Come gestire il gruppo administrators locale nei dispositivi aggiunti a Microsoft Entra

Per gestire un dispositivo Windows, è necessario essere un membro del gruppo di amministratori locale. Nell'ambito del processo di aggiunta a Microsoft Entra, Microsoft Entra ID aggiorna l'appartenenza a questo gruppo in un dispositivo. È possibile personalizzare l'aggiornamento dell'appartenenza per soddisfare i requisiti aziendali. L'aggiornamento di un'appartenenza è, ad esempio, utile se si vuole consentire al personale del supporto tecnico di eseguire le attività che richiedono diritti di amministratore in un dispositivo.

Questo articolo illustra il funzionamento dell'aggiornamento dell'appartenenza degli amministratori locali e come personalizzarlo durante un join a Microsoft Entra. Il contenuto di questo articolo non si applica ai dispositivi aggiunti a Microsoft Entra ibrido .

Funzionamento

Al momento dell'aggiunta a Microsoft Entra, nel dispositivo vengono aggiunte le entità di sicurezza seguenti al gruppo administrators locale:

• I ruoli di Microsoft Entra Join Device Local Amministrazione istrator e Global Amministrazione istrator
• L'utente che esegue l'aggiunta a Microsoft Entra

Nota

Questa operazione viene eseguita solo durante l'operazione di join. Se un amministratore apporta modifiche dopo questo punto, sarà necessario aggiornare l'appartenenza al gruppo nel dispositivo.

Aggiungendo ruoli Microsoft Entra al gruppo administrators locale, è possibile aggiornare gli utenti che possono gestire un dispositivo in qualsiasi momento in Microsoft Entra ID senza modificare alcun elemento nel dispositivo. Microsoft Entra ID aggiunge anche il ruolo Microsoft Entra Joined Device Local Amministrazione istrator al gruppo administrators locale per supportare il principio dei privilegi minimi (PoLP). Oltre agli utenti con il ruolo Global Amministrazione istrator, è anche possibile abilitare gli utenti a cui è stato assegnato solo il ruolo Microsoft Entra Joined Device Local Amministrazione istrator per gestire un dispositivo.

Gestire il ruolo global Amministrazione istrator

Per visualizzare e aggiornare l'appartenenza al ruolo Global Amministrazione istrator, vedere:

• Visualizzare tutti i membri di un ruolo di amministratore in Microsoft Entra ID
• Assegnare un utente ai ruoli di amministratore in Microsoft Entra ID
• Visualizzare tutti i membri di un ruolo di amministratore in Microsoft Entra ID
• Assegnare un utente ai ruoli di amministratore in Microsoft Entra ID

Gestire il ruolo Microsoft Entra Joined Device Local Amministrazione istrator

È possibile gestire il ruolo Microsoft Entra Joined Device Local Amministrazione istrator dalle impostazioni del dispositivo.

1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
2. Passare a Dispositivi>di identità>Tutte le>impostazioni dispositivo.
3. Selezionare Gestisci amministratori locali aggiuntivi in tutti i dispositivi aggiunti a Microsoft Entra.
4. Selezionare Aggiungi assegnazioni e quindi scegliere gli altri amministratori da aggiungere e selezionare Aggiungi.

Per modificare il ruolo Microsoft Entra Joined Device Local Amministrazione istrator, configurare Amministratori locali aggiuntivi in tutti i dispositivi aggiunti a Microsoft Entra.

Nota

Questa opzione richiede licenze Microsoft Entra ID P1 o P2.

I Amministrazione istratori locali del dispositivo Microsoft Entra vengono assegnati a tutti i dispositivi aggiunti a Microsoft Entra. Non è possibile definire l'ambito di questo ruolo in un set specifico di dispositivi. L'aggiornamento del ruolo Microsoft Entra Joined Device Local Amministrazione istrator non ha necessariamente un impatto immediato sugli utenti interessati. Nei dispositivi a cui un utente ha già eseguito l'accesso, l'elevazione dei privilegi avviene quando si verificano entrambe le azioni seguenti:

• Sono passate fino a 4 ore affinché Microsoft Entra ID rilasci un nuovo token di aggiornamento primario con i privilegi appropriati.
• L'utente si disconnette e accede di nuovo, non blocca/sblocca, per aggiornare il profilo.

Gli utenti non sono elencati direttamente nel gruppo di amministratori locali, le autorizzazioni vengono ricevute tramite il token di aggiornamento primario.

Nota

Le azioni precedenti non sono applicabili agli utenti che non hanno eseguito l'accesso al dispositivo pertinente in precedenza. In questo caso, i privilegi di amministratore vengono applicati immediatamente dopo il primo accesso al dispositivo.

Gestire i privilegi di amministratore usando i gruppi di Microsoft Entra (anteprima)

È possibile usare i gruppi di Microsoft Entra per gestire i privilegi di amministratore nei dispositivi aggiunti a Microsoft Entra con i criteri Local Users and Groups mobile device management (MDM). Questo criterio consente di assegnare singoli utenti o gruppi di Microsoft Entra al gruppo administrators locale in un dispositivo aggiunto a Microsoft Entra, offrendo la granularità per configurare amministratori distinti per diversi gruppi di dispositivi.

Le organizzazioni possono usare Intune per gestire questi criteri usando Impostazioni URI OMA personalizzato o criteri di protezione dell'account. Alcune considerazioni sull'uso di questo criterio:

• L'aggiunta di gruppi di Microsoft Entra tramite i criteri richiede l'identificatore di sicurezza del gruppo (SID) che può essere ottenuto eseguendo l'API Microsoft Graph per i gruppi. Il SID equivale alla proprietà securityIdentifier nella risposta dell'API.

• i privilegi di Amministrazione istrator che usano questo criterio vengono valutati solo per i gruppi noti seguenti in un dispositivo Windows 10 o versione successiva: Amministrazione istrator, Utenti, Utenti, Utenti guest, Utenti esperti, Utenti desktop remoto e Utenti di gestione remota.

• La gestione degli amministratori locali con i gruppi di Microsoft Entra non è applicabile ai dispositivi registrati aggiunti a Microsoft Entra ibridi o Microsoft Entra.

• I gruppi di Microsoft Entra distribuiti in un dispositivo con questo criterio non si applicano alle connessioni Desktop remoto. Per controllare le autorizzazioni desktop remoto per i dispositivi aggiunti a Microsoft Entra, è necessario aggiungere il SID dell'utente singolo al gruppo appropriato.

Importante

L'accesso a Windows con Microsoft Entra ID supporta la valutazione di un massimo di 20 gruppi per i diritti di amministratore. È consigliabile non avere più di 20 gruppi di Microsoft Entra in ogni dispositivo per assicurarsi che i diritti di amministratore siano assegnati correttamente. Questa limitazione si applica anche ai gruppi annidati.

Gestire utenti normali

Per impostazione predefinita, Microsoft Entra ID aggiunge l'utente che esegue l'aggiunta a Microsoft Entra al gruppo di amministratori nel dispositivo. Per impedire agli utenti normali di diventare amministratori locali, sono disponibili le opzioni seguenti:

• Windows Autopilot : Windows Autopilot offre un'opzione per impedire all'utente primario di eseguire l'aggiunta di diventare un amministratore locale creando un profilo autopilot.
• Registrazione in blocco: un join di Microsoft Entra eseguito nel contesto di una registrazione in blocco avviene nel contesto di un utente creato automaticamente. Gli utenti che accedono dopo che un dispositivo è stato aggiunto non vengono aggiunti al gruppo administrators.

Elevare manualmente un utente su un dispositivo

Oltre a usare il processo di aggiunta a Microsoft Entra, è anche possibile elevare manualmente un utente normale per diventare un amministratore locale in un dispositivo specifico. Per eseguire questo passaggio, è necessario già essere un membro del gruppo Amministratori locale.

A partire dalla versione di Windows 10 1709, è possibile eseguire questa attività da Impostazioni - Account ->> Altri utenti. Selezionare Aggiungi un utente aziendale o dell'istituto di istruzione, immettere il nome dell'entità utente (UPN) dell'utente in Account utente e selezionare Amministrazione istrator in Tipo di account

È anche possibile aggiungere gli utenti usando il prompt dei comandi:

• Se gli utenti del tenant vengono sincronizzati da Active Directory locale, usare net localgroup administrators /add "Contoso\username".
• Se gli utenti del tenant vengono creati in Microsoft Entra ID, usare net localgroup administrators /add "AzureAD\UserUpn"

Considerazioni

• È possibile assegnare gruppi basati su ruoli solo al ruolo Microsoft Entra Joined Device Local Amministrazione istrator.
• Il ruolo Microsoft Entra Joined Device Local Amministrazione istrator viene assegnato a tutti i dispositivi aggiunti a Microsoft Entra. Questo ruolo non può essere limitato a un set specifico di dispositivi.
• I diritti di amministratore locale nei dispositivi Windows non sono applicabili agli utenti guest di Microsoft Entra B2B.
• Quando si rimuovono gli utenti dal ruolo Microsoft Entra Joined Device Local Amministrazione istrator, le modifiche non sono istantanee. Gli utenti hanno ancora il privilegio di amministratore locale su un dispositivo, purché abbiano eseguito l'accesso. Il privilegio viene revocato durante il successivo accesso quando viene rilasciato un nuovo token di aggiornamento primario. Questa revoca, analogamente all'elevazione dei privilegi, potrebbe richiedere fino a 4 ore.

Passaggi successivi

• Per una panoramica su come gestire i dispositivi, vedere Gestione delle identità dei dispositivi.
• Per altre informazioni sull'accesso condizionale basato su dispositivo, vedere Accesso condizionale: Richiedere un dispositivo aggiunto ibrido o conforme a Microsoft Entra.