Hantera den lokala administratörsgruppen på Microsoft Entra-anslutna enheter

För att kunna hantera en Windows-enhet måste du vara medlem i den lokala administratörsgruppen. Som en del av Microsoft Entra-anslutningsprocessen uppdaterar Microsoft Entra-ID medlemskapet för den här gruppen på en enhet. Du kan anpassa medlemskapsuppdateringen för att uppfylla dina affärskrav. En medlemskapsuppdatering är till exempel användbar om du vill göra det möjligt för supportpersonalen att utföra uppgifter som kräver administratörsbehörighet på en enhet.

Den här artikeln beskriver hur uppdateringen av medlemskapet för lokala administratörer fungerar och hur du kan anpassa den under en Microsoft Entra-anslutning. Innehållet i den här artikeln gäller inte för Hybrid-anslutna Microsoft Entra-enheter.

Hur det fungerar

Vid tidpunkten för Microsoft Entra-anslutningen läggs följande säkerhetsobjekt till i den lokala administratörsgruppen på enheten:

• Microsoft Entra-ansluten lokal administratör för enhet och globala administratörsroller
• Användaren som utför Microsoft Entra-anslutningen

Kommentar

Detta görs endast under kopplingsåtgärden. Om en administratör gör ändringar efter den här punkten måste de uppdatera gruppmedlemskapet på enheten.

Genom att lägga till Microsoft Entra-roller i den lokala administratörsgruppen kan du uppdatera de användare som kan hantera en enhet när som helst i Microsoft Entra-ID utan att ändra något på enheten. Microsoft Entra-ID lägger också till rollen Microsoft Entra-ansluten lokal administratör för den lokala administratörsgruppen för att stödja principen om lägsta behörighet (PoLP).

Hantera den lokala administratörsrollen för Microsoft Entra-ansluten enhet

Du kan hantera rollen Lokal administratör för Microsoft Entra-ansluten enhet från Enhetsinställningar.

1. Logga in på administrationscentret för Microsoft Entra som minst en privilegierad rolladministratör.
2. Bläddra till Identitetsenheter>>Alla enhetsinställningar.>
3. Välj Hantera ytterligare lokala administratörer på alla Microsoft Entra-anslutna enheter.
4. Välj Lägg till tilldelningar och välj sedan de andra administratörer som du vill lägga till och välj Lägg till.

Om du vill ändra den lokala administratörsrollen för Microsoft Entra-ansluten enhet konfigurerar du Ytterligare lokala administratörer på alla Microsoft Entra-anslutna enheter.

Kommentar

Det här alternativet kräver Microsoft Entra ID P1- eller P2-licenser.

Microsoft Entra-anslutna lokala enhetsadministratörer tilldelas till alla Microsoft Entra-anslutna enheter. Du kan inte begränsa den här rollen till en specifik uppsättning enheter. Att uppdatera den lokala administratörsrollen för Microsoft Entra-ansluten enhet har inte nödvändigtvis någon omedelbar inverkan på de berörda användarna. På enheter där en användare redan är inloggad sker behörighetshöjningen när båda åtgärderna nedan inträffar:

• Upp till 4 timmar har passerat för Microsoft Entra-ID för att utfärda en ny primär uppdateringstoken med rätt behörighet.
• Användaren loggar ut och loggar in igen, inte låser/låser upp, för att uppdatera sin profil.

Användarna visas inte direkt i den lokala administratörsgruppen. Behörigheterna tas emot via den primära uppdateringstoken.

Kommentar

Ovanstående åtgärder gäller inte för användare som inte har loggat in på den relevanta enheten tidigare. I det här fallet tillämpas administratörsbehörigheterna omedelbart efter den första inloggningen på enheten.

Hantera administratörsbehörigheter med hjälp av Microsoft Entra-grupper (förhandsversion)

Du kan använda Microsoft Entra-grupper för att hantera administratörsbehörigheter på Microsoft Entra-anslutna enheter med mdm-principen (Local Users and Groups mobile device management). Med den här principen kan du tilldela enskilda användare eller Microsoft Entra-grupper till den lokala administratörsgruppen på en Microsoft Entra-ansluten enhet, vilket ger dig kornigheten att konfigurera distinkta administratörer för olika grupper av enheter.

Organisationer kan använda Intune för att hantera dessa principer med hjälp av anpassad OMA-URI-Inställningar eller kontoskyddsprincip. Några saker att tänka på när du använder den här principen:

• För att lägga till Microsoft Entra-grupper via principen krävs gruppens säkerhetsidentifierare (SID) som kan hämtas genom att köra Microsoft Graph API för grupper. SID motsvarar egenskapen securityIdentifier i API-svaret.

• Administratörsbehörigheter som använder den här principen utvärderas endast för följande välkända grupper på en Windows 10- eller senare enhet – administratörer, användare, gäster, power-användare, fjärrskrivbordsanvändare och fjärrhanteringsanvändare.

• Hantering av lokala administratörer med Microsoft Entra-grupper gäller inte för Microsoft Entra-hybridanslutningar eller Microsoft Entra-registrerade enheter.

• Microsoft Entra-grupper som distribueras till en enhet med den här principen gäller inte för fjärrskrivbordsanslutningar. Om du vill styra fjärrskrivbordsbehörigheter för Microsoft Entra-anslutna enheter måste du lägga till den enskilda användarens SID i lämplig grupp.

Viktigt!

Windows-inloggning med Microsoft Entra-ID stöder utvärdering av upp till 20 grupper för administratörsrättigheter. Vi rekommenderar att du inte har fler än 20 Microsoft Entra-grupper på varje enhet för att säkerställa att administratörsrättigheter tilldelas korrekt. Den här begränsningen gäller även kapslade grupper.

Hantera vanliga användare

Som standard lägger Microsoft Entra-ID till användaren som utför Microsoft Entra-anslutningen till administratörsgruppen på enheten. Om du vill förhindra att vanliga användare blir lokala administratörer har du följande alternativ:

• Windows Autopilot – Windows Autopilot ger dig ett alternativ för att förhindra att den primära användaren som utför kopplingen blir lokal administratör genom att skapa en Autopilot-profil.
• Massregistrering – en Microsoft Entra-koppling som utförs i samband med en massregistrering sker i kontexten för en automatiskt skapad användare. Användare som loggar in efter att en enhet har anslutits läggs inte till i administratörsgruppen.

Höja en användare manuellt på en enhet

Förutom att använda Microsoft Entra-anslutningsprocessen kan du också manuellt höja en vanlig användare till att bli lokal administratör på en specifik enhet. Det här steget kräver att du redan är medlem i den lokala administratörsgruppen.

Från och med Windows 10 1709-versionen kan du utföra den här uppgiften från Inställningar –> Konton –> Andra användare. Välj Lägg till en arbets- eller skolanvändare, ange användarens huvudnamn (UPN) under Användarkonto och välj Administratör under Kontotyp

Dessutom kan du lägga till användare med kommandotolken:

• Om dina klientanvändare synkroniseras från lokal Active Directory använder du net localgroup administrators /add "Contoso\username".
• Om dina klientanvändare skapas i Microsoft Entra-ID använder du net localgroup administrators /add "AzureAD\UserUpn"

Att tänka på

• Du kan bara tilldela rollbaserade grupper till rollen Lokal administratör för Microsoft Entra-ansluten enhet.
• Den lokala administratörsrollen för Microsoft Entra-ansluten enhet tilldelas till alla Microsoft Entra-anslutna enheter. Den här rollen kan inte begränsas till en specifik uppsättning enheter.
• Lokala administratörsrättigheter på Windows-enheter gäller inte för Microsoft Entra B2B-gästanvändare.
• När du tar bort användare från rollen Lokal administratör för Microsoft Entra-ansluten enhet sker inte ändringarna omedelbart. Användarna har fortfarande lokal administratörsbehörighet på en enhet så länge de är inloggade på den. Behörigheten återkallas vid nästa inloggning när en ny primär uppdateringstoken utfärdas. Det här återkallandet, som liknar behörighetshöjningen, kan ta upp till 4 timmar.

Nästa steg

• En översikt över hur du hanterar enheter finns i Hantera enhetsidentiteter.
• Mer information om enhetsbaserad villkorlig åtkomst finns i Villkorsstyrd åtkomst: Kräv kompatibel eller Microsoft Entra-hybrid ansluten enhet.