windows Autopilot — rozwiązanie Windows Autopilot umożliwia uniemożliwienie użytkownikowi podstawowemu dołączania do roli administratora lokalnego przez utworzenie profilu rozwiązania Autopilot.
• Rejestracja zbiorcza — dołączenie do firmy Microsoft Entra wykonywane w kontekście rejestracji zbiorczej odbywa się w kontekście automatycznie tworzonego użytkownika. Użytkownicy logujący się po dołączeniu urządzenia nie są dodawani do grupy administratorów.

Ręczne podnoszenie poziomu uprawnień użytkownika na urządzeniu

Oprócz korzystania z procesu dołączania do firmy Microsoft entra można również ręcznie podnieść poziom zwykłego użytkownika, aby zostać administratorem lokalnym na jednym konkretnym urządzeniu. Ten krok wymaga już członkostwa w lokalnej grupie administratorów.

Począwszy od wersji systemu Windows 10 1709, możesz wykonać to zadanie w obszarze Ustawienia —> Konta —> Inni użytkownicy. Wybierz pozycję Dodaj użytkownika służbowego lub szkolnego, wprowadź główną nazwę użytkownika (UPN) w obszarze Konto użytkownika i wybierz pozycję Administrator w obszarze Typ konta

Ponadto można również dodawać użytkowników przy użyciu wiersza polecenia:

• Jeśli użytkownicy dzierżawcy są synchronizowani z lokalnego Active Directory, użyj net localgroup administrators /add "Contoso\username".
• Jeśli użytkownicy dzierżawcy są utworzeni w Microsoft Entra ID, użyj polecenia net localgroup administrators /add "AzureAD\UserUpn"

Kwestie wymagające rozważenia

• Można przypisywać tylko grupy oparte na rolach do roli Administratora lokalnego urządzenia dołączonego do usługi Microsoft Entra.
• Rola lokalnego administratora urządzenia dołączonego do Microsoft Entra jest przypisana do wszystkich urządzeń dołączonych do Microsoft Entra. Tej roli nie można ograniczyć do określonego zestawu urządzeń.
• Uprawnienia administratora lokalnego na urządzeniach z systemem Windows nie mają zastosowania do użytkowników-gości firmy Microsoft Entra B2B.
• Po usunięciu użytkowników z roli lokalnego administratora urządzeń połączonych z Microsoft Entra, zmiany nie są natychmiastowe. Użytkownicy nadal mają uprawnienia administratora lokalnego na urządzeniu, o ile są do niego zalogowani. Uprawnienie zostanie odwołane podczas następnego logowania, gdy zostanie wystawiony nowy podstawowy token odświeżania. To odwołanie, podobne do podniesienia uprawnień, może potrwać do 4 godzin.

Następne kroki

• Aby zapoznać się z omówieniem zarządzania urządzeniami, zobacz Zarządzanie tożsamościami urządzeń.
• Aby dowiedzieć się więcej na temat dostępu warunkowego opartego na urządzeniach, zobacz Dostęp warunkowy Microsoft Entra: Wymagaj zgodnego urządzenia lub urządzenia hybrydowego dołączonego do usługi.