共用方式為

如何在已加入 Microsoft Entra 的裝置上管理本機系統管理員群組

  • 發行項

若要管理 Windows 裝置,您必須是本機系統管理員群組的成員。 在 Microsoft Entra 加入流程中,Microsoft Entra ID 會在裝置上更新此群組的成員資格。 您可以自訂成員資格更新,以符合自己的商務需求。 舉例來說,如果您想要讓技術服務人員能夠在裝置上執行需要系統管理員權限的工作,成員資格更新就有其效益。

本文解釋本機管理員的成員資格更新機制,以及如何在加入 Microsoft Entra 的過程中進行自訂。 本文的內容不適用於Microsoft Entra 混合加入的裝置。

運作方式

在加入 Microsoft Entra 時,系統會將下列安全性主體新增至裝置上的本機系統管理員群組:

注意

這僅會在加入作業期間完成。 如果系統管理員在此之後進行變更,則需要更新設備上的群組成員資格。

藉由將使用者新增至 Microsoft Entra 加入設備本機系統管理員角色,您可以在 Microsoft Entra ID 中隨時更新有權限管理裝置的使用者,而不需修改裝置上的任何內容。 Microsoft Entra 已加入裝置的本機管理員角色會新增至本機管理員群組,以支援最小權限原則。

管理系統管理員角色

若要檢視及更新管理員角色角色的成員資格,請參閱:

管理 Microsoft Entra 加入裝置的本機系統管理員角色

您可以從裝置設定管理已加入 Microsoft Entra 裝置本機系統管理員角色。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[裝置]>[所有裝置]>[裝置設定]
  3. 選取 管理已加入 Microsoft Entra 裝置上的其他本機系統管理員
  4. 選取 [新增指派],然後選擇您想要新增的其他系統管理員,然後選取 [新增]

若要修改已加入 Microsoft Entra 裝置本機系統管理員角色,請設定 [所有已加入 Microsoft Entra 裝置上的其他本機系統管理員]

注意

此選項需要 Microsoft Entra ID P1 或 P2 授權。

已加入 Microsoft Entra 的裝置本機系統管理員會指派給所有已加入 Microsoft Entra 的裝置。 您無法將此角色的範圍設定為一組特定的裝置。 更新 Microsoft Entra 已加入裝置的本機系統管理員角色不一定會立即對受影響的使用者產生影響。 在使用者已登入的裝置上,執行下列兩個動作時,會發生權限提高:

  • 最多可能需要 4 小時,才能由 Microsoft Entra ID 發出具有適當許可權的新主要重新整理令牌。
  • 使用者登出並重新登入,而非鎖定/解除鎖定,以更新其設定檔。

使用者不會直接列在本機管理員群組中,其許可權會透過 Primary Refresh Token 接收。

注意

上述動作不適用於先前尚未登入相關裝置的使用者。 在此情況下,會在使用者第一次登入裝置之後,立即套用系統管理員權限。

使用 Microsoft Entra 群組管理系統管理員許可權

您可以使用 Microsoft Entra 群組,透過本機使用者和群組行動裝置管理 (MDM) 原則,管理已加入 Microsoft Entra 裝置上的系統管理員權限。 此原則可讓您將個別使用者或 Microsoft Entra 群組指派給已加入 Microsoft Entra 裝置上的本機系統管理員群組,讓您可以針對不同的裝置群組設定不同的系統管理員。

組織可以使用 Intune,以使用自訂 OMA-URI 設定帳戶保護原則來管理這些原則。 使用此原則的幾個考量:

  • 要透過原則新增 Microsoft Entra 群組,首先需要取得群組的安全性識別碼 (SID),這可以透過執行 Microsoft Graph API for Groups 來獲得。 SID 相當於 API 回應中的屬性 securityIdentifier

  • 使用此原則的系統管理員許可權只會針對 Windows 10 或更新版本的裝置上的下列已知群組進行評估 - 系統管理員、使用者、來賓、Power Users、遠端桌面使用者和遠端管理使用者。

  • 使用 Microsoft Entra 群組管理本機系統管理員並不適用於已加入混合式 Microsoft Entra 或已註冊 Microsoft Entra 的裝置。

  • 使用此原則部署到裝置的 Microsoft Entra 群組不會套用到遠端桌面連線。 若要控制已加入 Microsoft Entra 裝置的遠端桌面權限,您需要將個別使用者的 SID 新增至適當的群組。

重要

使用 Microsoft Entra ID 登入的 Windows 支援最多評估 20 個群組以授予管理員權限。 建議您在每部裝置上包含不超過 20 個 Microsoft Entra 群組,以確保正確指派系統管理員權限。 這項限制也適用於巢狀群組。

管理一般使用者

根據預設,Microsoft Entra ID 會將執行 Microsoft Entra Join 的使用者新增至裝置的系統管理員群組。 如果您想要防止一般使用者成為本機系統管理員,您會有下列選項:

  • Windows Autopilot - Windows Autopilot 可讓您選擇防止執行加入的主要使用者成為本機系統管理員,方法是建立 Autopilot 設定檔
  • 大量註冊 - Microsoft Entra Join 在大量註冊的背景下,會在自動建立的使用者情境中執行。 在裝置加入之後登入的使用者不會新增至系統管理員群組。

手動提高使用者在裝置上的權限

除了使用 Microsoft Entra Join 程序以外,您也可以手動提高一般使用者的權限,使其成為一個特定裝置的本機系統管理員。 若要執行此步驟,您必須已是本機系統管理員群組的成員。

Windows 10 1709 版本起,您可以從 [設定] -> [帳戶] -> [其他使用者]執行這項工作。 選取 [新增工作或學校使用者],並且在 [使用者帳戶] 下輸入使用者的使用者主體名稱 (UPN),然後選取 [帳戶類型] 下的 [管理員]

此外,您也可以使用命令提示字元來新增使用者:

  • 如果您的租戶使用者是從內部部署 Active Directory 同步的,請使用 net localgroup administrators /add "Contoso\username"
  • 如果您的租戶使用者是在 Microsoft Entra ID 中建立的,請使用 net localgroup administrators /add "AzureAD\UserUpn"

考量

  • 您只能將以角色為基礎的群組指派給 Microsoft Entra 已加入裝置的本機系統管理員角色。
  • 已加入 Microsoft Entra 的裝置本機系統管理員角色會指派給所有已加入 Microsoft Entra 的裝置。 這個角色無法限制於特定的一組裝置。
  • Windows 裝置上的本機系統管理員權限不適用於 Microsoft Entra B2B 來賓使用者
  • 當您從已加入 Microsoft Entra 的裝置本機系統管理員角色移除使用者時,變更並不會立即生效。 只要使用者已登入,就仍擁有裝置的本機系統管理員權限。 當簽發新的主重新整理權杖時,權限會在他們下次登入時被撤銷。 此撤銷權限,與提升特權類似,可能需要最多 4 小時的時間。

下一步