Správa místní skupiny administrators na zařízeních připojených k Microsoft Entra

  • Článek

Pokud chcete spravovat zařízení s Windows, musíte být členem skupiny místních správců. V rámci procesu připojení k Microsoft Entra aktualizuje ID Microsoft Entra členství této skupiny na zařízení. Aktualizaci členství můžete přizpůsobit tak, aby vyhovovala vašim obchodním požadavkům. Aktualizace členství je užitečná například v případě, že chcete zaměstnancům helpdesku umožnit provádět úkoly vyžadující práva správce na zařízení.

Tento článek vysvětluje, jak funguje aktualizace členství místních správců a jak ji můžete přizpůsobit během připojení k Microsoft Entra. Obsah tohoto článku se nevztahuje na zařízení připojená k hybridnímu připojení Microsoft Entra.

Jak to funguje

V době připojení Microsoft Entra se do místní skupiny administrators na zařízení přidají následující objekty zabezpečení:

Poznámka:

To se provádí pouze během operace spojení. Pokud správce provede změny po tomto bodu, bude muset aktualizovat členství ve skupině na zařízení.

Přidáním rolí Microsoft Entra do místní skupiny administrators můžete aktualizovat uživatele, kteří můžou spravovat zařízení kdykoli v Microsoft Entra ID beze změny čehokoli na zařízení. Microsoft Entra ID také přidá roli Místního zařízení připojeného k Microsoft Entra Správa istrator do místní skupiny administrators, aby podporoval princip nejnižších oprávnění (PoLP). Kromě uživatelů s rolí Globální Správa istrator můžete také povolit uživatele, kteří mají přiřazenou jenom roli Místního zařízení připojeného k Microsoft Entra Správa istrator ke správě zařízení.

Správa globální role Správa istratoru

Pokud chcete zobrazit a aktualizovat členství v roli Globální Správa istrator, přečtěte si téma:

Správa místní Správa istratoru zařízení připojeného k Microsoftu

Roli Místního Správa istratoru zařízení připojených k Microsoft Entra můžete spravovat v nastavení zařízení.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň privilegovaná role Správa istrator.
  2. Přejděte na Zařízení identit>>– Všechna zařízení>– Nastavení zařízení.
  3. Na všech zařízeních připojených k Microsoft Entra vyberte Spravovat další místní správce.
  4. Vyberte Přidat přiřazení a pak zvolte další správce, které chcete přidat, a vyberte Přidat.

Pokud chcete upravit roli Místního zařízení připojeného k Microsoft Entra Správa istrator, nakonfigurujte další místní správce na všech zařízeních připojených k Microsoft Entra.

Poznámka:

Tato možnost vyžaduje licence Microsoft Entra ID P1 nebo P2.

Místní Správa istrátory zařízení připojené k Microsoftu entra jsou přiřazené všem zařízením připojeným k Microsoft Entra. Tuto roli nemůžete nastavit na konkrétní sadu zařízení. Aktualizace role místního zařízení připojeného k Microsoft Entra Správa istrator nemusí nutně mít okamžitý dopad na ovlivněné uživatele. Na zařízeních, ke kterých je uživatel již přihlášený, se zvýšení oprávnění provede v případě, že dojde k oběma následujícím akcím:

  • Do 4 hodin uplynulo, aby ID Microsoft Entra vydalo nový primární obnovovací token s odpovídajícími oprávněními.
  • Uživatel se odhlásí a znovu se přihlásí, ne zamkne nebo odemkne, aby aktualizoval svůj profil.

Uživatelé nejsou přímo uvedení v místní skupině správců, oprávnění se přijímají prostřednictvím primárního obnovovacího tokenu.

Poznámka:

Výše uvedené akce se nevztahují na uživatele, kteří se předtím nepřihlásili k příslušnému zařízení. V takovém případě se oprávnění správce použijí hned po prvním přihlášení k zařízení.

Správa oprávnění správce pomocí skupin Microsoft Entra (Preview)

Skupiny Microsoft Entra můžete použít ke správě oprávnění správce na zařízeních připojených k Microsoft Entra pomocí zásad správy mobilních zařízení (MDM) místních uživatelů a skupin . Tato zásada umožňuje přiřadit jednotlivé uživatele nebo skupiny Microsoft Entra k místní skupině správců na zařízení připojeném k Microsoft Entra, což vám poskytne členitost konfigurace jedinečných správců pro různé skupiny zařízení.

Organizace můžou pomocí Intune tyto zásady spravovat pomocí vlastních Nastavení OMA-URI nebo zásad ochrany účtů. Při používání této zásady je potřeba vzít v úvahu několik aspektů:

  • Přidání skupin Microsoft Entra prostřednictvím zásad vyžaduje identifikátor zabezpečení skupiny (SID), který lze získat spuštěním rozhraní Microsoft Graph API pro skupiny. Identifikátor SID odpovídá vlastnosti securityIdentifier v odpovědi rozhraní API.

  • Správa istrator oprávnění pomocí této zásady se vyhodnocují pouze pro následující dobře známé skupiny na zařízení s Windows 10 nebo novějším – Správa istrátory, uživatelé, hosté, power users, uživatelé vzdálené plochy a uživatelé vzdálené správy.

  • Správa místních správců pomocí skupin Microsoft Entra se nevztahuje na hybridní zařízení připojená k Microsoft Entra nebo zaregistrovaná v Microsoft Entra.

  • Skupiny Microsoft Entra nasazené na zařízení s touto zásadou se nevztahují na připojení ke vzdálené ploše. Pokud chcete řídit oprávnění vzdálené plochy pro zařízení připojená k Microsoft Entra, musíte do příslušné skupiny přidat identifikátor SID jednotlivého uživatele.

Důležité

Přihlášení systému Windows pomocí Microsoft Entra ID podporuje vyhodnocení až 20 skupin pro práva správce. Doporučujeme mít na každém zařízení maximálně 20 skupin Microsoft Entra, abyste měli jistotu, že jsou správně přiřazena práva správce. Toto omezení platí také pro vnořené skupiny.

Správa běžných uživatelů

Ve výchozím nastavení microsoft Entra ID přidá uživatele provádějícího připojení Microsoft Entra do skupiny správců na zařízení. Pokud chcete zabránit tomu, aby se běžní uživatelé stali místními správci, máte následující možnosti:

  • Windows Autopilot – Windows Autopilot nabízí možnost zabránit tomu, aby se primární uživatel, který se připojil, stal místním správcem vytvořením profilu Autopilotu.
  • Hromadná registrace – spojení Microsoft Entra, které se provádí v kontextu hromadné registrace, probíhá v kontextu automaticky vytvořených uživatelů. Uživatelé, kteří se přihlásí po připojení zařízení, se nepřidají do skupiny administrators.

Ruční zvýšení úrovně uživatele na zařízení

Kromě použití procesu připojení Microsoft Entra můžete také ručně zvýšit úroveň běžného uživatele, aby se stal místním správcem na jednom konkrétním zařízení. Tento krok vyžaduje, abyste už byl členem místní skupiny administrators.

Od verze Windows 10 1709 můžete tuto úlohu provést z Nastavení –> Účty –> Ostatní uživatelé. Vyberte Přidat pracovního nebo školního uživatele, zadejte hlavní název uživatele (UPN) v části Uživatelský účet a v části Typ účtu vyberte Správa istrator.

Kromě toho můžete uživatele přidat také pomocí příkazového řádku:

  • Pokud se uživatelé tenanta synchronizují z místní Active Directory, použijte net localgroup administrators /add "Contoso\username".
  • Pokud se uživatelé tenanta vytvářejí v Microsoft Entra ID, použijte net localgroup administrators /add "AzureAD\UserUpn"

Důležité informace

  • Skupiny založené na rolích můžete přiřadit pouze k roli Místního Správa istratoru zařízení Microsoft Entra Join.
  • Místní Správa istrator zařízení připojené k Microsoftu je přiřazena ke všem zařízením připojeným k Microsoft Entra. Tuto roli nelze nastavit na konkrétní sadu zařízení.
  • Práva místního správce na zařízeních s Windows se nevztahují na uživatele typu host Microsoft Entra B2B.
  • Když odeberete uživatele z role Místního zařízení připojeného k Microsoft Entra Správa istrator, změny nebudou okamžité. Uživatelé mají na zařízení stále oprávnění místního správce, pokud jsou k němu přihlášení. Oprávnění se při příštím přihlášení odvolá při vydání nového primárního obnovovacího tokenu. Toto odvolání, podobně jako zvýšení oprávnění, může trvat až 4 hodiny.

Další kroky