Cómo administrar el grupo de administradores locales en dispositivos unidos a Microsoft Entra

Para administrar un dispositivo Windows, debe ser miembro del grupo de administradores locales. Como parte del proceso de unión a Microsoft Entra, Microsoft Entra ID actualiza la pertenencia a este grupo en los dispositivos. Puede personalizar la actualización de la pertenencia para satisfacer los requisitos de su negocio. Una actualización de pertenencia es, por ejemplo, útil si desea permitir que el personal del soporte técnico realice tareas que requieran derechos de administrador en un dispositivo.

En este artículo se explica cómo funciona la actualización de la pertenencia de los administradores locales y cómo puede personalizarla durante una unión a Microsoft Entra. El contenido de este artículo no se aplica a los dispositivos unidos híbridos de Microsoft Entra.

Funcionamiento

En el momento de unirse a Microsoft Entra, se han agregado las siguientes entidades de seguridad al grupo de administradores locales en el dispositivo:

• El rol de Administrador local del dispositivo vinculado a Microsoft Entra y el rol de Administrador global
• El usuario que realiza la unión a Microsoft Entra

Nota:

Esto solo se hace durante la operación para unirse. Si un administrador realiza cambios después de este punto, tendrá que actualizar la pertenencia al grupo en el dispositivo.

Al agregar usuarios al rol de administrador local de dispositivos unidos a Microsoft Entra, puede actualizar los usuarios que pueden administrar un dispositivo en cualquier momento en Microsoft Entra ID sin modificar nada en el dispositivo. El rol Administrador local de dispositivos unidos a Microsoft Entra se agrega al grupo de administradores locales para admitir el principio de privilegios mínimos.

Administración de roles de administrador

Para ver y actualizar la pertenencia de un rol de administrador , consulte:

• Ver todos los miembros de un rol de administrador en microsoft Entra ID
• Asignación de un usuario a roles de administrador en microsoft Entra ID

Administración del rol Administrador local de dispositivos unidos a Microsoft Entra

Puede administrar el rol Administrador local de dispositivos unidos a Microsoft Entra desde Configuración del dispositivo.

1. Inicie sesión en el Centro de administración de Microsoft Entra como al menos un administrador de roles con privilegios.
2. Vaya a Identidad>Dispositivos>Todos los dispositivos>Configuración del dispositivo.
3. Seleccione Administrar administradores locales adicionales en todos los dispositivos unidos a Microsoft Entra.
4. Seleccione Agregar asignaciones y, a continuación, elija los demás administradores que quiera agregar y seleccione Agregar.

Para modificar el rol Administrador local de dispositivos unidos a Microsoft Entra, configure Administradores locales adicionales en todos los dispositivos unidos a Microsoft Entra.

Nota:

Esta opción requiere licencias de Microsoft Entra ID P1 o P2.

Los administradores locales de dispositivos unidos a Microsoft Entra se asignan a todos los dispositivos unidos a Microsoft Entra. No se puede definir el ámbito de este rol a un conjunto específico de dispositivos. La actualización del rol Administrador local de dispositivos unidos a Microsoft Entra no tiene necesariamente un impacto inmediato en los usuarios afectados. En los dispositivos en los que un usuario ya ha iniciado sesión, la elevación de privilegios tiene lugar cuando se producen las dos acciones siguientes:

• Pasaron hasta cuatro horas para que Microsoft Entra ID emita un nuevo token de actualización principal con los privilegios adecuados.
• El usuario cierra sesión y la vuelve a iniciar, sin bloquear o desbloquear, para actualizar su perfil.

Los usuarios no aparecerán en el grupo de administradores locales, sus permisos se reciben por medio del token de actualización principal.

Nota:

Las acciones anteriores no se aplican a los usuarios que no han iniciado sesión en el dispositivo pertinente previamente. En este caso, los privilegios de administrador se aplican inmediatamente después de su primer inicio de sesión en el dispositivo.

Administración de privilegios de administrador mediante grupos de Microsoft Entra

Puede usar grupos de Microsoft Entra para administrar privilegios de administrador en dispositivos unidos a Microsoft Entra con la directiva de administración de dispositivos móviles (MDM) de usuarios y grupos locales . Esta directiva permite asignar usuarios individuales o grupos de Microsoft Entra al grupo de administradores locales en un dispositivo unido a Microsoft Entra, lo que le proporciona la granularidad para configurar diferentes administradores para distintos grupos de dispositivos.

Las organizaciones pueden usar Intune para administrar estas directivas mediante configuración de OMA-URI personalizada o directiva de protección de cuentas. Estas son algunas consideraciones para usar esta directiva:

• La adición de grupos de Microsoft Entra a través de la directiva requiere el identificador de seguridad (SID) del grupo que se puede obtener ejecutando Microsoft Graph API para grupos. El SID se define mediante la propiedad securityIdentifier en la respuesta de la API.

• Los privilegios de administrador que usan esta directiva solo se evalúan para los siguientes grupos conocidos en un dispositivo con Windows 10 o versiones posteriores: administradores, usuarios, invitados, usuarios avanzados, usuarios de Escritorio remoto y usuarios de Administración remota.

• La administración de administradores locales mediante grupos de Microsoft Entra no es aplicable a dispositivos unidos a Microsoft Entra híbrido o registrados en Microsoft Entra.

• Los grupos de Microsoft Entra implementados en un dispositivo con esta directiva no se aplican a las conexiones de Escritorio remoto. Para controlar los permisos de Escritorio remoto para dispositivos unidos a Microsoft Entra, debe agregar el SID del usuario individual al grupo adecuado.

Importante

El inicio de sesión de Windows con Microsoft Entra ID admite la evaluación de los derechos de administrador de hasta 20 grupos. Se recomienda no tener más de 20 grupos de Microsoft Entra en cada dispositivo para garantizar que los derechos de administrador se asignen correctamente. Esta limitación también se aplica a los grupos anidados.

Administración de los usuarios normales

De forma predeterminada, Microsoft Entra ID agrega el usuario que realiza la unión a Microsoft Entra al grupo de administradores del dispositivo. Si desea evitar que los usuarios normales se conviertan en administradores locales, tiene las siguientes opciones:

• Windows Autopilot : Windows Autopilot proporciona una opción para evitar que el usuario principal realice la unión para convertirse en administrador local mediante la creación de un perfil de Autopilot.
• Inscripción masiva : una unión a Microsoft Entra que se realiza en el contexto de una inscripción masiva se produce en el contexto de un usuario autocreado. Los usuarios que inician sesión después de que se hayan unido un dispositivo no se agregan al grupo de administradores.

Elevación manual de un usuario en un dispositivo

Además de usar el proceso de unión a Microsoft Entra, también puede elevar manualmente los privilegios de un usuario normal para que se convierta en administrador local en un dispositivo específico. Este paso requiere que ya sea miembro del grupo de administradores locales.

A partir de la versión de Windows 10 1709, puedes realizar esta tarea desdeCuentas>de configuración>Otros usuarios. Seleccione Agregar un usuario profesional o educativo, escriba el nombre principal de usuario (UPN) del usuario en Cuenta de usuario y seleccione Administrador en Tipo de cuenta.

Además, también puede agregar usuarios mediante el símbolo del sistema:

• Si los usuarios del inquilino están sincronizados desde Active Directory local, utilice net localgroup administrators /add "Contoso\username".
• Si los usuarios del inquilino se crean en Microsoft Entra ID, use net localgroup administrators /add "AzureAD\UserUpn".

Consideraciones

• Solo puede asignar grupos basados en roles al rol Administrador local de dispositivos unidos a Microsoft Entra.
• El rol Administrador local de dispositivos unidos a Microsoft Entra se asigna a todos los dispositivos unidos a Microsoft Entra. No se puede limitar a un conjunto específico de dispositivos.
• Los derechos de administrador local en dispositivos Windows no son aplicables a los usuarios invitados de Microsoft Entra B2B.
• Al quitar usuarios del rol Administrador local de dispositivos unidos a Microsoft Entra, los cambios no son instantáneos. Los usuarios siguen teniendo privilegios de administrador local en un dispositivo, siempre y cuando hayan iniciado sesión en él. El privilegio se revoca durante el siguiente inicio de sesión cuando se emite un nuevo token de actualización principal. Esta revocación, similar a la elevación de privilegios, puede tardar hasta cuatro horas.

Pasos siguientes

• Para obtener información general sobre cómo administrar dispositivos, consulte Administración de identidades de dispositivo.
• Para obtener más información sobre el acceso condicional basado en dispositivos, consulte Acceso condicional: Requerir un dispositivo híbrido compatible o unido a Microsoft Entra.