Verwalten der lokalen Administratorgruppe auf in Microsoft Entra ID eingebundenen Geräten

Um ein Windows-Gerät verwalten zu können, müssen Sie Mitglied der lokalen Administratorgruppe sein. Im Rahmen des Microsoft Entra-Beitrittsprozesses aktualisiert Microsoft Entra-ID die Mitgliedschaft dieser Gruppe auf einem Gerät. Sie können die Mitgliedschaftsaktualisierung Ihren geschäftlichen Anforderungen entsprechend anpassen. Eine Mitgliedschaftsaktualisierung ist beispielsweise hilfreich, wenn Sie Helpdeskmitarbeitern die Ausführung von Aufgaben ermöglichen möchten, für die Administratorrechte erforderlich sind.

In diesem Artikel erfahren Sie, wie die Mitgliedschaftsaktualisierung für lokale Administratoren funktioniert und wie Sie sie im Rahmen einer Microsoft Entra-Einbindung anpassen können. Der Inhalt dieses Artikels gilt nicht für Geräte vom Typ in Microsoft Entra hybrid eingebunden.

Funktionsweise

Zum Zeitpunkt der Microsoft Entra-Verknüpfung werden die folgenden Sicherheitsprinzipale der lokalen Administratorgruppe auf dem Gerät hinzugefügt:

• Die Personen, denen die Rolle Lokaler Administrator des in Microsoft Entra eingebundenen Geräts bzw. Globaler Administrator zugewiesen wurden
• Der Benutzer, der die Microsoft Entra-Verknüpfung ausführt

Hinweis

Dies erfolgt nur während des Joinvorgangs. Wenn ein*e Administrator*in nach diesem Punkt Änderungen vornimmt, muss er oder sie die Gruppenmitgliedschaft auf dem Gerät aktualisieren.

Indem Sie Microsoft Entra-Rollen zur lokalen Administratorgruppe hinzufügen, können Sie die Benutzer, die ein Gerät verwalten können, jederzeit in Microsoft Entra ID aktualisieren, ohne Änderungen auf dem Gerät vornehmen zu müssen. Microsoft Entra ID fügt der lokalen Administratorgruppe auch die Rolle „Lokaler Administrators des in Microsoft Entra eingebundenen Geräts“ hinzu, um das Prinzip der geringsten Rechte (Principle of Least Privilege, PoLP) zu unterstützen.

Verwalten der „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“

Sie können die Rolle Lokaler Administrator des in Microsoft Entra eingebundenen Geräts in den Geräteeinstellungen verwalten.

1. Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
2. Browsen Sie zu Identität>Geräte>Alle Geräte>Geräteeinstellungen.
3. Wählen Sie Zusätzliche lokale Administratoren für alle in Microsoft Entra eingebundenen Geräte verwalten aus.
4. Wählen Sie Zuweisungen hinzufügen und dann die anderen Administratoren aus, die Sie hinzufügen möchten, und wählen Sie Hinzufügen aus.

Um die Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ zu ändern, konfigurieren Sie Zusätzliche lokale Administratoren für alle in Microsoft Entra eingebundenen Geräte.

Hinweis

Diese Option erfordert Microsoft Entra-ID P1- oder P2-Lizenzen.

Benutzer mit der Rolle „Lokaler Administrator für in Microsoft Entra eingebundenes Gerät“ werden allen in Microsoft Entra eingebundenen Geräten zugewiesen. Sie können diese Rolle nicht auf eine bestimmte Gruppe von Geräten beschränken. Eine Aktualisierung der Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ wirkt sich nicht zwangsläufig unmittelbar auf die betroffenen Benutzer aus. Auf Geräten, auf denen bereits ein Benutzer oder eine Benutzerin angemeldet ist, erfolgt die Rechteerweiterung, wenn die beiden folgenden Voraussetzungen erfüllt sind:

• Microsoft Entra hatte bis zu vier Stunden Zeit, ein neues primäres Aktualisierungstoken mit den entsprechenden Berechtigungen auszustellen.
• Die Benutzer melden sich ab und wieder an (kein Sperren/Entsperren), um ihr Profil zu aktualisieren.

Benutzer*innen werden nicht direkt in der lokalen Administratorgruppe aufgeführt, sondern empfangen die Berechtigungen über das primäre Aktualisierungstoken.

Hinweis

Die obigen Aktionen gelten nicht für Benutzer, die sich bislang noch nicht bei dem entsprechenden Gerät angemeldet haben. In diesem Fall werden die Administratorrechte sofort nach der erstmaligen Anmeldung auf dem Gerät angewandt.

Verwalten von Administratorrechten mithilfe von Microsoft Entra-Gruppen (Vorschauversion)

Sie können Microsoft Entra-Gruppen verwenden, um Administratorrechte auf in Microsoft Entra eingebundenen Geräten mit der MDM-Richtlinie (Mobile Device Management, Verwaltung mobiler Geräte) Lokale Benutzer und Gruppen zu verwalten. Mit dieser Richtlinie können Sie einzelne Benutzer oder Microsoft Entra-Gruppen der lokalen Administratorgruppe auf einem in Microsoft Entra eingebundenen Gerät zuweisen und so verschiedene Administratoren für unterschiedliche Gruppen von Geräten konfigurieren.

Organisationen können Intune verwenden, um diese Richtlinien mithilfe von benutzerdefinierten OMA-URI-Einstellungen oder Kontoschutzrichtlinien zu verwalten. Überlegungen zur Verwendung dieser Richtlinie:

• Das Hinzufügen von Microsoft Entra-Gruppen über die Richtlinie erfordert eine Gruppen-SID (Sicherheits-ID), die durch Ausführen der Microsoft Graph-API für Gruppen abgerufen werden kann. Die SID entspricht der Eigenschaft securityIdentifier in der API-Antwort.

• Administratorrechte, die diese Richtlinie verwenden, werden nur für die folgenden bekannten Gruppen auf einem Gerät mit Windows 10 oder höher ausgewertet: Administratoren, Benutzer, Gäste, Poweruser, Remotedesktopbenutzer und Remoteverwaltungsbenutzer.

• Die Verwaltung lokaler Administratoren mit Microsoft Entra Gruppen gilt nicht für hybrid in Microsoft Entra eingebundene oder in Microsoft Entra registrierte Geräte.

• Microsoft Entra-Gruppen, die mit dieser Richtlinie auf einem Gerät bereitgestellt werden, gelten nicht für Remotedesktopverbindungen. Zum Steuern von Remotedesktopberechtigungen für in Microsoft Entra eingebundene Geräte müssen Sie der entsprechenden Gruppe die SID des jeweiligen Benutzers hinzufügen.

Wichtig

Die Windows-Anmeldung mit Microsoft Entra ID unterstützt die Auswertung von bis zu 20 Gruppen im Hinblick auf Administratorrechte. Es wird empfohlen, auf jedem Gerät nicht mehr als 20 Microsoft Entra-Gruppen zu verwenden, um sicherzustellen, dass Administratorrechte ordnungsgemäß zugewiesen werden. Diese Einschränkung gilt auch für geschachtelte Gruppen.

Verwalten der regulären Benutzer

Standardmäßig fügt Microsoft Entra ID den Benutzer, der die Microsoft Entra beitritt, der Administratorgruppe auf dem Gerät hinzu. Wenn Sie verhindern möchten, dass reguläre Benutzer lokale Administratoren werden, haben Sie folgende Optionen:

• Windows Autopilot: Mit Windows Autopilot können Sie verhindern, dass ein primärer Benutzer, der die Einbindung ausführt, lokaler Administrator wird, indem Sie ein Autopilot-Profil erstellen.
• Massenregistrierung: Eine im Kontext einer Massenregistrierung durchgeführte Microsoft Entra-Einbindung erfolgt im Kontext eines automatisch erstellten Benutzers bzw. einer automatisch erstellten Benutzerin. Benutzer, die sich nach der Einbindung eines Geräts anmelden, werden nicht zur Administratorgruppe hinzugefügt.

Manuelles Erhöhen der Berechtigungen eines Benutzers auf einem Gerät

Sie können nicht nur den Prozess zur Microsoft Entra-Einbindung nutzen, sondern auch die Berechtigungen eines regulären Benutzers manuell erhöhen, sodass er lokaler Administrator auf einem bestimmten Gerät wird. Um diesen Schritt ausführen zu können, müssen Sie bereits Mitglied der lokalen Administratorgruppe sein.

Ab der Version Windows 10 1709 können Sie diese Aufgabe unter Einstellungen -> Konten -> Andere Benutzer ausführen. Wählen Sie Add a work or school user (Geschäfts-, Schul- oder Unibenutzer hinzufügen) aus, und geben Sie den Benutzerprinzipalnamen (UPN) unter Benutzerkonto ein. Wählen Sie unter Kontotyp die Option Administrator aus.

Darüber hinaus können Sie Benutzer auch über die Eingabeaufforderung hinzufügen:

• Wenn Ihre Mandantenbenutzer aus der lokalen Active Directory-Umgebung synchronisiert werden, verwenden Sie net localgroup administrators /add "Contoso\username".
• Wenn Ihre Mandantenbenutzer in Microsoft Entra ID erstellt wurden, verwenden Sie net localgroup administrators /add "AzureAD\UserUpn"

Überlegungen

• Sie können der Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ nur rollenbasierte Gruppen zuweisen.
• Die Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ ist allen in Microsoft Entra eingebundenen Geräten zugewiesen. Sie können diese Rolle nicht auf eine bestimmte Gruppe von Geräten beschränken.
• Lokale Administratorrechte auf Windows-Geräten gelten nicht für Microsoft Entra B2B-Gastbenutzer.
• Wenn Sie Benutzer aus der Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ entfernen, werden die Änderungen nicht sofort wirksam. Benutzer verfügen weiterhin über lokale Administratorberechtigungen auf einem Gerät, solange sie bei diesem angemeldet sind. Die Berechtigung wird bei der nächsten Anmeldung im Zuge der Ausgabe eines neuen primären Aktualisierungstokens entzogen. Dies kann ähnlich wie bei der Rechteerweiterung bis zu vier Stunden dauern.

Nächste Schritte

• Eine Übersicht über die Verwaltung von Geräten finden Sie unter Verwalten von Geräteidentitäten.
• Weitere Informationen zum gerätebasierten bedingten Zugriff finden Sie unter Bedingter Zugriff: Anfordern eines konformen oder hybrid in Microsoft Entra eingebundenen Geräts.