Cómo administrar el grupo de administradores locales en dispositivos unidos a Microsoft Entra

Para administrar un dispositivo Windows, debe ser miembro del grupo de administradores locales. Como parte del proceso de unión a Microsoft Entra, Microsoft Entra ID actualiza la pertenencia a este grupo en los dispositivos. Puede personalizar la actualización de la pertenencia para satisfacer los requisitos de su negocio. Una actualización de pertenencia es, por ejemplo, útil si desea permitir que el personal del soporte técnico realice tareas que requieran derechos de administrador en un dispositivo.

En este artículo se explica cómo funciona la actualización de la pertenencia de los administradores locales y cómo puede personalizarla durante una unión a Microsoft Entra. El contenido de este artículo no se aplica a dispositivos unidos a Microsoft Entra híbrido.

Cómo funciona

En el momento de unirse a Microsoft Entra, agregamos los siguientes principales de seguridad al grupo de administradores locales en el dispositivo:

• Rol de administrador global de Microsoft Entra
• Rol de administrador local de dispositivos unidos a Azure AD
• El usuario que realiza la unión a Microsoft Entra

Nota:

Esto solo se hace durante la operación para unirse. Si un administrador realiza cambios después de este punto, tendrá que actualizar la pertenencia al grupo en el dispositivo.

Al agregar los roles de Microsoft Entra al grupo de administradores locales, puede actualizar los usuarios que pueden administrar un dispositivo en cualquier momento en Microsoft Entra ID sin modificar nada en el dispositivo. Microsoft Entra ID también agrega el rol de administrador local de dispositivos unidos a Azure AD al grupo de administradores locales para admitir el principio de privilegios mínimos (PoLP). Además de los usuarios con el rol de Administrador global, también puede habilitar a los usuarios a los que solo se les ha asignado el rol Administrador local de dispositivos unidos a Azure AD para administrar un dispositivo.

Administrar el rol de administrador global

Para ver y actualizar la pertenencia al rol Administrador global, consulte:

• Ver todos los miembros de un rol Administrador en Microsoft Entra ID
• Asignación de usuarios a roles de administrador en Microsoft Entra ID

Administración del rol Administrador local de dispositivos unidos a Azure AD

En Azure Portal, puede administrar el rol Administrador local de dispositivos unidos a Azure AD en Configuración del dispositivo.

1. Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de dispositivos en la nube.
2. Vaya aIdentidad>Dispositivos>Todos los dispositivos>Configuración del dispositivo.
3. Seleccione Administrar administradores locales adicionales en dispositivos unidos a Microsoft Entra.
4. Seleccione Agregar asignaciones, elija los demás administradores que quiera agregar y seleccione Agregar.

Para modificar el rol Administrador local de dispositivos unidos a Azure AD, configure Administradores locales adicionales en todos los dispositivos unidos a Microsoft Entra.

Nota:

Esta opción requiere licencias de Microsoft Entra ID P1 o P2.

Los administradores locales de dispositivos unidos a Microsoft Entra se asignan a todos los dispositivos unidos a Microsoft Entra. No se puede definir el ámbito de este rol a un conjunto específico de dispositivos. La actualización del rol Administrador local de dispositivos unidos a Azure AD no tiene necesariamente un impacto inmediato en los usuarios afectados. En los dispositivos en los que un usuario ya ha iniciado sesión, la elevación de los privilegios tiene lugar cuando las dos acciones siguientes tienen lugar:

• Han pasado hasta 4 horas para que Microsoft Entra ID emita un nuevo token de actualización principal con los privilegios adecuados.
• El usuario cierra sesión y la vuelve a iniciar, sin bloquear o desbloquear, para actualizar su perfil.

Los usuarios no aparecerán en el grupo de administradores locales, los permisos se reciben por medio del token de actualización principal.

Nota:

Las acciones anteriores no se aplican a los usuarios que no han iniciado sesión en el dispositivo pertinente previamente. En este caso, los privilegios de administrador se aplican inmediatamente después de su primer inicio de sesión en el dispositivo.

Administración de los privilegios de administrador con grupos de Microsoft Entra (versión preliminar)

A partir de Windows 10, versión 20H2, se pueden usar grupos de Microsoft Entra para administrar los privilegios de administrador en dispositivos unidos a Microsoft Entra con la directiva Grupos y usuarios locales de MDM. Esta directiva permite asignar usuarios individuales o grupos de Microsoft Entra al grupo de administradores locales en un dispositivo unido a Microsoft Entra, lo que le proporciona la granularidad para configurar diferentes administradores para distintos grupos de dispositivos.

Las organizaciones pueden usar Intune para administrar estas directivas mediante la configuración personalizada de OMA-URI o la directiva de protección de cuentas. Estas son algunas consideraciones para usar esta directiva:

• La adición de grupos de Microsoft Entra mediante la directiva requiere el SID del grupo, que se puede obtener mediante la ejecución de Microsoft Graph API para grupos. El SID se define mediante la propiedad securityIdentifier en la respuesta de la API.

• Los privilegios de administrador que usan esta directiva solo se evalúan para los siguientes grupos conocidos en un dispositivo con Windows 10 o versiones posteriores: administradores, usuarios, invitados, usuarios avanzados, usuarios de Escritorio remoto y usuarios de Administración remota.

• La administración de administradores locales mediante grupos de Microsoft Entra no es aplicable a dispositivos unidos a Microsoft Entra híbrido o registrados en Microsoft Entra.

• Los grupos de Microsoft Entra implementados en un dispositivo con esta directiva no se aplican a las conexiones de Escritorio remoto. Para controlar los permisos de Escritorio remoto para dispositivos unidos a Microsoft Entra, debe agregar el SID del usuario individual al grupo adecuado.

Importante

El inicio de sesión de Windows con Microsoft Entra ID admite la evaluación de los derechos de administrador de hasta 20 grupos. Se recomienda no tener más de 20 grupos de Microsoft Entra en cada dispositivo para garantizar que los derechos de administrador se asignen correctamente. Esta limitación también se aplica a los grupos anidados.

Administración de los usuarios normales

De forma predeterminada, Microsoft Entra ID agrega el usuario que realiza la unión a Microsoft Entra al grupo de administradores del dispositivo. Si desea evitar que los usuarios normales se conviertan en administradores locales, tiene las siguientes opciones:

• Windows Autopilot: Windows Autopilot le ofrece una opción para evitar que el usuario principal que realiza la unión se convierta en un administrador local mediante la creación de un perfil de Autopilot.
• Inscripción masiva: una unión a Microsoft Entra que se realiza en el contexto de una inscripción masiva tiene lugar en el contexto de un usuario creado automáticamente. Los usuarios que inician sesión después de que se hayan unido un dispositivo no se agregan al grupo de administradores.

Elevación manual de un usuario en un dispositivo

Además de usar el proceso de unión a Microsoft Entra, también puede elevar manualmente los privilegios de un usuario normal para que se convierta en administrador local en un dispositivo específico. Este paso requiere que ya sea miembro del grupo de administradores locales.

A partir de la versión Windows 10 1709, puede realizar esta tarea en Configuración > Cuentas > Otros usuarios. Seleccione Agregar un usuario de trabajo o escuela, escriba el UPN del usuario en Cuenta de usuario y seleccione Administrador en Tipo de cuenta

Además, también puede agregar usuarios mediante el símbolo del sistema:

• Si los usuarios del inquilino están sincronizados desde Active Directory local, utilice net localgroup administrators /add "Contoso\username".
• Si los usuarios del inquilino se crean en Microsoft Entra ID, use net localgroup administrators /add "AzureAD\UserUpn".

Consideraciones

• Solo puede asignar grupos basados en roles al rol Administrador local de dispositivos unidos a Azure AD.
• El rol Administrador local de dispositivos unidos a Azure AD se asigna a todos los dispositivos unidos a Microsoft Entra. No se puede limitar a un conjunto específico de dispositivos.
• Los derechos de administrador local en los dispositivos Windows no son aplicables a los usuarios invitados de Microsoft Entra B2B.
• Al quitar usuarios del rol Administrador local de dispositivos unidos a Azure AD, los cambios no son instantáneos. Los usuarios siguen teniendo privilegios de administrador local en un dispositivo, siempre y cuando hayan iniciado sesión en él. El privilegio se revoca durante el siguiente inicio de sesión cuando se emite un nuevo token de actualización principal. Esta revocación, similar a la elevación de privilegios, puede tardar hasta cuatro horas.

Pasos siguientes

• Para obtener una visión general de cómo administrar dispositivos, consulte Administración de identidades de dispositivos.
• Para más información sobre el acceso condicional basado en dispositivos, consulte Acceso condicional: exigir un dispositivo compatible o unido a Microsoft Entra híbrido.