Sdílet prostřednictvím


Správa místní skupiny administrators na zařízeních připojených k Microsoft Entra

Pokud chcete spravovat zařízení s Windows, musíte být členem skupiny místních správců. V rámci procesu připojení k Microsoft Entra aktualizuje ID Microsoft Entra členství této skupiny na zařízení. Aktualizaci členství můžete přizpůsobit tak, aby vyhovovala vašim obchodním požadavkům. Aktualizace členství je užitečná například v případě, že chcete zaměstnancům helpdesku umožnit provádět úkoly vyžadující práva správce na zařízení.

Tento článek vysvětluje, jak funguje aktualizace členství místních správců a jak ji můžete přizpůsobit během připojení k Microsoft Entra. Obsah tohoto článku se nevztahuje na zařízení připojená k hybridnímu připojení Microsoft Entra.

Jak to funguje

V době připojení Microsoft Entra se do místní skupiny administrators na zařízení přidají následující objekty zabezpečení:

  • Místní správce zařízení připojený k Microsoft Entra a role globálního správce
  • Uživatel provádějící připojení k Microsoft Entra

Poznámka:

To se provádí pouze během operace spojení. Pokud správce provede změny po tomto bodu, bude muset aktualizovat členství ve skupině na zařízení.

Přidáním uživatelů do role místního správce místního zařízení připojeného k Microsoft Entra můžete aktualizovat uživatele, kteří můžou spravovat zařízení kdykoli v Microsoft Entra ID beze změny čehokoli na zařízení. Do místní skupiny administrators se přidá role místního správce zařízení Microsoft Entra Join Device, která podporuje princip nejnižších oprávnění.

Správa rolí správce

Pokud chcete zobrazit a aktualizovat členství role správce, přečtěte si téma:

Správa role místního správce zařízení připojeného k Microsoft Entra

Roli místního správce místního zařízení microsoft Entra můžete spravovat v nastavení zařízení.

  1. Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce privilegovaných rolí.
  2. Přejděte na Zařízení identit>>– Všechna zařízení>– Nastavení zařízení.
  3. Na všech zařízeních připojených k Microsoft Entra vyberte Spravovat další místní správce.
  4. Vyberte Přidat přiřazení a pak zvolte další správce, které chcete přidat, a vyberte Přidat.

Pokud chcete upravit roli místního správce zařízení připojeného k Microsoft Entra, nakonfigurujte další místní správce na všech zařízeních připojených k Microsoft Entra.

Poznámka:

Tato možnost vyžaduje licence Microsoft Entra ID P1 nebo P2.

Místní správci zařízení připojené k Microsoft Entra se přiřazují ke všem zařízením připojeným k Microsoft Entra. Tuto roli nemůžete nastavit na konkrétní sadu zařízení. Aktualizace role místního správce zařízení připojeného k Microsoft Entra nemusí nutně mít okamžitý dopad na ovlivněné uživatele. Na zařízeních, ke kterých je uživatel již přihlášený, se zvýšení oprávnění provede v případě, že dojde k oběma následujícím akcím:

  • Do 4 hodin uplynulo, než microsoft Entra ID vydá nový primární obnovovací token s odpovídajícími oprávněními.
  • Uživatel se odhlásí a znovu se přihlásí, ne zamkne nebo odemkne, aby aktualizoval svůj profil.

Uživatelé nejsou přímo uvedení ve skupině místních správců, jejich oprávnění se přijímají prostřednictvím primárního obnovovacího tokenu.

Poznámka:

Výše uvedené akce se nevztahují na uživatele, kteří se předtím nepřihlásili k příslušnému zařízení. V takovém případě se oprávnění správce použijí hned po prvním přihlášení k zařízení.

Správa oprávnění správce pomocí skupin Microsoft Entra (Preview)

Skupiny Microsoft Entra můžete použít ke správě oprávnění správce na zařízeních připojených k Microsoft Entra pomocí zásad správy mobilních zařízení (MDM) místních uživatelů a skupin . Tato zásada umožňuje přiřadit jednotlivé uživatele nebo skupiny Microsoft Entra k místní skupině správců na zařízení připojeném k Microsoft Entra, což vám poskytne členitost konfigurace jedinečných správců pro různé skupiny zařízení.

Organizace můžou pomocí Intune tyto zásady spravovat pomocí vlastních nastavení OMA-URI nebo zásad ochrany účtů. Při používání této zásady je potřeba vzít v úvahu několik aspektů:

  • Přidání skupin Microsoft Entra prostřednictvím zásad vyžaduje identifikátor zabezpečení skupiny (SID), který lze získat spuštěním rozhraní Microsoft Graph API pro skupiny. Identifikátor SID odpovídá vlastnosti securityIdentifier v odpovědi rozhraní API.

  • Oprávnění správce používající tuto zásadu se vyhodnocují jenom pro následující dobře známé skupiny na zařízení s Windows 10 nebo novější – Správci, Uživatelé, Hosté, Power Users, Uživatelé vzdálené plochy a Uživatelé vzdálené správy.

  • Správa místních správců pomocí skupin Microsoft Entra se nevztahuje na hybridní zařízení připojená k Microsoft Entra nebo zaregistrovaná v Microsoft Entra.

  • Skupiny Microsoft Entra nasazené na zařízení s touto zásadou se nevztahují na připojení ke vzdálené ploše. Pokud chcete řídit oprávnění vzdálené plochy pro zařízení připojená k Microsoft Entra, musíte do příslušné skupiny přidat identifikátor SID jednotlivého uživatele.

Důležité

Přihlášení systému Windows pomocí Microsoft Entra ID podporuje vyhodnocení až 20 skupin pro práva správce. Doporučujeme mít na každém zařízení maximálně 20 skupin Microsoft Entra, abyste měli jistotu, že jsou správně přiřazena práva správce. Toto omezení platí také pro vnořené skupiny.

Správa běžných uživatelů

Ve výchozím nastavení microsoft Entra ID přidá uživatele provádějícího připojení Microsoft Entra do skupiny správců na zařízení. Pokud chcete zabránit tomu, aby se běžní uživatelé stali místními správci, máte následující možnosti:

  • Windows Autopilot – Windows Autopilot nabízí možnost zabránit tomu, aby se primární uživatel, který se připojil, stal místním správcem vytvořením profilu Autopilotu.
  • Hromadná registrace – spojení Microsoft Entra, které se provádí v kontextu hromadné registrace, probíhá v kontextu automaticky vytvořených uživatelů. Uživatelé, kteří se přihlásí po připojení zařízení, se nepřidají do skupiny administrators.

Ruční zvýšení úrovně uživatele na zařízení

Kromě použití procesu připojení Microsoft Entra můžete také ručně zvýšit úroveň běžného uživatele, aby se stal místním správcem na jednom konkrétním zařízení. Tento krok vyžaduje, abyste už byl členem místní skupiny administrators.

Od verze Windows 10 1709 můžete tuto úlohu provést z Nastavení –> Účty –> Ostatní uživatelé. Vyberte Přidat pracovního nebo školního uživatele, zadejte hlavní název uživatele (UPN) v části Uživatelský účet a v části Typ účtu vyberte Správce.

Kromě toho můžete uživatele přidat také pomocí příkazového řádku:

  • Pokud se uživatelé tenanta synchronizují z místní Active Directory, použijte net localgroup administrators /add "Contoso\username".
  • Pokud se uživatelé tenanta vytvářejí v Microsoft Entra ID, použijte net localgroup administrators /add "AzureAD\UserUpn"

Důležité informace

  • Skupiny založené na rolích můžete přiřadit pouze k roli místního správce zařízení připojeného k Microsoft Entra.
  • Role místního správce místního zařízení připojeného k Microsoftu entra se přiřadí všem zařízením připojeným k Microsoft Entra. Tuto roli nelze nastavit na konkrétní sadu zařízení.
  • Práva místního správce na zařízeních s Windows se nevztahují na uživatele typu host Microsoft Entra B2B.
  • Když odeberete uživatele z role místního správce zařízení připojeného k Microsoft Entra, změny nebudou okamžité. Uživatelé mají na zařízení stále oprávnění místního správce, pokud jsou k němu přihlášení. Oprávnění se při příštím přihlášení odvolá při vydání nového primárního obnovovacího tokenu. Toto odvolání, podobně jako zvýšení oprávnění, může trvat až 4 hodiny.

Další kroky