A helyi rendszergazdák csoport kezelése a Microsoft Entra-hoz csatlakoztatott eszközökön

Egy Windows-eszköz kezeléséhez a helyi rendszergazdai csoport tagjának kell lennie. A Microsoft Entra csatlakozási folyamat részeként a Microsoft Entra ID frissíti a csoport tagságát egy eszközön. Az üzleti követelményeknek megfelelően testre szabhatja a tagság frissítését. A tagság frissítése például akkor hasznos, ha engedélyezni szeretné a segélyszolgálat munkatársainak, hogy rendszergazdai jogosultságot igénylő feladatokat végezzenek az eszközön.

Ez a cikk bemutatja, hogyan működik a helyi rendszergazdák tagságának frissítése, és hogyan szabhatja testre a Microsoft Entra-csatlakozás során. A cikk tartalma nem vonatkozik a Microsoft Entra hibrid csatlakoztatott eszközeire.

Hogyan működik?

A Microsoft Entra csatlakozáskor a rendszer a következő biztonsági tagokat adja hozzá az eszközön található helyi rendszergazdák csoportjához:

• A Microsoft Entra csatlakoztatott eszköz helyi Rendszergazda istrator és a globális Rendszergazda istrator szerepkörök
• A Microsoft Entra-csatlakozást végrehajtó felhasználó

Feljegyzés

Ez csak az illesztési művelet során történik. Ha egy rendszergazda módosítja ezt a pontot, frissítenie kell a csoporttagságokat az eszközön.

Ha Microsoft Entra-szerepköröket ad hozzá a helyi rendszergazdák csoportjához, frissítheti azokat a felhasználókat, akik bármikor kezelhetik az eszközt a Microsoft Entra-azonosítóban anélkül, hogy bármit módosítanának az eszközön. A Microsoft Entra ID a Microsoft Entra-hoz csatlakoztatott eszköz helyi Rendszergazda istrator szerepkörét is hozzáadja a helyi rendszergazdák csoportjához a minimális jogosultság (PoLP) elvének támogatása érdekében. A globális Rendszergazda istrator szerepkörrel rendelkező felhasználók mellett engedélyezheti azokat a felhasználókat is, akiknek csak a Microsoft Entra csatlakoztatott eszköz helyi Rendszergazda istrator szerepköre van hozzárendelve az eszközök kezeléséhez.

A globális Rendszergazda istrator szerepkör kezelése

A Globális Rendszergazda istrator szerepkör tagságának megtekintéséhez és frissítéséhez lásd:

• Rendszergazdai szerepkör összes tagjának megtekintése a Microsoft Entra-azonosítóban
• Felhasználó hozzárendelése rendszergazdai szerepkörökhöz a Microsoft Entra-azonosítóban
• Rendszergazdai szerepkör összes tagjának megtekintése a Microsoft Entra-azonosítóban
• Felhasználó hozzárendelése rendszergazdai szerepkörökhöz a Microsoft Entra-azonosítóban

A Microsoft Entra-hoz csatlakoztatott eszköz helyi Rendszergazda istrator szerepkörének kezelése

A Microsoft Entra-hoz csatlakoztatott eszköz helyi Rendszergazda istrator szerepkörét az eszközbeállításokból kezelheti.

1. Jelentkezzen be a Microsoft Entra felügyeleti központba legalább emelt szintű szerepkörként Rendszergazda istratorként.
2. Keresse meg az Identitáseszközök>>minden eszköz>eszközbeállítást.
3. Válassza a További helyi rendszergazdák kezelése a Microsoft Entra összes csatlakoztatott eszközén lehetőséget.
4. Válassza a Hozzárendelések hozzáadása lehetőséget, majd válassza ki a hozzáadni kívánt többi rendszergazdát, majd válassza a Hozzáadás lehetőséget.

A Microsoft Entra-hoz csatlakoztatott eszköz helyi Rendszergazda istrator szerepkörének módosításához konfiguráljon további helyi rendszergazdákat az összes Microsoft Entra-csatlakoztatott eszközön.

Feljegyzés

Ehhez a beállításhoz P1 vagy P2 Microsoft Entra-azonosítójú licenc szükséges.

A Microsoft Entra-hoz csatlakoztatott eszköz helyi Rendszergazda istratorai az összes Microsoft Entra-csatlakoztatott eszközhöz vannak hozzárendelve. Ezt a szerepkört nem lehet egy adott eszközcsoportra korlátozni. A Microsoft Entra-hoz csatlakoztatott eszköz helyi Rendszergazda istrator szerepkörének frissítése nem feltétlenül érinti azonnal az érintett felhasználókat. Azokon az eszközökön, amelyekbe a felhasználó már bejelentkezett, a jogosultságszint-emelés akkor történik, ha az alábbi műveletek mindegyike megtörténik:

• A Microsoft Entra ID legfeljebb 4 óra elteltével bocsát ki új elsődleges frissítési jogkivonatot a megfelelő jogosultságokkal.
• A felhasználó kijelentkezik, és bejelentkezik, és nem zárolja/oldja fel a zárolást, hogy frissítse a profilját.

A felhasználók nem szerepelnek közvetlenül a helyi rendszergazdai csoportban, az engedélyek az elsődleges frissítési jogkivonaton keresztül érkeznek.

Feljegyzés

A fenti műveletek nem alkalmazhatók azokra a felhasználókra, akik korábban nem jelentkeztek be az adott eszközre. Ebben az esetben a rendszergazdai jogosultságok közvetlenül az eszközre való első bejelentkezés után lesznek alkalmazva.

Rendszergazdai jogosultságok kezelése Microsoft Entra-csoportokkal (előzetes verzió)

A Microsoft Entra-csoportok használatával rendszergazdai jogosultságokat kezelhet a Microsoft Entra-hoz csatlakoztatott eszközökön a Helyi felhasználók és csoportok mobileszköz-kezelési (MDM) szabályzattal. Ez a szabályzat lehetővé teszi, hogy egyéni felhasználókat vagy Microsoft Entra-csoportokat rendeljen a Microsoft Entra által csatlakoztatott eszközök helyi rendszergazdák csoportjához, így részletességgel konfigurálhat különböző rendszergazdákat különböző eszközcsoportokhoz.

A szervezetek az Intune használatával kezelhetik ezeket a szabályzatokat egyéni OMA-URI Gépház vagy fiókvédelmi szabályzattal. Néhány szempont a szabályzat használatához:

• A Microsoft Entra-csoportok szabályzaton keresztüli hozzáadásához a csoport biztonsági azonosítója (SID) szükséges, amely a Microsoft Graph API csoportokhoz való futtatásával szerezhető be. A SID megegyezik az API-válasz tulajdonságával securityIdentifier .

• A házirendet használó Rendszergazda istrator jogosultságokat csak a következő jól ismert csoportok értékelik ki Windows 10 vagy újabb eszközökön – Rendszergazda istratorok, felhasználók, vendégek, power-felhasználók, távoli asztali felhasználók és távfelügyeleti felhasználók.

• A Microsoft Entra-csoportokat használó helyi rendszergazdák kezelése nem alkalmazható a Microsoft Entra hibrid csatlakoztatott vagy Microsoft Entra regisztrált eszközeire.

• Az eszközön ezzel a házirenddel üzembe helyezett Microsoft Entra-csoportok nem vonatkoznak távoli asztali kapcsolatokra. A Microsoft Entra-hoz csatlakoztatott eszközök távoli asztali engedélyeinek szabályozásához hozzá kell adnia az egyes felhasználók SID-jét a megfelelő csoporthoz.

Fontos

A Microsoft Entra ID-val való Windows-bejelentkezés legfeljebb 20 csoport rendszergazdai jogosultságok kiértékelését támogatja. Javasoljuk, hogy minden eszközön legfeljebb 20 Microsoft Entra-csoport legyen, hogy a rendszergazdai jogosultságok megfelelően legyenek hozzárendelve. Ez a korlátozás a beágyazott csoportokra is vonatkozik.

Rendszeres felhasználók kezelése

Alapértelmezés szerint a Microsoft Entra ID hozzáadja a Microsoft Entra-csatlakozást végző felhasználót az eszközön található rendszergazdai csoporthoz. Ha meg szeretné akadályozni, hogy a rendszeres felhasználók helyi rendszergazdákká váljanak, az alábbi lehetőségek közül választhat:

• Windows Autopilot – A Windows Autopilot egy Autopilot-profil létrehozásával megakadályozhatja, hogy az illesztést végrehajtó elsődleges felhasználó helyi rendszergazda legyen.
• Tömeges regisztráció – a tömeges regisztráció kontextusában végrehajtott Microsoft Entra-illesztés egy automatikusan létrehozott felhasználó kontextusában történik. Az eszközök csatlakoztatása után bejelentkező felhasználók nem lesznek hozzáadva a rendszergazdák csoportjához.

Felhasználó manuális emeltetése egy eszközön

A Microsoft Entra csatlakozási folyamat használata mellett manuálisan is emelheti a normál felhasználót, hogy egy adott eszközön helyi rendszergazda legyen. Ehhez a lépéshez már a helyi rendszergazdák csoportjának tagja kell lennie.

A Windows 10 1709 kiadásától kezdve ezt a feladatot a Gépház – Fiókok –>> Egyéb felhasználók szolgáltatásból is elvégezheti. Válassza a Munkahelyi vagy iskolai felhasználó hozzáadása lehetőséget, adja meg a felhasználó egyszerű nevét (UPN) a Felhasználói fiók csoportban, és válassza a Rendszergazda istrator lehetőséget a Fiók típusa csoportban

Emellett a parancssor használatával felhasználókat is hozzáadhat:

• Ha a bérlő felhasználói szinkronizálva vannak a helyi Active Directory, használja a következőtnet localgroup administrators /add "Contoso\username": .
• Ha a bérlői felhasználók a Microsoft Entra-azonosítóban vannak létrehozva, használja a net localgroup administrators /add "AzureAD\UserUpn"

Megfontolások

• Szerepköralapú csoportokat csak a Microsoft Entra-hoz csatlakoztatott eszköz helyi Rendszergazda istrator szerepkörhöz rendelhet.
• A Microsoft Entra csatlakoztatott eszköz helyi Rendszergazda istrator szerepköre az összes Microsoft Entra-hez csatlakoztatott eszközhöz van hozzárendelve. Ezt a szerepkört nem lehet egy adott eszközcsoportra korlátozni.
• A Windows-eszközök helyi rendszergazdai jogosultságai nem vonatkoznak a Microsoft Entra B2B vendégfelhasználóira.
• Ha eltávolítja a felhasználókat a Microsoft Entra csatlakoztatott eszköz helyi Rendszergazda istrator szerepköréből, a módosítások nem azonnal történnek. A felhasználók akkor is rendelkeznek helyi rendszergazdai jogosultsággal az eszközön, ha bejelentkeztek. A rendszer visszavonja a jogosultságot a következő bejelentkezés során, amikor új elsődleges frissítési jogkivonatot adnak ki. Ez a jogosultságszint-emelési szinthez hasonló visszavonás akár 4 órát is igénybe vehet.

Következő lépések

• Az eszközök kezelésének áttekintéséhez tekintse meg az eszközidentitások kezelését ismertető témakört.
• Az eszközalapú feltételes hozzáféréssel kapcsolatos további információkért lásd : Feltételes hozzáférés: Megfelelő vagy Microsoft Entra hibrid csatlakoztatott eszköz megkövetelése.