Como gerenciar o grupo de administradores locais em dispositivos ingressados no Microsoft Entra

Para gerenciar um dispositivo Windows, você precisa ser um membro do grupo Administradores local. Como parte do processo de ingresso no Microsoft Entra, o Microsoft Entra ID atualiza a associação desse grupo em um dispositivo. Você pode personalizar a atualização de associação para satisfazer seus requisitos de negócios. Uma atualização de associação é, por exemplo, útil se você quiser habilitar sua equipe de assistência técnica para realizar tarefas que exigem direitos de administrador em um dispositivo.

Este artigo explica como a atualização de associação de administradores locais funciona e como é possível personalizá-la durante um ingresso no Microsoft Entra. O conteúdo deste artigo não se aplica a dispositivos ingressados no Microsoft Entra híbrido.

Como ele funciona

No momento do ingresso no Microsoft Entra, as seguintes entidades de segurança são adicionadas ao grupo de administradores locais no dispositivo:

• O Administrador Local do dispositivo ingressado no Microsoft Entra e as funções de Administrador Global
• O usuário que está executando o ingresso no Microsoft Entra

Observação

Isso é feito somente durante a operação de junção. Se um administrador fizer alterações após esse ponto, ele precisará atualizar a associação a um grupo no dispositivo.

Com a adição de funções do Microsoft Entra ao grupo de Administradores locais, é possível atualizar os usuários que podem gerenciar um dispositivo a qualquer momento no Microsoft Entra ID sem modificar nada no dispositivo. O Microsoft Entra ID também adiciona a função Administrador local de dispositivos ingressados no Microsoft Entra ao grupo de administradores locais para dar suporte ao PoLP (princípio do privilégio mínimo).

Gerenciar a função Administrador Local do Dispositivo Ingressado no Microsoft Entra

Você pode gerenciar a Função de administrador local de dispositivo ingressado no Microsoft Entra nas configurações do dispositivo.

1. Entre no Centro de administração do Microsoft Entra como, no mínimo, um Administrador de funções com privilégios.
2. Navegue até Identidade>Dispositivos>Todos os dispositivos>Configurações do dispositivo.
3. Selecione Gerenciar administradores locais adicionais em todos os dispositivos ingressados no Microsoft Entra.
4. Selecione Adicionar atribuições e escolha os outros administradores que você deseja adicionar e selecione Adicionar.

Para modificar a função Administrador do dispositivo local ingressado no Microsoft Entra, configure Administradores locais adicionais em todos os dispositivos ingressados no Microsoft Entra.

Observação

Essa opção requer licenças do Microsoft Entra ID P1 ou P2.

Administradores locais de dispositivos ingressados no Microsoft Entra são atribuídos a todos os dispositivos ingressados no Microsoft Entra. Não é possível definir o escopo dessa função para um conjunto específico de dispositivos. Atualizar a função Administrador local do dispositivo ingressado no Microsoft Entra não tem necessariamente um impacto imediato sobre os usuários afetados. Em dispositivos onde um usuário já está conectado, a elevação de privilégio ocorre quando ambas as ações abaixo acontecem:

• Passaram-se até 4 horas para que o Microsoft Entra ID emitisse um novo Token de Atualização Primário com os privilégios apropriados.
• O usuário sai e faz logon novamente, não bloqueia/desbloqueia, para atualizar o perfil.

Os usuários não serão listados diretamente no grupo de administradores locais. As permissões serão recebidas por meio do Token de Atualização Primário.

Observação

As ações acima não são aplicáveis a usuários que não entraram no dispositivo relevante anteriormente. Nesse caso, os privilégios de administrador são aplicados imediatamente após o primeiro login no dispositivo.

Gerenciar privilégios de administrador usando grupos do Microsoft Entra (versão prévia)

É possível usar grupos do Microsoft Entra para gerenciar privilégios de administrador em dispositivos ingressados no Microsoft Entra com a política de MDM (gerenciamento de dispositivos móveis) de Usuários e Grupos Locais. Essa política permite atribuir usuários individuais ou grupos do Microsoft Entra ao grupo de administradores locais em um dispositivo ingressado no Microsoft Entra, proporcionando-lhe a granularidade para configurar administradores distintos para diferentes grupos de dispositivos.

As organizações podem usar Intune para gerenciar essas políticas usando Configurações Personalizadas de OMA-URI ou Política de proteção de conta. Algumas considerações ao usar esta política:

• Adicionar grupos do Microsoft Entra por meio da política requer o identificador de segurança (SID) do grupo que pode ser obtido executando a Microsoft Graph API para grupos. O SID equivale à propriedade securityIdentifier na resposta da API.

• Os privilégios de administrador que usam essa política são avaliados apenas para os seguintes grupos conhecidos em um dispositivo Windows 10 ou mais recente: administradores, usuários, convidados, usuários avançados, usuários da Área de Trabalho Remota e usuários de Gerenciamento Remoto.

• O gerenciamento de administradores locais usando grupos do Microsoft Entra não é aplicável a dispositivos ingressados no Microsoft Entra híbrido ou registrados no Microsoft Entra.

• Os grupos do Microsoft Entra implantados em um dispositivo com essa política não se aplicam a conexões de área de trabalho remota. Para controlar as permissões da área de trabalho remota para dispositivos ingressados no Microsoft Entra, você precisa adicionar o SID do usuário individual ao grupo apropriado.

Importante

A entrada no Windows pelo Microsoft Entra ID oferece suporte à avaliação de direitos de administrador para até 20 grupos. É recomendável ter no máximo 20 grupos do Microsoft Entra em cada dispositivo para garantir que os direitos de administrador sejam atribuídos corretamente. Essa limitação também se aplica a grupos aninhados.

Gerenciar usuários regulares

Por padrão, o Microsoft Entra ID adiciona o usuário realizando o ingresso no Microsoft Entra ao grupo de administradores no dispositivo. Se você quiser impedir que os usuários normais se tornem os administradores locais, você tem as seguintes opções:

• Windows Autopilot - o Windows Autopilot oferece uma opção para impedir que o usuário primário que está executando o ingresso se torne um administrador local por meio da criação de um perfil do Autopilot.
• Registro em massa – um ingresso no Microsoft Entra que é realizado no contexto de um registro em massa acontece no contexto de um usuário criado automaticamente. Usuários entrando depois que um dispositivo foi ingressado não são adicionados ao grupo de administradores.

Elevar manualmente um usuário em um dispositivo

Além de usar o processo de ingresso no Microsoft Entra, é possível elevar manualmente um usuário normal para se tornar um administrador local em um dispositivo específico. Esta etapa requer que você já seja um membro do grupo de administradores locais.

A partir da versão 1709 do Windows 10, é possível executar essa tarefa em Configurações - > Contas -> Outros usuários. Selecione Adicionar um usuário corporativo ou escolar, insira o nome principal do usuário (UPN) do usuário em Conta de usuário e selecione Administrador em Tipo de conta

Além disso, você também pode adicionar usuários usando o prompt de comando:

• Se os usuários de locatário são sincronizadosno local do Active Directory, use net localgroup administrators /add "Contoso\username".
• Se os usuários do locatário forem criados no Microsoft Entra ID, use net localgroup administrators /add "AzureAD\UserUpn"

Considerações

• Você só pode atribuir grupos baseados em função à função Administrador local do dispositivo ingressado no Microsoft Entra.
• A função Administrador local de dispositivo ingressado no Microsoft Entra é atribuída a todos os dispositivos ingressados no Microsoft Entra. Essa função não pode ser limitada a um conjunto específico de dispositivos.
• Os direitos de administrador local em dispositivos Windows não são aplicáveis aos usuários convidados do Microsoft Entra B2B.
• Quando você remove usuários da função Administrador local de dispositivo ingressado no Microsoft Entra, as alterações não são instantâneas. Os usuários ainda têm privilégio de administrador local em um dispositivo, desde que permaneçam conectados a ele. O privilégio é revogado durante o próximo logon, quando um novo token de atualização principal é emitido. Essa revogação, semelhante à elevação de privilégio, pode levar até 4 horas.

Próximas etapas

• Para obter uma visão geral de como gerenciar dispositivos, veja Gerenciando identidades de dispositivos.
• Para saber mais sobre o Acesso Condicional baseado em dispositivo, confira Acesso condicional: exigir dispositivo ingressado no Microsoft Entra híbrido ou em conformidade.