Udostępnij za pośrednictwem


Jak zarządzać lokalną grupą administratorów na urządzeniach dołączonych do firmy Microsoft

Aby zarządzać urządzeniem z systemem Windows, musisz być członkiem grupy administratorów lokalnych. W ramach procesu dołączania do firmy Microsoft entra identyfikator Firmy Microsoft aktualizuje członkostwo tej grupy na urządzeniu. Możesz dostosować aktualizację członkostwa, aby spełnić wymagania biznesowe. Aktualizacja członkostwa jest na przykład przydatna, jeśli chcesz umożliwić pracownikom pomocy technicznej wykonywanie zadań wymagających uprawnień administratora na urządzeniu.

W tym artykule wyjaśniono, jak działa aktualizacja członkostwa administratorów lokalnych i jak można ją dostosować podczas dołączania do firmy Microsoft Entra. Zawartość tego artykułu nie ma zastosowania do urządzeń dołączonych hybrydowych do firmy Microsoft.

Jak to działa

W momencie dołączenia do firmy Microsoft Entra następujące podmioty zabezpieczeń są dodawane do lokalnej grupy administratorów na urządzeniu:

  • Rola Administratora lokalnego urządzenia przyłączonego do firmy Microsoft i administratora globalnego
  • Użytkownik wykonujący dołączenie do usługi Microsoft Entra

Uwaga

Odbywa się to tylko podczas operacji sprzężenia. Jeśli administrator wprowadza zmiany po tym punkcie, będzie musiał zaktualizować członkostwo w grupie na urządzeniu.

Dodając role Firmy Microsoft Entra do lokalnej grupy administratorów, można zaktualizować użytkowników, którzy mogą zarządzać urządzeniem w dowolnym momencie w identyfikatorze Entra firmy Microsoft bez modyfikowania niczego na urządzeniu. Identyfikator Entra firmy Microsoft dodaje również rolę administratora lokalnego urządzenia dołączonego do firmy Microsoft do lokalnej grupy administratorów w celu obsługi zasady najniższych uprawnień (PoLP). Oprócz użytkowników z rolą administratora globalnego można również włączyć użytkowników przypisanych tylko do roli administratora lokalnego urządzenia dołączonego do firmy Microsoft w celu zarządzania urządzeniem.

Zarządzanie rolami administratorów

Aby wyświetlić i zaktualizować członkostwo roli administratora, zobacz:

Zarządzanie rolą administratora lokalnego urządzenia dołączonego do firmy Microsoft

Z ustawień urządzenia można zarządzać rolą administratora lokalnego urządzenia dołączonego do firmy Microsoft.

  1. Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator ról uprzywilejowanych.
  2. Przejdź do pozycji Urządzenia tożsamości>>Wszystkie urządzenia Ustawienia urządzenia.>
  3. Wybierz pozycję Zarządzaj dodatkowymi administratorami lokalnymi na wszystkich urządzeniach dołączonych do firmy Microsoft.
  4. Wybierz pozycję Dodaj przypisania , a następnie wybierz innych administratorów, których chcesz dodać, i wybierz pozycję Dodaj.

Aby zmodyfikować rolę Administratora lokalnego urządzenia dołączonego do firmy Microsoft, skonfiguruj dodatkowych administratorów lokalnych na wszystkich urządzeniach dołączonych do firmy Microsoft.

Uwaga

Ta opcja wymaga licencji Microsoft Entra ID P1 lub P2.

Administratorzy lokalni urządzeń dołączonych do firmy Microsoft są przypisywani do wszystkich urządzeń dołączonych do firmy Microsoft. Nie można ograniczyć tej roli do określonego zestawu urządzeń. Aktualizacja roli Administratora lokalnego urządzenia dołączonego do firmy Microsoft nie musi mieć bezpośredniego wpływu na użytkowników, których dotyczy problem. Na urządzeniach, na których użytkownik jest już zalogowany, podniesienie uprawnień odbywa się po wystąpieniu obu poniższych akcji:

  • Do 4 godzin minęło wydanie nowego podstawowego tokenu odświeżania z odpowiednimi uprawnieniami dla identyfikatora Entra firmy Microsoft.
  • Użytkownik wy loguje się i loguje się ponownie, a nie blokuje/odblokuj, aby odświeżyć swój profil.

Użytkownicy nie są bezpośrednio wyświetlani w lokalnej grupie administratorów, a ich uprawnienia są odbierane za pośrednictwem podstawowego tokenu odświeżania.

Uwaga

Powyższe akcje nie mają zastosowania do użytkowników, którzy wcześniej nie zalogowali się do odpowiedniego urządzenia. W takim przypadku uprawnienia administratora są stosowane natychmiast po pierwszym zalogowaniu się na urządzeniu.

Zarządzanie uprawnieniami administratora przy użyciu grup Entra firmy Microsoft (wersja zapoznawcza)

Grupy firmy Microsoft Entra umożliwiają zarządzanie uprawnieniami administratora na urządzeniach dołączonych do firmy Microsoft przy użyciu zasad zarządzania urządzeniami przenośnymi (MDM) lokalnych użytkowników i grup . Te zasady umożliwiają przypisywanie poszczególnych użytkowników lub grup firmy Microsoft Entra do lokalnej grupy administratorów na urządzeniu dołączonym do firmy Microsoft, co zapewnia stopień szczegółowości konfigurowania odrębnych administratorów dla różnych grup urządzeń.

Organizacje mogą używać usługi Intune do zarządzania tymi zasadami przy użyciu niestandardowych ustawień OMA-URI lub zasad ochrony konta. Kilka zagadnień dotyczących korzystania z tych zasad:

  • Dodanie grup firmy Microsoft Entra za pomocą zasad wymaga identyfikatora zabezpieczeń grupy (SID), który można uzyskać, wykonując interfejs API programu Microsoft Graph dla grup. Identyfikator SID odpowiada właściwości securityIdentifier w odpowiedzi interfejsu API.

  • Uprawnienia administratora korzystające z tych zasad są oceniane tylko dla następujących dobrze znanych grup na urządzeniu z systemem Windows 10 lub nowszym — Administratorzy, Użytkownicy, Goście, Użytkownicy programu Power Users, Użytkownicy pulpitu zdalnego i Użytkownicy zdalnego zarządzania.

  • Zarządzanie administratorami lokalnymi przy użyciu grup Firmy Microsoft Entra nie ma zastosowania do urządzeń hybrydowych dołączonych do firmy Microsoft Entra ani zarejestrowanych urządzeń firmy Microsoft Entra.

  • Grupy microsoft Entra wdrożone na urządzeniu przy użyciu tych zasad nie mają zastosowania do połączeń pulpitu zdalnego. Aby kontrolować uprawnienia pulpitu zdalnego dla urządzeń dołączonych do firmy Microsoft, należy dodać identyfikator SID poszczególnych użytkowników do odpowiedniej grupy.

Ważne

Logowanie w systemie Windows przy użyciu identyfikatora Entra firmy Microsoft obsługuje ocenę maksymalnie 20 grup dla praw administratora. Zalecamy, aby na każdym urządzeniu nie było więcej niż 20 grup firmy Microsoft Entra, aby upewnić się, że prawa administratora są poprawnie przypisane. To ograniczenie dotyczy również grup zagnieżdżonych.

Zarządzanie zwykłymi użytkownikami

Domyślnie identyfikator Entra firmy Microsoft dodaje użytkownika wykonującego dołączenie do grupy administratorów na urządzeniu. Jeśli chcesz uniemożliwić zwykłym użytkownikom bycie administratorami lokalnymi, masz następujące opcje:

  • Rozwiązanie Windows Autopilot — rozwiązanie Windows Autopilot umożliwia uniemożliwienie użytkownikowi podstawowemu dołączania do roli administratora lokalnego przez utworzenie profilu rozwiązania Autopilot.
  • Rejestracja zbiorcza — dołączenie do firmy Microsoft Entra wykonywane w kontekście rejestracji zbiorczej odbywa się w kontekście automatycznie tworzonego użytkownika. Użytkownicy logujący się po dołączeniu urządzenia nie są dodawani do grupy administratorów.

Ręczne podnoszenie poziomu uprawnień użytkownika na urządzeniu

Oprócz korzystania z procesu dołączania do firmy Microsoft entra można również ręcznie podnieść poziom zwykłego użytkownika, aby zostać administratorem lokalnym na jednym konkretnym urządzeniu. Ten krok wymaga już członkostwa w lokalnej grupie administratorów.

Począwszy od wersji systemu Windows 10 1709, możesz wykonać to zadanie w obszarze Ustawienia —> Konta —> Inni użytkownicy. Wybierz pozycję Dodaj użytkownika służbowego, wprowadź główną nazwę użytkownika (UPN) w obszarze Konto użytkownika i wybierz pozycję Administrator w obszarze Typ konta

Ponadto można również dodawać użytkowników przy użyciu wiersza polecenia:

  • Jeśli użytkownicy dzierżawy są synchronizowani z lokalna usługa Active Directory, użyj polecenia net localgroup administrators /add "Contoso\username".
  • Jeśli użytkownicy dzierżawy są utworzeni w identyfikatorze Entra firmy Microsoft, użyj polecenia net localgroup administrators /add "AzureAD\UserUpn"

Kwestie wymagające rozważenia

  • Grupy oparte na rolach można przypisywać tylko do roli Administratora lokalnego urządzenia dołączonego do firmy Microsoft.
  • Rola administratora lokalnego urządzenia dołączonego do firmy Microsoft jest przypisana do wszystkich urządzeń dołączonych do firmy Microsoft. Tej roli nie można ograniczyć do określonego zestawu urządzeń.
  • Uprawnienia administratora lokalnego na urządzeniach z systemem Windows nie mają zastosowania do użytkowników-gości firmy Microsoft Entra B2B.
  • Po usunięciu użytkowników z roli administratora lokalnego urządzenia dołączonego do firmy Microsoft zmiany nie są natychmiastowe. Użytkownicy nadal mają uprawnienia administratora lokalnego na urządzeniu, o ile są do niego zalogowani. Uprawnienie zostanie odwołane podczas następnego logowania, gdy zostanie wystawiony nowy podstawowy token odświeżania. To odwołanie, podobne do podniesienia uprawnień, może potrwać do 4 godzin.

Następne kroki