Управление группой локальных администраторов на устройствах, присоединенных к Microsoft Entra
Чтобы управлять устройством Windows, необходимо быть участником группы локальных администраторов. В рамках процесса присоединения к Microsoft Entra идентификатор Microsoft Entra обновляет членство в этой группе на устройстве. Вы можете настроить обновление членства в соответствии с вашими бизнес-требованиями. Обновление членства полезно, если необходимо, к примеру, чтобы специалисты службы поддержки выполняли задачи, для которых требуются права администратора на устройстве.
В этой статье объясняется, как работает обновление членства локальных администраторов и как его можно настроить во время присоединения к Microsoft Entra. Содержимое этой статьи не относится к гибридным устройствам, присоединенным к Microsoft Entra.
Принцип работы
Во время присоединения к Microsoft Entra следующие субъекты безопасности добавляются в группу локальных администраторов на устройстве:
- Локальный администратор присоединенного устройства в Microsoft Entra и роль глобального администратора
- пользователь, выполняющий присоединение к Microsoft Entra.
Примечание.
Это выполняется только во время операции соединения. Если администратор вносит изменения после этого момента, им потребуется обновить членство в группе на устройстве.
Добавив пользователей в роль локального администратора устройства Microsoft Entra Joined, вы можете обновить пользователей, которые могут управлять устройством в любое время в идентификаторе Microsoft Entra, не изменяя ничего на устройстве. Роль локального администратора устройства Microsoft Entra добавляется в группу локальных администраторов для поддержки принципа наименьших привилегий.
Управление ролями администратора
Чтобы просмотреть и обновить членство в роли администратора, см. следующую статью:
- Просмотр всех членов роли администратора в идентификаторе Microsoft Entra
- Назначение пользователю ролей администратора в идентификаторе Microsoft Entra
Управление ролью локального администратора устройства, присоединенного к Microsoft Entra
Вы можете управлять ролью локального администратора устройства Microsoft Entra Joined в параметрах устройства.
- Войдите в административный центр Microsoft Entra с правами администратора привилегированных ролей.
- Перейдите к Идентификация>Устройства>Все устройства>Настройки устройства.
- Выберите "Управление дополнительными локальными администраторами" на всех устройствах, присоединенных к Microsoft Entra.
- Нажмите Добавить назначения, а затем выберите других администраторов, которых нужно добавить, и нажмите кнопку Добавить.
Чтобы изменить роль локального администратора устройства Microsoft Entra Joined, настройте дополнительных локальных администраторов на всех устройствах, присоединенных к Microsoft Entra.
Примечание.
Для этого параметра требуются лицензии Microsoft Entra ID P1 или P2.
Локальные администраторы устройств, присоединенные к Microsoft Entra, назначаются всем устройствам, присоединенным к Microsoft Entra. Вы не можете ограничить эту роль определенным набором устройств. Обновление роли локального администратора присоединенного к устройству Microsoft Entra не обязательно оказывает непосредственное влияние на затронутых пользователей. На устройствах, на которых пользователь уже выполнил вход, повышение привилегий происходит при выполнении обоих следующих действий:
- До 4 часов могло пройти, прежде чем Microsoft Entra ID выдал новый Primary Refresh Token с соответствующими привилегиями.
- Пользователь вышел и снова вошел в систему (а не просто заблокировал и разблокировал ее), чтобы обновить свой профиль.
Пользователи не отображаются непосредственно в локальной группе администраторов, их разрешения получаются с помощью первичного токена обновления.
Примечание.
Указанные выше условия не относятся к пользователям, которые ранее не входили на соответствующее устройство. В этом случае права администратора применяются сразу после первого входа на устройство.
Управление правами администратора с помощью групп Microsoft Entra
Группы Microsoft Entra можно использовать для управления правами администратора на устройствах, присоединенных к Microsoft Entra, с помощью политики управления мобильными устройствами (MDM) локальных пользователей и групп. Эта политика позволяет назначать отдельных пользователей или группы Microsoft Entra группе локальных администраторов на присоединенном устройстве Microsoft Entra, обеспечивая детализацию для настройки отдельных администраторов для различных групп устройств.
Организации могут использовать Intune для управления этими политиками с помощью пользовательских параметров OMA-URI или политики защиты учетных записей. Некоторые рекомендации по использованию этой политики:
Для добавления групп Microsoft Entra через политику требуется идентификатор безопасности группы (SID), который можно получить, выполнив API Microsoft Graph для групп. SID равнозначен свойству
securityIdentifierв ответе API.Права администратора, использующие эту политику, оцениваются только для следующих известных групп на устройстве Windows 10 или более поздней версии: администраторы, пользователи, гости, пользователи, пользователи Power Users, пользователи удаленного рабочего стола и пользователи удаленного управления.
Управление локальными администраторами с помощью групп Microsoft Entra не применимо к гибридным присоединенным устройствам Microsoft Entra или зарегистрированным устройствам Microsoft Entra.
Группы Microsoft Entra, развернутые на устройстве с этой политикой, не применяются к подключениям к удаленному рабочему столу. Чтобы управлять разрешениями удаленного рабочего стола для устройств, присоединенных к Microsoft Entra, необходимо добавить идентификатор безопасности отдельного пользователя в соответствующую группу.
Внимание
Вход в систему Windows с использованием идентификатора Microsoft Entra ID поддерживает оценку до 20 групп для предоставления административных прав. Рекомендуется не более 20 групп Microsoft Entra на каждом устройстве, чтобы убедиться, что права администратора назначены правильно. Это ограничение также применяется к вложенным группам.
Управление обычными пользователями
По умолчанию идентификатор Microsoft Entra добавляет пользователя, выполняющего присоединение Microsoft Entra к группе администраторов на устройстве. Если вы не хотите, чтобы обычные пользователи получали права локальных администраторов, вам доступны следующие варианты:
- Windows Autopilot предоставляет возможность предотвратить получение основным пользователем, выполняющим соединение, прав локального администратора путем создания профиля Autopilot.
- Массовая регистрация — присоединение Microsoft Entra, выполняемое в контексте массовой регистрации , происходит в контексте автоматически созданных пользователей. Пользователи, выполнив вход после присоединения устройства, не добавляются в группу администраторов.
Повышение привилегий пользователя на устройстве вручную
Помимо использования процесса присоединения к Microsoft Entra, вы также можете вручную повысить уровень обычного пользователя, чтобы стать локальным администратором на одном конкретном устройстве. Для выполнения этого шага необходимо быть участником группы локальных администраторов.
Начиная с выпуска Windows 10 версии 1709, эту задачу можно выполнить из раздела Параметры -> Учетные записи -> Другие пользователи. Выберите «Добавить рабочего или учебного пользователя», введите основное имя пользователя (UPN) в разделе Учетная запись пользователя и выберите «Администратор» в разделе Тип учетной записи.
Кроме того, можно также добавить пользователей с помощью командной строки:
- Если пользователи клиента синхронизированы из локальной службы Active Directory, используйте
net localgroup administrators /add "Contoso\username". - Если ваши пользователи арендатора созданы в Microsoft Entra ID, используйте
net localgroup administrators /add "AzureAD\UserUpn"
Рекомендации
- Группы на основе ролей можно назначать только в роли Локального администратора устройств Microsoft Entra Joined.
- Роль локального администратора устройства, присоединенного к Microsoft Entra, назначается всем устройствам, присоединенным к Microsoft Entra. Эта роль не может быть ограничена определенным набором устройств.
- Права локального администратора на устройствах Windows не применимы к гостевым пользователям Microsoft Entra B2B.
- При удалении пользователей из роли локального администратора устройства, присоединенного к Microsoft Entra, изменения не являются мгновенными. Пользователи по-прежнему имеют права локального администратора на устройстве при условии, что они вошли в него. Привилегия отзывается при следующем входе в систему после выдачи нового основного токена обновления. Эта отмена, аналогичная повышению привилегий, может занять до 4 часов.
Следующие шаги
- Чтобы получить общее представление об управлении устройствами, см. "Управление идентификаторами устройств".
- Дополнительные сведения об условном доступе, основанном на устройствах, см. в статье "Условный доступ: соответствующее требованиям или гибридно подключенное к Microsoft Entra устройство".