Управление группой локальных администраторов на устройствах, присоединенных к Microsoft Entra

Чтобы управлять устройством Windows, необходимо быть участником группы локальных администраторов. В рамках процесса присоединения к Microsoft Entra идентификатор Microsoft Entra обновляет членство в этой группе на устройстве. Вы можете настроить обновление членства в соответствии с вашими бизнес-требованиями. Обновление членства полезно, если необходимо, к примеру, чтобы специалисты службы поддержки выполняли задачи, для которых требуются права администратора на устройстве.

В этой статье объясняется, как работает обновление членства локальных администраторов и как его можно настроить во время присоединения к Microsoft Entra. Содержимое этой статьи не относится к гибридным устройствам, присоединенным к Microsoft Entra.

Принцип работы

Во время присоединения к Microsoft Entra следующие субъекты безопасности добавляются в группу локальных администраторов на устройстве:

• Локальные Администратор istrator и глобальные роли Администратор istrator, присоединенные к устройству Майкрософт, присоединенные к устройству
• пользователь, выполняющий присоединение к Microsoft Entra.

Примечание.

Это выполняется только во время операции соединения. Если администратор вносит изменения после этого момента, им потребуется обновить членство в группе на устройстве.

Добавив роли Microsoft Entra в группу локальных администраторов, вы можете обновить пользователей, которые могут управлять устройством в любое время в идентификаторе Microsoft Entra, не изменяя ничего на устройстве. Идентификатор Microsoft Entra также добавляет роль локального Администратор istrator microsoft Entra Joined Device Local Администратор istrator в группу локальных администраторов для поддержки принципа наименьших привилегий (PoLP). Помимо пользователей с ролью Global Администратор istrator, вы также можете включить пользователей, которым назначена только роль локального Администратор istrator microsoft Entra Joined Device Для управления устройством.

Управление ролью Глобального Администратор istrator

Сведения о просмотре и обновлении членства в роли глобального Администратор istrator см. в следующих статье:

• Просмотр всех членов роли администратора в идентификаторе Microsoft Entra
• Назначение пользователю ролей администратора в идентификаторе Microsoft Entra
• Просмотр всех членов роли администратора в идентификаторе Microsoft Entra
• Назначение пользователю ролей администратора в идентификаторе Microsoft Entra

Управление ролью локального Администратор istrator устройства Microsoft Entra Joined

Вы можете управлять ролью локального Администратор istrator устройства Microsoft Entra Joined device из параметров устройства.

1. Войдите в Центр администрирования Microsoft Entra как минимум привилегированную роль Администратор istrator.
2. Перейдите к параметрам устройств удостоверений>>всех устройств.>
3. Выберите "Управление дополнительными локальными администраторами" на всех устройствах, присоединенных к Microsoft Entra.
4. Нажмите Добавить назначения, а затем выберите других администраторов, которых нужно добавить, и нажмите кнопку Добавить.

Чтобы изменить роль локального Администратор istrator устройства Microsoft Entra, настройте дополнительных локальных администраторов на всех устройствах, присоединенных к Microsoft Entra.

Примечание.

Для этого параметра требуются лицензии Microsoft Entra ID P1 или P2.

Microsoft Entra Joined Device Local Администратор istrators назначаются всем устройствам, присоединенным к Microsoft Entra. Эту роль нельзя область определенному набору устройств. Обновление роли локального Администратор istrator устройства Microsoft Entra joined device не обязательно оказывает непосредственное влияние на затронутых пользователей. На устройствах, на которых пользователь уже выполнил вход, повышение привилегий происходит при выполнении обоих следующих действий:

• Срок действия до 4 часов для идентификатора Microsoft Entra для выдачи нового первичного маркера обновления с соответствующими привилегиями.
• Пользователь вышел и снова вошел в систему (а не просто заблокировал и разблокировал ее), чтобы обновить свой профиль.

Пользователи не отображаются непосредственно в локальной группе администраторов, разрешения получаются с помощью первичного маркера обновления.

Примечание.

Указанные выше условия не относятся к пользователям, которые ранее не входили на соответствующее устройство. В этом случае права администратора применяются сразу после первого входа на устройство.

Управление правами администратора с помощью групп Microsoft Entra (предварительная версия)

Группы Microsoft Entra можно использовать для управления правами администратора на устройствах, присоединенных к Microsoft Entra, с помощью политики управления мобильными устройствами (MDM) локальных пользователей и групп . Эта политика позволяет назначать отдельных пользователей или группы Microsoft Entra группе локальных администраторов на присоединенном устройстве Microsoft Entra, обеспечивая детализацию для настройки отдельных администраторов для различных групп устройств.

Организации могут использовать Intune для управления этими политиками с помощью пользовательской Параметры OMA-URI или политики защиты учетных записей. Некоторые рекомендации по использованию этой политики:

• Для добавления групп Microsoft Entra через политику требуется идентификатор безопасности группы (SID), который можно получить, выполнив API Microsoft Graph для групп. Идентификатор безопасности соответствует свойству securityIdentifier в ответе API.

• Привилегии администратора, для которых используется политика, оцениваются на устройствах Windows 10 и более поздних версий только для следующих хорошо известных групп: администраторы, пользователи, гости, опытные пользователи, пользователи удаленного рабочего стола и пользователи удаленного управления.

• Управление локальными администраторами с помощью групп Microsoft Entra не применимо к гибридным присоединенным устройствам Microsoft Entra или зарегистрированным устройствам Microsoft Entra.

• Группы Microsoft Entra, развернутые на устройстве с этой политикой, не применяются к подключениям к удаленному рабочему столу. Чтобы управлять разрешениями удаленного рабочего стола для устройств, присоединенных к Microsoft Entra, необходимо добавить идентификатор безопасности отдельного пользователя в соответствующую группу.

Внимание

Вход Windows с помощью идентификатора Microsoft Entra поддерживает оценку до 20 групп для прав администратора. Рекомендуется не более 20 групп Microsoft Entra на каждом устройстве, чтобы убедиться, что права администратора назначены правильно. Это ограничение также применяется к вложенным группам.

Управление обычными пользователями

По умолчанию идентификатор Microsoft Entra добавляет пользователя, выполняющего присоединение Microsoft Entra к группе администраторов на устройстве. Если вы не хотите, чтобы обычные пользователи получали права локальных администраторов, вам доступны следующие варианты:

• Windows Autopilot предоставляет возможность предотвратить получение основным пользователем, выполняющим соединение, прав локального администратора путем создания профиля Autopilot.
• Массовая регистрация — присоединение Microsoft Entra, выполняемое в контексте массовой регистрации , происходит в контексте автоматически созданных пользователей. Пользователи, вошедшие после присоединения устройства, не добавляются в группу администраторов.

Повышение прав пользователя на устройстве вручную

Помимо использования процесса присоединения к Microsoft Entra, вы также можете вручную повысить уровень обычного пользователя, чтобы стать локальным администратором на одном конкретном устройстве. Для выполнения этого шага необходимо быть участником группы локальных администраторов.

Начиная с выпуска Windows 10 версии 1709, эту задачу можно выполнить из раздела Параметры -> Учетные записи -> Другие пользователи. Выберите "Добавить рабочего или учебного пользователя", введите имя участника-пользователя (UPN) в учетной записи пользователя и выберите Администратор istrator в разделе "Тип учетной записи".

Кроме того, можно также добавить пользователей с помощью командной строки:

• Если пользователи клиента синхронизированы из локальной службы Active Directory, используйте net localgroup administrators /add "Contoso\username".
• Если пользователи клиента создаются в идентификаторе Microsoft Entra, используйте net localgroup administrators /add "AzureAD\UserUpn"

Рекомендации

• Группы на основе ролей можно назначать только роли microsoft Entra Joined Device Local Администратор istrator.
• Роль локального Администратор istrator устройства Microsoft Entra joina назначается всем устройствам, присоединенным к Microsoft Entra. Эта роль не может быть область определенного набора устройств.
• Права локального администратора на устройствах Windows не применимы к гостевым пользователям Microsoft Entra B2B.
• При удалении пользователей из роли локального Администратор istrator устройства Microsoft Entra Joined изменения не являются мгновенными. Пользователи по-прежнему имеют права локального администратора на устройстве при условии, что они вошли в него. Привилегия отменяется во время следующего входа после того, как будет выдан новый основной маркер обновления. Эта отмена, аналогично повышению привилегий, может занять до 4 часов.

Следующие шаги

• Общие сведения об управлении устройствами см. в статье "Управление удостоверениями устройств".
• Дополнительные сведения об условном доступе на основе устройств см. в статье "Условный доступ: требуется соответствие требованиям или гибридное устройство, присоединенное к Microsoft Entra".