Управление группой локальных администраторов на устройствах, присоединенных к Microsoft Entra

Чтобы управлять устройством Windows, необходимо быть участником группы локальных администраторов. В рамках процесса присоединения к Microsoft Entra идентификатор Microsoft Entra обновляет членство в этой группе на устройстве. Вы можете настроить обновление членства в соответствии с вашими бизнес-требованиями. Обновление членства полезно, если необходимо, к примеру, чтобы специалисты службы поддержки выполняли задачи, для которых требуются права администратора на устройстве.

В этой статье объясняется, как работает обновление членства локальных администраторов и как его можно настроить во время присоединения к Microsoft Entra. Содержимое этой статьи не относится к гибридным устройствам, присоединенным к Microsoft Entra.

Принцип работы

Во время присоединения к Microsoft Entra следующие субъекты безопасности добавляются в группу локальных администраторов на устройстве:

• Локальный администратор устройства, присоединенный к Microsoft Entra, и роли глобального администратора
• пользователь, выполняющий присоединение к Microsoft Entra.

Примечание.

Это выполняется только во время операции соединения. Если администратор вносит изменения после этого момента, им потребуется обновить членство в группе на устройстве.

Добавив роли Microsoft Entra в группу локальных администраторов, вы можете обновить пользователей, которые могут управлять устройством в любое время в идентификаторе Microsoft Entra, не изменяя ничего на устройстве. Идентификатор Microsoft Entra также добавляет роль локального администратора устройства Microsoft Entra Joined в группу локальных администраторов для поддержки принципа наименьших привилегий (PoLP). Помимо пользователей с ролью глобального администратора, вы также можете включить пользователей, которым назначена только роль локального администратора устройства Microsoft Entra Joined для управления устройством.

Управление ролями администратора

Сведения о просмотре и обновлении членства роли администратора см. в следующих статье:

• Просмотр всех членов роли администратора в идентификаторе Microsoft Entra
• Назначение пользователю ролей администратора в идентификаторе Microsoft Entra

Управление ролью локального администратора присоединенного к устройству Microsoft Entra

Вы можете управлять ролью локального администратора устройства Microsoft Entra Joined из параметров устройства.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор привилегированных ролей.
2. Перейдите к параметрам устройств удостоверений>>всех устройств.>
3. Выберите "Управление дополнительными локальными администраторами" на всех устройствах, присоединенных к Microsoft Entra.
4. Нажмите Добавить назначения, а затем выберите других администраторов, которых нужно добавить, и нажмите кнопку Добавить.

Чтобы изменить роль локального администратора устройства Microsoft Entra Joined, настройте дополнительных локальных администраторов на всех устройствах, присоединенных к Microsoft Entra.

Примечание.

Для этого параметра требуются лицензии Microsoft Entra ID P1 или P2.

Локальные администраторы устройств, присоединенные к Microsoft Entra, назначаются всем устройствам, присоединенным к Microsoft Entra. Вы не можете ограничить эту роль определенным набором устройств. Обновление роли локального администратора присоединенного к устройству Microsoft Entra не обязательно оказывает непосредственное влияние на затронутых пользователей. На устройствах, на которых пользователь уже выполнил вход, повышение привилегий происходит при выполнении обоих следующих действий:

• До 4 часов, переданных для идентификатора Microsoft Entra, чтобы выдать новый первичный маркер обновления с соответствующими привилегиями.
• Пользователь вышел и снова вошел в систему (а не просто заблокировал и разблокировал ее), чтобы обновить свой профиль.

Пользователи не отображаются непосредственно в локальной группе администраторов, их разрешения получаются с помощью основного маркера обновления.

Примечание.

Указанные выше условия не относятся к пользователям, которые ранее не входили на соответствующее устройство. В этом случае права администратора применяются сразу после первого входа на устройство.

Управление правами администратора с помощью групп Microsoft Entra (предварительная версия)

Группы Microsoft Entra можно использовать для управления правами администратора на устройствах, присоединенных к Microsoft Entra, с помощью политики управления мобильными устройствами (MDM) локальных пользователей и групп . Эта политика позволяет назначать отдельных пользователей или группы Microsoft Entra группе локальных администраторов на присоединенном устройстве Microsoft Entra, обеспечивая детализацию для настройки отдельных администраторов для различных групп устройств.

Организации могут использовать Intune для управления этими политиками с помощью пользовательских параметров OMA-URI или политики защиты учетных записей. Некоторые рекомендации по использованию этой политики:

• Для добавления групп Microsoft Entra через политику требуется идентификатор безопасности группы (SID), который можно получить, выполнив API Microsoft Graph для групп. Идентификатор безопасности соответствует свойству securityIdentifier в ответе API.

• Права администратора, использующие эту политику, оцениваются только для следующих известных групп на устройстве Windows 10 или более поздней версии: администраторы, пользователи, гости, пользователи, пользователи Power Users, пользователи удаленного рабочего стола и пользователи удаленного управления.

• Управление локальными администраторами с помощью групп Microsoft Entra не применимо к гибридным присоединенным устройствам Microsoft Entra или зарегистрированным устройствам Microsoft Entra.

• Группы Microsoft Entra, развернутые на устройстве с этой политикой, не применяются к подключениям к удаленному рабочему столу. Чтобы управлять разрешениями удаленного рабочего стола для устройств, присоединенных к Microsoft Entra, необходимо добавить идентификатор безопасности отдельного пользователя в соответствующую группу.

Внимание

Вход Windows с помощью идентификатора Microsoft Entra поддерживает оценку до 20 групп для прав администратора. Рекомендуется не более 20 групп Microsoft Entra на каждом устройстве, чтобы убедиться, что права администратора назначены правильно. Это ограничение также применяется к вложенным группам.

Управление обычными пользователями

По умолчанию идентификатор Microsoft Entra добавляет пользователя, выполняющего присоединение Microsoft Entra к группе администраторов на устройстве. Если вы не хотите, чтобы обычные пользователи получали права локальных администраторов, вам доступны следующие варианты:

• Windows Autopilot предоставляет возможность предотвратить получение основным пользователем, выполняющим соединение, прав локального администратора путем создания профиля Autopilot.
• Массовая регистрация — присоединение Microsoft Entra, выполняемое в контексте массовой регистрации , происходит в контексте автоматически созданных пользователей. Пользователи, выполнив вход после присоединения устройства, не добавляются в группу администраторов.

Повышение прав пользователя на устройстве вручную

Помимо использования процесса присоединения к Microsoft Entra, вы также можете вручную повысить уровень обычного пользователя, чтобы стать локальным администратором на одном конкретном устройстве. Для выполнения этого шага необходимо быть участником группы локальных администраторов.

Начиная с выпуска Windows 10 версии 1709, эту задачу можно выполнить из раздела Параметры -> Учетные записи -> Другие пользователи. Выберите "Добавить рабочего или учебного пользователя", введите имя участника-пользователя (UPN) в учетной записи пользователя и выберите "Администратор" в разделе "Тип учетной записи".

Кроме того, можно также добавить пользователей с помощью командной строки:

• Если пользователи клиента синхронизированы из локальной службы Active Directory, используйте net localgroup administrators /add "Contoso\username".
• Если пользователи клиента создаются в идентификаторе Microsoft Entra, используйте net localgroup administrators /add "AzureAD\UserUpn"

Рекомендации

• Группы на основе ролей можно назначать только роли локального администратора устройства Microsoft Entra Joined.
• Роль локального администратора присоединенного к устройству Microsoft Entra назначается всем устройствам, присоединенным к Microsoft Entra. Эта роль не может быть ограничена определенным набором устройств.
• Права локального администратора на устройствах Windows не применимы к гостевым пользователям Microsoft Entra B2B.
• При удалении пользователей из роли локального администратора устройства, присоединенного к Microsoft Entra, изменения не являются мгновенными. Пользователи по-прежнему имеют права локального администратора на устройстве при условии, что они вошли в него. Привилегия отменяется во время следующего входа после того, как будет выдан новый основной маркер обновления. Эта отмена, аналогично повышению привилегий, может занять до 4 часов.

Следующие шаги

• Общие сведения об управлении устройствами см. в статье "Управление удостоверениями устройств".
• Дополнительные сведения об условном доступе на основе устройств см. в статье "Условный доступ: требуется соответствие требованиям или гибридное устройство, присоединенное к Microsoft Entra".