De lokale beheerdersgroep beheren op aan Microsoft Entra gekoppelde apparaten

Als u een Windows-apparaat wilt beheren, moet u lid zijn van de lokale beheerdersgroep. Als onderdeel van het Microsoft Entra Join-proces werkt Microsoft Entra ID het lidmaatschap van deze groep op een apparaat bij. U kunt de lidmaatschapsupdate aanpassen aan uw bedrijfsbehoeften. Een lidmaatschapsupdate is bijvoorbeeld handig als u uw helpdeskmedewerkers in staat wilt stellen taken uit te voeren waarvoor beheerdersrechten op een apparaat zijn vereist.

In dit artikel wordt uitgelegd hoe de lidmaatschapsupdate van lokale beheerders werkt en hoe u deze kunt aanpassen tijdens een Microsoft Entra-deelname. De inhoud van dit artikel is niet van toepassing op hybride apparaten van Microsoft Entra.

Hoe het werkt

Op het moment van Microsoft Entra-deelname worden de volgende beveiligingsprinciplen toegevoegd aan de lokale beheerdersgroep op het apparaat:

• De lokale Beheer istrator en de globale Beheer istratorrollen van Microsoft Entra
• De gebruiker die Microsoft Entra-koppeling uitvoert

Notitie

Dit wordt alleen gedaan tijdens de joinbewerking. Als een beheerder na dit punt wijzigingen aanbrengt, moet het groepslidmaatschap op het apparaat worden bijgewerkt.

Door Microsoft Entra-rollen toe te voegen aan de lokale beheerdersgroep, kunt u de gebruikers bijwerken die een apparaat op elk gewenst moment in Microsoft Entra-id kunnen beheren zonder iets op het apparaat te wijzigen. Microsoft Entra ID voegt ook de lokale Beheer istrator-rol van Microsoft Entra-gekoppeld apparaat toe aan de lokale beheerdersgroep ter ondersteuning van het principe van minimale bevoegdheden (PoLP).

De lokale Beheer istratorrol voor Microsoft Entra-gekoppelde apparaten beheren

U kunt de rol Lokaal Beheer apparaat dat is toegevoegd aan Microsoft entra beheren vanuit apparaatinstellingen.

1. Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een bevoorrechte rol Beheer istrator.
2. Blader naar Apparaatinstellingen voor alle apparaten identiteiten>>>.
3. Selecteer Aanvullende lokale beheerders beheren op alle aan Microsoft Entra gekoppelde apparaten.
4. Selecteer Toewijzingen toevoegen, kies vervolgens de andere beheerders die u wilt toevoegen en selecteer Toevoegen.

Als u de rol Lokaal Beheer apparaat van Microsoft Entra-gekoppelde apparaten wilt wijzigen, configureert u Aanvullende lokale beheerders op alle aan Microsoft Entra gekoppelde apparaten.

Notitie

Voor deze optie zijn Microsoft Entra ID P1- of P2-licenties vereist.

Lokale Beheer istrators voor Microsoft Entra-gekoppelde apparaten worden toegewezen aan alle aan Microsoft Entra gekoppelde apparaten. U kunt deze rol niet instellen op een specifieke set apparaten. Het bijwerken van de lokale Beheer rol Van Microsoft Entra-gekoppelde apparaten heeft niet noodzakelijkerwijs een directe invloed op de betrokken gebruikers. Op apparaten waarop een gebruiker al is aangemeld, vindt de uitbreiding van bevoegdheden plaats wanneer beide onderstaande acties plaatsvinden:

• Er zijn maximaal 4 uur verstreken voordat Microsoft Entra ID een nieuw primair vernieuwingstoken met de juiste bevoegdheden uit te geven.
• De gebruiker meldt zich af en meldt zich weer aan (vergrendelen/ontgrendelen is niet voldoende) om het profiel te vernieuwen.

Gebruikers worden niet rechtstreeks vermeld in de lokale beheerdersgroep. De machtigingen worden ontvangen via het primaire vernieuwingstoken.

Notitie

De bovenstaande acties zijn niet van toepassing op gebruikers die zich nog niet eerder hebben aangemeld bij het relevante apparaat. In dit geval worden de beheerdersbevoegdheden onmiddellijk na hun eerste aanmelding bij het apparaat toegepast.

Beheerdersbevoegdheden beheren met Microsoft Entra-groepen (preview)

U kunt Microsoft Entra-groepen gebruiken om beheerdersbevoegdheden te beheren op aan Microsoft Entra gekoppelde apparaten met het MDM-beleid (Mobile Device Management) voor lokale gebruikers en groepen . Met dit beleid kunt u afzonderlijke gebruikers of Microsoft Entra-groepen toewijzen aan de lokale beheerdersgroep op een apparaat dat is toegevoegd aan Microsoft Entra, zodat u de granulariteit krijgt om afzonderlijke beheerders voor verschillende groepen apparaten te configureren.

Organisaties kunnen Intune gebruiken om dit beleid te beheren met behulp van aangepast OMA-URI-Instellingen- of accountbeveiligingsbeleid. Enkele overwegingen voor het gebruik van dit beleid:

• Voor het toevoegen van Microsoft Entra-groepen via het beleid is de beveiligings-id (SID) van de groep vereist die kan worden verkregen door de Microsoft Graph API voor groepen uit te voeren. De SID is gelijk aan de eigenschap securityIdentifier in het API-antwoord.

• Beheerdersbevoegdheden waarin dit beleid wordt gebruikt, worden alleen geëvalueerd voor de volgende bekende groepen op een apparaat met Windows 10 of nieuwer: beheerders, gebruikers, gasten, hoofdgebruikers, gebruikers van Extern bureaublad en gebruikers van extern beheer.

• Het beheren van lokale beheerders die Microsoft Entra-groepen gebruiken, is niet van toepassing op hybride Microsoft Entra-gekoppelde apparaten of geregistreerde Microsoft Entra-apparaten.

• Microsoft Entra-groepen die zijn geïmplementeerd op een apparaat met dit beleid, zijn niet van toepassing op verbindingen met extern bureaublad. Als u machtigingen voor extern bureaublad wilt beheren voor aan Microsoft Entra gekoppelde apparaten, moet u de SID van de afzonderlijke gebruiker toevoegen aan de juiste groep.

Belangrijk

Windows-aanmelding met Microsoft Entra ID ondersteunt evaluatie van maximaal 20 groepen voor beheerdersrechten. U wordt aangeraden niet meer dan 20 Microsoft Entra-groepen op elk apparaat te hebben om ervoor te zorgen dat beheerdersrechten correct zijn toegewezen. Deze beperking is ook van toepassing op geneste groepen.

Gewone gebruikers beheren

Standaard voegt Microsoft Entra ID de gebruiker die de Microsoft Entra-deelname uitvoert toe aan de beheerdersgroep op het apparaat. Als u wilt voorkomen dat gewone gebruikers lokale beheerders worden, hebt u de volgende opties:

• Windows Autopilot: Windows Autopilot biedt de optie om te voorkomen dat een hoofdgebruiker die de koppeling uitvoert een lokale beheerder wordt door een Autopilot-profiel te maken.
• Bulkinschrijving : een Microsoft Entra join die wordt uitgevoerd in de context van een bulkinschrijving, vindt plaats in de context van een automatisch gemaakte gebruiker. Gebruikers die zich aanmelden nadat een apparaat is gekoppeld, worden niet toegevoegd aan de beheerdersgroep.

De bevoegdheid van een gebruiker handmatig verhogen op een apparaat

U kunt niet alleen het Microsoft Entra-joinproces gebruiken, maar u kunt ook handmatig een gewone gebruiker uitbreiden om een lokale beheerder te worden op één specifiek apparaat. Voor deze stap moet u al lid zijn van de lokale beheerdersgroep.

Vanaf de Windows 10 1709-release kunt u deze taak uitvoeren via Instellingen -> Accounts -> Andere gebruikers. Selecteer Een werk- of schoolgebruiker toevoegen, voer de UPN (User Principal Name) van de gebruiker in onder Gebruikersaccount en selecteer Beheer istrator onder Accounttype

Daarnaast kunt u ook gebruikers toevoegen met behulp van de opdrachtprompt:

• Als uw tenantgebruikers vanuit on-premises Active Directory worden gesynchroniseerd, gebruikt u net localgroup administrators /add "Contoso\username".
• Als uw tenantgebruikers zijn gemaakt in Microsoft Entra-id, gebruikt u net localgroup administrators /add "AzureAD\UserUpn"

Overwegingen

• U kunt alleen op rollen gebaseerde groepen toewijzen aan de lokale Beheer istratorrol van Microsoft Entra-gekoppelde apparaten.
• De rol Microsoft Entra Joined Device Local Beheer istrator is toegewezen aan alle aan Microsoft Entra gekoppelde apparaten. Deze rol kan niet worden beperkt tot een specifieke set apparaten.
• Lokale beheerdersrechten op Windows-apparaten zijn niet van toepassing op Gastgebruikers van Microsoft Entra B2B.
• Wanneer u gebruikers verwijdert uit de lokale Beheer rol Van Microsoft Entra-gekoppelde apparaten, zijn wijzigingen niet direct. Gebruikers behouden hun lokale beheerdersbevoegdheden op een apparaat zolang ze erbij zijn aangemeld. De bevoegdheid wordt ingetrokken tijdens de volgende aanmelding wanneer er een nieuw primair vernieuwingstoken is uitgegeven. Deze intrekking kan, net als de uitbreiding van de bevoegdheid, tot 4 uur duren.

Volgende stappen

• Zie Apparaatidentiteiten beheren voor een overzicht van het beheren van apparaten.
• Zie Voorwaardelijke toegang op basis van apparaten voor meer informatie over voorwaardelijke toegang: Compatibele of hybride apparaten van Microsoft Entra vereisen.