Como gerenciar o grupo de administradores locais em dispositivos ingressados do Microsoft Entra

Para gerir um dispositivo Windows, tem de ser membro do grupo de administradores locais. Como parte do processo de ingresso do Microsoft Entra, a ID do Microsoft Entra atualiza a associação desse grupo em um dispositivo. Você pode personalizar a atualização de associação para atender aos requisitos da sua empresa. Uma atualização de associação é, por exemplo, útil se você quiser permitir que sua equipe de helpdesk realize tarefas que exijam direitos de administrador em um dispositivo.

Este artigo explica como funciona a atualização de associação de administradores locais e como você pode personalizá-la durante uma associação do Microsoft Entra. O conteúdo deste artigo não se aplica aos dispositivos associados híbridos do Microsoft Entra.

Como funciona

No momento da associação do Microsoft Entra, as seguintes entidades de segurança são adicionadas ao grupo de administradores locais no dispositivo:

• As funções de Administrador Local de Dispositivo Ingressado no Microsoft Entra e de Administrador Global
• O utilizador que executa a associação ao Microsoft Entra

Nota

Isso é feito apenas durante a operação de junção. Se um administrador fizer alterações após esse ponto, ele precisará atualizar a associação ao grupo no dispositivo.

Ao adicionar funções do Microsoft Entra ao grupo de administradores locais, você pode atualizar os usuários que podem gerenciar um dispositivo a qualquer momento no Microsoft Entra ID sem modificar nada no dispositivo. O Microsoft Entra ID também adiciona a função de Administrador Local de Dispositivo Ingressado no Microsoft Entra ao grupo de administradores locais para dar suporte ao princípio de menor privilégio (PoLP).

Gerenciar a função de Administrador Local de Dispositivo Ingressado no Microsoft Entra

Você pode gerenciar a função de Administrador Local de Dispositivo Ingressado no Microsoft Entra nas configurações do dispositivo.

1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Função Privilegiada.
2. Navegue até Dispositivos de>identidade>Todos os dispositivos>Configurações do dispositivo.
3. Selecione Gerenciar administradores locais adicionais em todos os dispositivos associados ao Microsoft Entra.
4. Selecione Adicionar atribuições , escolha os outros administradores que deseja adicionar e selecione Adicionar.

Para modificar a função de Administrador Local de Dispositivo Ingressado no Microsoft Entra, configure Administradores locais adicionais em todos os dispositivos ingressados no Microsoft Entra.

Nota

Esta opção requer licenças Microsoft Entra ID P1 ou P2.

Os Administradores Locais de Dispositivos Ingressados do Microsoft Entra são atribuídos a todos os dispositivos ingressados no Microsoft Entra. Não é possível definir o escopo dessa função para um conjunto específico de dispositivos. A atualização da função de Administrador Local de Dispositivo Ingressado no Microsoft Entra não tem necessariamente um impacto imediato nos usuários afetados. Em dispositivos nos quais um usuário já está conectado, a elevação de privilégios ocorre quando ambas as ações abaixo acontecem:

• Até 4 horas se passaram para que o Microsoft Entra ID emita um novo Token de Atualização Primária com os privilégios apropriados.
• O usuário sai e entra novamente, não bloqueia/desbloqueia para atualizar seu perfil.

Os usuários não são listados diretamente no grupo de administradores locais, as permissões são recebidas por meio do Token de Atualização Primária.

Nota

As ações acima não são aplicáveis a usuários que não entraram no dispositivo relevante anteriormente. Nesse caso, os privilégios de administrador são aplicados imediatamente após o primeiro login no dispositivo.

Gerenciar privilégios de administrador usando grupos do Microsoft Entra (visualização)

Você pode usar os grupos do Microsoft Entra para gerenciar privilégios de administrador em dispositivos associados ao Microsoft Entra com a política de gerenciamento de dispositivos móveis (MDM) de Usuários e Grupos Locais . Esta política permite atribuir utilizadores individuais ou grupos do Microsoft Entra ao grupo de administradores locais num dispositivo associado ao Microsoft Entra, fornecendo-lhe a granularidade necessária para configurar administradores distintos para diferentes grupos de dispositivos.

As organizações podem usar o Intune para gerenciar essas políticas usando Configurações de OMA-URI personalizadas ou Política de proteção de conta. Algumas considerações para usar essa política:

• Adicionar grupos do Microsoft Entra por meio da política requer o identificador de segurança (SID) do grupo que pode ser obtido executando a API do Microsoft Graph para Grupos. O SID equivale à propriedade securityIdentifier na resposta da API.

• Os privilégios de administrador que utilizam esta política são avaliados apenas para os seguintes grupos bem conhecidos num dispositivo Windows 10 ou mais recente - Administradores, Utilizadores, Convidados, Utilizadores Avançados, Utilizadores do Ambiente de Trabalho Remoto e Utilizadores de Gestão Remota.

• O gerenciamento de administradores locais usando grupos do Microsoft Entra não é aplicável a dispositivos registrados no Microsoft Entra híbrido ou no Microsoft Entra.

• Os grupos do Microsoft Entra implantados em um dispositivo com essa política não se aplicam a conexões de área de trabalho remota. Para controlar as permissões de área de trabalho remota para dispositivos associados ao Microsoft Entra, você precisa adicionar o SID do usuário individual ao grupo apropriado.

Importante

O início de sessão do Windows com o Microsoft Entra ID suporta a avaliação de até 20 grupos para direitos de administrador. Recomendamos ter no máximo 20 grupos do Microsoft Entra em cada dispositivo para garantir que os direitos de administrador sejam atribuídos corretamente. Essa limitação também se aplica a grupos aninhados.

Gerir utilizadores regulares

Por padrão, o Microsoft Entra ID adiciona o usuário que executa a associação do Microsoft Entra ao grupo de administradores no dispositivo. Se quiser impedir que usuários regulares se tornem administradores locais, você tem as seguintes opções:

• Windows Autopilot - O Windows Autopilot fornece uma opção para impedir que o usuário principal que executa a associação se torne um administrador local criando um perfil de piloto automático.
• Registro em massa - uma associação do Microsoft Entra que é executada no contexto de um registro em massa acontece no contexto de um usuário criado automaticamente. Os utilizadores que iniciam sessão depois de um dispositivo ter sido associado não são adicionados ao grupo de administradores.

Elevar manualmente um usuário em um dispositivo

Além de usar o processo de ingresso do Microsoft Entra, você também pode elevar manualmente um usuário comum para se tornar um administrador local em um dispositivo específico. Esta etapa requer que você já seja membro do grupo de administradores locais.

A partir da versão 10 1709 do Windows, pode executar esta tarefa a partir de Definições -> Contas -> Outros utilizadores. Selecione Adicionar um utilizador escolar ou profissional, introduza o nome principal de utilizador (UPN) do utilizador em Conta de utilizador e selecione Administrador em Tipo de conta

Além disso, você também pode adicionar usuários usando o prompt de comando:

• Se os usuários locatários estiverem sincronizados a partir do Ative Directory local, use net localgroup administrators /add "Contoso\username".
• Se os usuários locatários forem criados na ID do Microsoft Entra, use net localgroup administrators /add "AzureAD\UserUpn"

Considerações

• Você só pode atribuir grupos baseados em função à função de Administrador Local de Dispositivo Ingressado no Microsoft Entra.
• A função de Administrador Local de Dispositivo Ingressado do Microsoft Entra é atribuída a todos os dispositivos ingressados do Microsoft Entra. Essa função não pode ter escopo para um conjunto específico de dispositivos.
• Os direitos de administrador local em dispositivos Windows não são aplicáveis a usuários convidados do Microsoft Entra B2B.
• Quando você remove usuários da função de Administrador Local de Dispositivo Ingressado no Microsoft Entra, as alterações não são instantâneas. Os usuários ainda têm privilégio de administrador local em um dispositivo, desde que estejam conectados a ele. O privilégio é revogado durante a próxima entrada quando um novo token de atualização primário é emitido. Essa revogação, semelhante à elevação de privilégio, pode levar até 4 horas.

Próximos passos

• Para obter uma visão geral de como gerenciar dispositivos, consulte Gerenciando identidades de dispositivos.
• Para saber mais sobre o Acesso Condicional baseado em dispositivo, consulte Acesso Condicional: Exigir dispositivo compatível ou associado híbrido do Microsoft Entra.