Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Um ein Windows-Gerät verwalten zu können, müssen Sie Mitglied der lokalen Administratorgruppe sein. Im Rahmen des Microsoft Entra-Beitrittsprozesses aktualisiert Microsoft Entra-ID die Mitgliedschaft dieser Gruppe auf einem Gerät. Sie können die Mitgliedschaftsaktualisierung Ihren geschäftlichen Anforderungen entsprechend anpassen. Eine Mitgliedschaftsaktualisierung ist beispielsweise hilfreich, wenn Sie Helpdeskmitarbeitern die Ausführung von Aufgaben ermöglichen möchten, für die Administratorrechte erforderlich sind.
In diesem Artikel erfahren Sie, wie die Mitgliedschaftsaktualisierung für lokale Administratoren funktioniert und wie Sie sie im Rahmen einer Microsoft Entra-Einbindung anpassen können. Der Inhalt dieses Artikels gilt nicht für Microsoft Entra-Geräte, die hybrid verbunden sind.
Funktionsweise
Zum Zeitpunkt der Microsoft Entra-Verknüpfung werden die folgenden Sicherheitsprinzipale der lokalen Administratorgruppe auf dem Gerät hinzugefügt:
- Der lokale Administrator des Microsoft Entra-Geräts und die rollen "Globaler Administrator "
- Der Benutzer, der die Microsoft Entra-Verknüpfung ausführt
Hinweis
Dies erfolgt nur während des Joinvorgangs. Wenn ein*e Administrator*in nach diesem Punkt Änderungen vornimmt, muss er oder sie die Gruppenmitgliedschaft auf dem Gerät aktualisieren.
Indem Sie Benutzer der Rolle „Lokaler Administrator für in Microsoft Entra eingebundenes Gerät“ hinzufügen, können Sie die Benutzer, die ein Gerät verwalten können, jederzeit in Microsoft Entra ID aktualisieren, ohne Änderungen auf dem Gerät vornehmen zu müssen. Die Rolle „Lokaler Administrator für in Microsoft Entra eingebundenes Gerät“ wird der Gruppe „Lokale Administratoren“ hinzugefügt, um das Prinzip der geringsten Rechte zu unterstützen.
Verwalten von Administratorrollen
Informationen zum Anzeigen und Aktualisieren der Mitgliedschaft einer Administratorrolle finden Sie unter:
- Anzeigen aller Mitglieder einer Administratorrolle in der Microsoft Entra-ID
- Zuweisen eines Benutzers zu Administratorrollen in der Microsoft Entra-ID
Verwalten der „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“
Sie können die Rolle "Lokaler Administrator des Microsoft Entra-Geräts" in den Geräteeinstellungen verwalten.
- Melden Sie sich im Microsoft Entra Verwaltungscenter als mindestens Administrator für privilegierte Rollen an.
- Navigieren Sie zu Identität>Geräte>Alle Geräte>Geräteeinstellungen.
- Wählen Sie "Weitere lokale Administratoren verwalten" auf allen in Microsoft Entra eingebundenen Geräten aus.
- Wählen Sie "Aufgaben hinzufügen" und dann die anderen Administratoren aus, die Sie hinzufügen möchten, und wählen Sie "Hinzufügen" aus.
Konfigurieren Sie zusätzliche lokale Administratoren auf allen in Microsoft Entra eingebundenen Geräten, um die Lokale Administratorrolle von Microsoft Entra zu ändern.
Hinweis
Diese Option erfordert Microsoft Entra-ID P1- oder P2-Lizenzen.
Benutzer mit der Rolle „Lokaler Administrator für in Microsoft Entra eingebundenes Gerät“ werden allen in Microsoft Entra eingebundenen Geräten zugewiesen. Sie können diese Rolle nicht auf eine bestimmte Gruppe von Geräten beschränken. Eine Aktualisierung der Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ wirkt sich nicht zwangsläufig unmittelbar auf die betroffenen Benutzer aus. Auf Geräten, bei denen ein Benutzer bereits angemeldet ist, erfolgt die Rechteerweiterung, wenn beide aktionen ausgeführt werden:
- Microsoft Entra ID hatte bis zu vier Stunden Zeit, ein neues primäres Aktualisierungstoken mit den entsprechenden Berechtigungen auszustellen.
- Die Benutzer melden sich ab und wieder an (kein Sperren/Entsperren), um ihr Profil zu aktualisieren.
Benutzer werden nicht direkt in der lokalen Administratorgruppe aufgeführt, sondern empfangen die Berechtigungen über das primäre Aktualisierungstoken.
Hinweis
Die obigen Aktionen gelten nicht für Benutzer, die sich bislang noch nicht bei dem entsprechenden Gerät angemeldet haben. In diesem Fall werden die Administratorrechte sofort nach der erstmaligen Anmeldung auf dem Gerät angewandt.
Verwalten von Administratorrechten mithilfe von Microsoft Entra-Gruppen
Sie können Microsoft Entra-Gruppen verwenden, um Administratorrechte auf an Microsoft Entra angebundene Geräte mit der Richtlinie für Mobile Device Management (MDM) zur Verwaltung lokaler Benutzer und Gruppen zu steuern. Mit dieser Richtlinie können Sie einzelne Benutzer oder Microsoft Entra-Gruppen der lokalen Administratorgruppe auf einem in Microsoft Entra eingebundenen Gerät zuweisen und so verschiedene Administratoren für unterschiedliche Gruppen von Geräten konfigurieren.
Organisationen können Intune verwenden, um diese Richtlinien mithilfe von benutzerdefinierten OMA-URI-Einstellungen oder Kontoschutzrichtlinien zu verwalten. Überlegungen zur Verwendung dieser Richtlinie:
Zum Hinzufügen von Microsoft Entra-Gruppen über die Richtlinie ist die Sicherheits-ID (SID) der Gruppe erforderlich, die durch Ausführen der Microsoft Graph-API für Gruppen abgerufen werden kann. Die SID entspricht der Eigenschaft
securityIdentifierin der API-Antwort.Administratorrechte, die diese Richtlinie verwenden, werden nur für die folgenden bekannten Gruppen auf einem Gerät mit Windows 10 oder höher ausgewertet: Administratoren, Benutzer, Gäste, Poweruser, Remotedesktopbenutzer und Remoteverwaltungsbenutzer.
Die Verwaltung lokaler Administratoren mit Microsoft Entra Gruppen gilt nicht für hybrid in Microsoft Entra eingebundene oder in Microsoft Entra registrierte Geräte.
Microsoft Entra-Gruppen, die mit dieser Richtlinie auf einem Gerät bereitgestellt werden, gelten nicht für Remotedesktopverbindungen. Zum Steuern von Remotedesktopberechtigungen für in Microsoft Entra eingebundene Geräte müssen Sie der entsprechenden Gruppe die SID des jeweiligen Benutzers hinzufügen.
Wichtig
Die Windows-Anmeldung mit Microsoft Entra ID unterstützt die Auswertung von bis zu 20 Gruppen im Hinblick auf Administratorrechte. Es wird empfohlen, auf jedem Gerät nicht mehr als 20 Microsoft Entra-Gruppen zu verwenden, um sicherzustellen, dass Administratorrechte ordnungsgemäß zugewiesen werden. Diese Einschränkung gilt auch für geschachtelte Gruppen.
Verwalten der regulären Benutzer
Standardmäßig fügt Microsoft Entra ID den Benutzer, der die Microsoft Entra beitritt, der Administratorgruppe auf dem Gerät hinzu. Wenn Sie verhindern möchten, dass reguläre Benutzer lokale Administratoren werden, haben Sie folgende Optionen:
- Windows Autopilot – Windows Autopilot bietet Ihnen eine Option, um zu verhindern, dass der primäre Benutzer die Verknüpfung durch Erstellen eines Autopilot-Profils als lokaler Administrator durchführt.
- Massenregistrierung – eine Microsoft Entra-Verknüpfung, die im Kontext einer Massenregistrierung ausgeführt wird, erfolgt im Kontext eines automatisch erstellten Benutzers. Benutzer, die sich nach der Einbindung eines Geräts anmelden, werden nicht zur Administratorgruppe hinzugefügt.
Manuelles Erhöhen der Berechtigungen eines Benutzers auf einem Gerät
Sie können nicht nur den Prozess zur Microsoft Entra-Einbindung nutzen, sondern auch die Berechtigungen eines regulären Benutzers manuell erhöhen, sodass er lokaler Administrator auf einem bestimmten Gerät wird. Um diesen Schritt ausführen zu können, müssen Sie bereits Mitglied der lokalen Administratorgruppe sein.
Ab der Windows 10 1709-Version können Sie diese Aufgabe über "Einstellungen>"-Konten>"Andere Benutzer" ausführen. Wählen Sie "Geschäfts-, Schul- oder Unibenutzer hinzufügen", geben Sie den Benutzerprinzipalnamen (UPN) unter "Benutzerkonto" ein, und wählen Sie "Administrator" unter "Kontotyp" aus.
Darüber hinaus können Sie Benutzer auch über die Eingabeaufforderung hinzufügen:
- Wenn Ihre Mandantenbenutzer aus der lokalen Active Directory-Umgebung synchronisiert werden, verwenden Sie
net localgroup administrators /add "Contoso\username". - Wenn Ihre Mandantenbenutzer in Microsoft Entra ID erstellt wurden, verwenden Sie
net localgroup administrators /add "AzureAD\UserUpn"
Überlegungen
- Sie können der Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ nur rollenbasierte Gruppen zuweisen.
- Die Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ ist allen in Microsoft Entra eingebundenen Geräten zugewiesen. Sie können diese Rolle nicht auf eine bestimmte Gruppe von Geräten beschränken.
- Lokale Administratorrechte auf Windows-Geräten gelten nicht für Microsoft Entra B2B-Gastbenutzer.
- Wenn Sie Benutzer aus der Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ entfernen, werden die Änderungen nicht sofort wirksam. Benutzer verfügen weiterhin über lokale Administratorberechtigungen auf einem Gerät, solange sie bei diesem angemeldet sind. Die Berechtigung wird bei der nächsten Anmeldung im Zuge der Ausgabe eines neuen primären Aktualisierungstokens entzogen. Dies kann ähnlich wie bei der Rechteerweiterung bis zu vier Stunden dauern.
Nächste Schritte
- Eine Übersicht über das Verwalten von Geräten finden Sie unter Verwalten von Geräteidentitäten.
- Weitere Informationen zum gerätebasierten bedingten Zugriff finden Sie unter "Bedingter Zugriff": Erfordern eines kompatiblen oder mit Microsoft Entra hybrid verbundenen Geräts.