Microsoft Entra'ya katılmış cihazlarda yerel yöneticiler grubunu yönetme

  • Makale

Bir Windows cihazını yönetmek için yerel yöneticiler grubunun üyesi olmanız gerekir. Microsoft Entra katılım işleminin bir parçası olarak, Microsoft Entra ID bir cihazdaki bu grubun üyeliğini güncelleştirir. üyelik güncelleştirmesini iş gereksinimlerinizi karşılayacak şekilde özelleştirebilirsiniz. Örneğin, yardım masası personelinizin bir cihazda yönetici hakları gerektiren görevleri gerçekleştirmesini sağlamak istiyorsanız üyelik güncelleştirmesi yararlı olabilir.

Bu makalede, yerel yöneticiler üyelik güncelleştirmesinin nasıl çalıştığı ve Microsoft Entra katılımı sırasında bunu nasıl özelleştirebileceğiniz açıklanır. Bu makalenin içeriği Microsoft Entra karma katılmış cihazlar için geçerli değildir.

Nasıl çalışır?

Microsoft Entra katılımı sırasında, cihazdaki yerel yöneticiler grubuna aşağıdaki güvenlik sorumluları eklenir:

Not

Bu işlem yalnızca birleştirme işlemi sırasında yapılır. Yönetici bu noktadan sonra değişiklik yaparsa cihazdaki grup üyeliğini güncelleştirmesi gerekir.

Microsoft Entra rollerini yerel yöneticiler grubuna ekleyerek, cihazda herhangi bir değişiklik yapmadan Microsoft Entra Id'de istediğiniz zaman bir cihazı yönetebilen kullanıcıları güncelleştirebilirsiniz. Microsoft Entra Id, en az ayrıcalık ilkesini (PoLP) desteklemek için yerel yöneticiler grubuna Microsoft Entra Katılmış Cihaz Yerel Yönetici istrator rolünü de ekler. Genel Yönetici istrator rolüne sahip kullanıcılara ek olarak, yalnızca Microsoft Entra Joined Device Local Yönetici istrator rolü atanmış olan kullanıcıların bir cihazı yönetmesini de sağlayabilirsiniz.

Genel Yönetici istrator rolünü yönetme

Genel Yönetici istrator rolünün üyeliğini görüntülemek ve güncelleştirmek için bkz:

Microsoft Entra'ya Katılmış Cihaz Yerel Yönetici istrator rolünü yönetme

Microsoft Entra Joined Device Local Yönetici istrator rolünü Cihaz ayarlarından yönetebilirsiniz.

  1. En azından Ayrıcalıklı Rol Yönetici istrator olarak Microsoft Entra yönetim merkezinde oturum açın.
  2. Kimlik>Cihazları>Tüm cihazlar Cihaz>ayarları'na göz atın.
  3. Tüm Microsoft Entra'ya katılmış cihazlarda Ek yerel yöneticileri yönet'i seçin.
  4. Ödev ekle'yi ve ardından eklemek istediğiniz diğer yöneticileri seçin ve Ekle'yi seçin.

Microsoft Entra'ya Katılmış Cihaz Yerel Yönetici istrator rolünü değiştirmek için Tüm Microsoft Entra'ya katılmış cihazlarda Ek yerel yöneticiler yapılandırın.

Not

Bu seçenek, Microsoft Entra ID P1 veya P2 lisansları gerektirir.

Microsoft Entra'ya Katılmış Cihaz Yerel Yönetici istrator'lar tüm Microsoft Entra'ya katılmış cihazlara atanır. Bu rolün kapsamını belirli bir cihaz kümesiyle belirleyemezsiniz. Microsoft Entra'ya Katılmış Cihaz Yerel Yönetici istrator rolünün güncelleştirilmesi, etkilenen kullanıcıları hemen etkilemez. Kullanıcının zaten oturum açtığı cihazlarda, ayrıcalık yükseltmesi aşağıdaki eylemlerin her ikisi de gerçekleştiğinde gerçekleşir:

  • Microsoft Entra Id'nin uygun ayrıcalıklara sahip yeni bir Birincil Yenileme Belirteci yayınlaması için en fazla 4 saat geçti.
  • Kullanıcı, profilini yenilemek için oturumu kapatıp yeniden oturum açar, kilitleme/kilidini açma değil.

Kullanıcılar doğrudan yerel yönetici grubunda listelenmez, izinler Birincil Yenileme Belirteci aracılığıyla alınır.

Not

Yukarıdaki eylemler, daha önce ilgili cihazda oturum açmamış kullanıcılar için geçerli değildir. Bu durumda, yönetici ayrıcalıkları cihazda ilk oturum açmalarından hemen sonra uygulanır.

Microsoft Entra gruplarını kullanarak yönetici ayrıcalıklarını yönetme (önizleme)

Yerel Kullanıcılar ve Gruplar mobil cihaz yönetimi (MDM) ilkesiyle Microsoft Entra'ya katılmış cihazlarda yönetici ayrıcalıklarını yönetmek için Microsoft Entra gruplarını kullanabilirsiniz. Bu ilke, tek tek kullanıcıları veya Microsoft Entra gruplarını Microsoft Entra'ya katılmış bir cihazdaki yerel yöneticiler grubuna atamanıza olanak tanır ve size farklı cihaz grupları için ayrı yöneticileri yapılandırma ayrıntı düzeyi sağlar.

Kuruluşlar, Özel OMA-URI Ayarlar veya Hesap koruma ilkesini kullanarak bu ilkeleri yönetmek için Intune'u kullanabilir. Bu ilkeyi kullanmak için dikkat edilmesi gereken birkaç nokta:

  • İlke aracılığıyla Microsoft Entra gruplarının eklenmesi, gruplar için Microsoft Graph API'sinin yürütülmesiyle elde edilebilen grubun güvenlik tanımlayıcısını (SID) gerektirir. SID, API yanıtında özelliğine securityIdentifier eşitler.

  • Bu ilkeyi kullanan Yönetici istrator ayrıcalıkları yalnızca Windows 10 veya daha yeni bir cihazdaki şu iyi bilinen gruplar için değerlendirilir: Yönetici istrator'lar, Kullanıcılar, Konuklar, Power Users, Uzak Masaüstü Kullanıcıları ve Uzaktan Yönetim Kullanıcıları.

  • Microsoft Entra gruplarını kullanarak yerel yöneticileri yönetmek, Microsoft Entra karmasına katılmış veya Microsoft Entra kayıtlı cihazlar için geçerli değildir.

  • Bu ilkeye sahip bir cihaza dağıtılan Microsoft Entra grupları uzak masaüstü bağlantıları için geçerli değildir. Microsoft Entra'ya katılmış cihazların uzak masaüstü izinlerini denetlemek için tek tek kullanıcının SID'sini uygun gruba eklemeniz gerekir.

Önemli

Microsoft Entra ID ile Windows oturum açma, yönetici hakları için en fazla 20 grubun değerlendirilmesini destekler. Yönetici haklarının doğru atandığından emin olmak için her cihazda en fazla 20 Microsoft Entra grubu olmasını öneririz. Bu sınırlama iç içe gruplar için de geçerlidir.

Normal kullanıcıları yönetme

Varsayılan olarak, Microsoft Entra Id, Microsoft Entra katılımını gerçekleştiren kullanıcıyı cihazdaki yönetici grubuna ekler. Normal kullanıcıların yerel yönetici olmasını engellemek istiyorsanız, aşağıdaki seçenekleriniz vardır:

  • Windows Autopilot - Windows Autopilot, birincil kullanıcının autopilot profili oluşturarak birleştirmeyi gerçekleştirmesini engelleme seçeneği sunar.
  • Toplu kayıt - Toplu kayıt bağlamında gerçekleştirilen bir Microsoft Entra katılımı, otomatik oluşturulan bir kullanıcı bağlamında gerçekleşir. Bir cihaz katıldıktan sonra oturum açmış olan kullanıcılar yöneticiler grubuna eklenmez.

Cihazdaki bir kullanıcıyı el ile yükseltme

Microsoft Entra katılma işlemini kullanmaya ek olarak, normal bir kullanıcıyı belirli bir cihazda yerel yönetici olacak şekilde el ile de yükseltebilirsiniz. Bu adım, zaten yerel yöneticiler grubunun bir üyesi olmanız gerekir.

Windows 10 1709 sürümünden başlayarak, bu görevi Ayarlar - Hesaplar ->> Diğer kullanıcılar'dan gerçekleştirebilirsiniz. İş veya okul kullanıcısı ekle'yi seçin, Kullanıcı hesabı'nın altına kullanıcının kullanıcı asıl adını (UPN) girin ve Hesap türü altında Yönetici istrator'ı seçin

Ayrıca, komut istemini kullanarak da kullanıcı ekleyebilirsiniz:

  • Kiracı kullanıcılarınız şirket içi Active Directory eşitlenmişse kullanınnet localgroup administrators /add "Contoso\username".
  • Kiracı kullanıcılarınız Microsoft Entra Id'de oluşturulduysa net localgroup administrators /add "AzureAD\UserUpn"

Dikkat edilmesi gereken noktalar

  • Rol tabanlı grupları yalnızca Microsoft Entra Joined Device Local Yönetici istrator rolüne atayabilirsiniz.
  • Microsoft Entra'ya Katılmış Cihaz Yerel Yönetici istrator rolü tüm Microsoft Entra'ya katılmış cihazlara atanır. Bu rolün kapsamı belirli bir cihaz kümesiyle belirlenemez.
  • Windows cihazlarında yerel yönetici hakları Microsoft Entra B2B konuk kullanıcıları için geçerli değildir.
  • Microsoft Entra Joined Device Local Yönetici istrator rolünden kullanıcıları kaldırdığınızda, değişiklikler anında olmaz. Kullanıcılar, oturum açtıkları sürece cihazda yerel yönetici ayrıcalığına sahip olmaya devam eder. Ayrıcalık, yeni bir birincil yenileme belirteci verildiği sırada bir sonraki oturum açma sırasında iptal edilir. Ayrıcalık yükseltmesine benzer şekilde bu iptal işlemi 4 saate kadar sürebilir.

Sonraki adımlar