Megosztás a következőn keresztül:

A helyi rendszergazdák csoport kezelése a Microsoft Entra-hoz csatlakoztatott eszközökön

  • Cikk

Egy Windows-eszköz kezeléséhez a helyi rendszergazdai csoport tagjának kell lennie. A Microsoft Entra csatlakozási folyamat részeként a Microsoft Entra ID frissíti a csoport tagságát egy eszközön. Az üzleti követelményeknek megfelelően testre szabhatja a tagság frissítését. A tagság frissítése például akkor hasznos, ha engedélyezni szeretné a segélyszolgálat munkatársainak, hogy rendszergazdai jogosultságot igénylő feladatokat végezzenek az eszközön.

Ez a cikk bemutatja, hogyan működik a helyi rendszergazdák tagságának frissítése, és hogyan szabhatja testre a Microsoft Entra-csatlakozás során. A cikk tartalma nem vonatkozik a Microsoft Entra hibrid csatlakoztatott eszközeire.

Hogyan működik?

A Microsoft Entra csatlakozáskor a rendszer a következő biztonsági tagokat adja hozzá az eszközön található helyi rendszergazdák csoportjához:

Feljegyzés

Ez csak az illesztési művelet során történik. Ha egy rendszergazda módosítja ezt a pontot, frissítenie kell a csoporttagságokat az eszközön.

Ha felhasználókat ad hozzá a Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdai szerepköréhez, frissítheti azokat a felhasználókat, amelyek bármikor kezelhetik az eszközt a Microsoft Entra-azonosítóban anélkül, hogy bármit módosítanának az eszközön. A Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdai szerepköre hozzáadódik a helyi rendszergazdák csoportjához, hogy támogassa a minimális jogosultság elvét.

Rendszergazdai szerepkörök kezelése

A rendszergazdai szerepkörök tagságának megtekintéséhez és frissítéséhez lásd:

A Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdai szerepkörének kezelése

Az eszközbeállításokból kezelheti a Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdai szerepkörét.

  1. Jelentkezzen be a Microsoft Entra Felügyeleti központba legalább emelt szintű szerepkör-rendszergazdaként.
  2. Keresse meg az Identitáseszközök>>minden eszköz>eszközbeállítást.
  3. Válassza a További helyi rendszergazdák kezelése a Microsoft Entra összes csatlakoztatott eszközén lehetőséget.
  4. Válassza a Hozzárendelések hozzáadása lehetőséget, majd válassza ki a hozzáadni kívánt többi rendszergazdát, majd válassza a Hozzáadás lehetőséget.

A Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdai szerepkörének módosításához konfiguráljon további helyi rendszergazdákat a Microsoft Entra összes csatlakoztatott eszközén.

Feljegyzés

Ehhez a beállításhoz P1 vagy P2 Microsoft Entra-azonosítójú licenc szükséges.

A Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdái az összes Microsoft Entra-hez csatlakoztatott eszközhöz vannak hozzárendelve. Ezt a szerepkört nem lehet egy adott eszközcsoportra korlátozni. A Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdai szerepkörének frissítése nem feltétlenül érinti azonnal az érintett felhasználókat. Azokon az eszközökön, amelyekbe a felhasználó már bejelentkezett, a jogosultságszint-emelés akkor történik, ha az alábbi műveletek mindegyike megtörténik:

  • A Microsoft Entra ID legfeljebb 4 óra elteltével ad ki egy új elsődleges frissítési jogkivonatot a megfelelő jogosultságokkal.
  • A felhasználó kijelentkezik, és bejelentkezik, és nem zárolja/oldja fel a zárolást, hogy frissítse a profilját.

A felhasználók nem szerepelnek közvetlenül a helyi rendszergazdai csoportban, engedélyeiket az elsődleges frissítési jogkivonaton keresztül kapják meg.

Feljegyzés

A fenti műveletek nem alkalmazhatók azokra a felhasználókra, akik korábban nem jelentkeztek be az adott eszközre. Ebben az esetben a rendszergazdai jogosultságok közvetlenül az eszközre való első bejelentkezés után lesznek alkalmazva.

Rendszergazdai jogosultságok kezelése Microsoft Entra-csoportokkal (előzetes verzió)

A Microsoft Entra-csoportok használatával rendszergazdai jogosultságokat kezelhet a Microsoft Entra-hoz csatlakoztatott eszközökön a Helyi felhasználók és csoportok mobileszköz-kezelési (MDM) szabályzattal. Ez a szabályzat lehetővé teszi, hogy egyéni felhasználókat vagy Microsoft Entra-csoportokat rendeljen a Microsoft Entra által csatlakoztatott eszközök helyi rendszergazdák csoportjához, így részletességgel konfigurálhat különböző rendszergazdákat különböző eszközcsoportokhoz.

A szervezetek az Intune használatával kezelhetik ezeket a szabályzatokat egyéni OMA-URI-beállítások vagy fiókvédelmi szabályzatok használatával. Néhány szempont a szabályzat használatához:

  • A Microsoft Entra-csoportok szabályzaton keresztüli hozzáadásához a csoport biztonsági azonosítója (SID) szükséges, amely a Microsoft Graph API csoportokhoz való futtatásával szerezhető be. A SID megegyezik az API-válasz tulajdonságával securityIdentifier .

  • A házirendet használó rendszergazdai jogosultságok csak a következő jól ismert csoportokra lesznek kiértékelve Windows 10 vagy újabb eszközökön – rendszergazdák, felhasználók, vendégek, power users, távoli asztali felhasználók és távfelügyeleti felhasználók.

  • A Microsoft Entra-csoportokat használó helyi rendszergazdák kezelése nem alkalmazható a Microsoft Entra hibrid csatlakoztatott vagy Microsoft Entra regisztrált eszközeire.

  • Az eszközön ezzel a házirenddel üzembe helyezett Microsoft Entra-csoportok nem vonatkoznak távoli asztali kapcsolatokra. A Microsoft Entra-hoz csatlakoztatott eszközök távoli asztali engedélyeinek szabályozásához hozzá kell adnia az egyes felhasználók SID-jét a megfelelő csoporthoz.

Fontos

A Microsoft Entra ID-val való Windows-bejelentkezés legfeljebb 20 csoport rendszergazdai jogosultságok kiértékelését támogatja. Javasoljuk, hogy minden eszközön legfeljebb 20 Microsoft Entra-csoport legyen, hogy a rendszergazdai jogosultságok megfelelően legyenek hozzárendelve. Ez a korlátozás a beágyazott csoportokra is vonatkozik.

Rendszeres felhasználók kezelése

Alapértelmezés szerint a Microsoft Entra ID hozzáadja a Microsoft Entra-csatlakozást végző felhasználót az eszközön található rendszergazdai csoporthoz. Ha meg szeretné akadályozni, hogy a rendszeres felhasználók helyi rendszergazdákká váljanak, az alábbi lehetőségek közül választhat:

Felhasználó manuális emeltetése egy eszközön

A Microsoft Entra csatlakozási folyamat használata mellett manuálisan is emelheti a normál felhasználót, hogy egy adott eszközön helyi rendszergazda legyen. Ehhez a lépéshez már a helyi rendszergazdák csoportjának tagja kell lennie.

A Windows 10 1709 kiadásától kezdve ezt a feladatot a Beállítások – Fiókok –>> Egyéb felhasználók lehetőséggel végezheti el. Válassza a Munkahelyi vagy iskolai felhasználó hozzáadása lehetőséget, adja meg a felhasználó egyszerű nevét (UPN) a Felhasználói fiók területen, és válassza a Rendszergazda lehetőséget a Fiók típusa csoportban

Emellett a parancssor használatával felhasználókat is hozzáadhat:

  • Ha a bérlő felhasználói szinkronizálva vannak a helyi Active Directory, használja a következőtnet localgroup administrators /add "Contoso\username": .
  • Ha a bérlői felhasználók a Microsoft Entra-azonosítóban vannak létrehozva, használja a net localgroup administrators /add "AzureAD\UserUpn"

Megfontolások

  • Szerepköralapú csoportokat csak a Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdai szerepköréhez rendelhet.
  • A Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdai szerepköre minden Microsoft Entra-hez csatlakoztatott eszközhöz hozzá van rendelve. Ezt a szerepkört nem lehet egy adott eszközcsoportra korlátozni.
  • A Windows-eszközök helyi rendszergazdai jogosultságai nem vonatkoznak a Microsoft Entra B2B vendégfelhasználóira.
  • Amikor eltávolítja a felhasználókat a Microsoft Entra-hoz csatlakoztatott eszköz helyi rendszergazdai szerepköréből, a módosítások nem azonnal történnek. A felhasználók akkor is rendelkeznek helyi rendszergazdai jogosultsággal az eszközön, ha bejelentkeztek. A rendszer visszavonja a jogosultságot a következő bejelentkezés során, amikor új elsődleges frissítési jogkivonatot adnak ki. Ez a jogosultságszint-emelési szinthez hasonló visszavonás akár 4 órát is igénybe vehet.

Következő lépések