Microsoft Entra'ya katılmış cihazlarda yerel yöneticiler grubunu yönetme

Bir Windows cihazını yönetmek için yerel yöneticiler grubunun üyesi olmanız gerekir. Microsoft Entra katılım işleminin bir parçası olarak, Microsoft Entra ID bir cihazdaki bu grubun üyeliğini güncelleştirir. üyelik güncelleştirmesini iş gereksinimlerinizi karşılayacak şekilde özelleştirebilirsiniz. Örneğin, yardım masası personelinizin bir cihazda yönetici hakları gerektiren görevleri gerçekleştirmesini sağlamak istiyorsanız üyelik güncelleştirmesi yararlı olabilir.

Bu makalede, yerel yöneticiler üyelik güncelleştirmesinin nasıl çalıştığı ve Microsoft Entra katılımı sırasında bunu nasıl özelleştirebileceğiniz açıklanır. Bu makalenin içeriği Microsoft Entra karma katılmış cihazlar için geçerli değildir.

Nasıl çalışır?

Microsoft Entra katılımı sırasında, cihazdaki yerel yöneticiler grubuna aşağıdaki güvenlik sorumluları eklenir:

• Microsoft Entra'ya Katılmış Cihaz Yerel Yöneticisi ve Genel Yönetici rolleri
• Microsoft Entra ile katılma gerçekleştiren kullanıcı

Not

Bu işlem yalnızca birleştirme işlemi sırasında yapılır. Yönetici bu noktadan sonra değişiklik yaparsa cihazdaki grup üyeliğini güncelleştirmesi gerekir.

Microsoft Entra rollerini yerel yöneticiler grubuna ekleyerek, cihazda herhangi bir değişiklik yapmadan Microsoft Entra Id'de istediğiniz zaman bir cihazı yönetebilen kullanıcıları güncelleştirebilirsiniz. Microsoft Entra Id, en az ayrıcalık ilkesini (PoLP) desteklemek için yerel yöneticiler grubuna Microsoft Entra Katılmış Cihaz Yerel Yöneticisi rolünü de ekler. Genel Yönetici rolüne sahip kullanıcılara ek olarak, bir cihazı yönetmek için yalnızca Microsoft Entra'ya Katılmış Cihaz Yerel Yöneticisi rolüne atanan kullanıcıları da etkinleştirebilirsiniz.

Yönetici rollerini yönetme

Yönetici rolü rolünün üyeliğini görüntülemek ve güncelleştirmek için bkz:

• Microsoft Entra Id'de yönetici rolünün tüm üyelerini görüntüleme
• Microsoft Entra Id'de yönetici rollerine kullanıcı atama

Microsoft Entra'ya Katılmış Cihaz Yerel Yöneticisi rolünü yönetme

Microsoft Entra Katılmış Cihaz Yerel Yöneticisi rolünü Cihaz ayarlarından yönetebilirsiniz.

1. Microsoft Entra yönetim merkezinde en az Ayrıcalıklı Rol Yöneticisi olarak oturum açın.
2. Kimlik>Cihazları>Tüm cihazlar Cihaz>ayarları'na göz atın.
3. Tüm Microsoft Entra'ya katılmış cihazlarda Ek yerel yöneticileri yönet'i seçin.
4. Ödev ekle'yi ve ardından eklemek istediğiniz diğer yöneticileri seçin ve Ekle'yi seçin.

Microsoft Entra'ya Katılmış Cihaz Yerel Yöneticisi rolünü değiştirmek için Tüm Microsoft Entra'ya katılmış cihazlarda Ek yerel yöneticiler'i yapılandırın.

Not

Bu seçenek, Microsoft Entra ID P1 veya P2 lisansları gerektirir.

Microsoft Entra'ya Katılmış Cihaz Yerel Yöneticileri, Microsoft Entra'ya katılmış tüm cihazlara atanır. Bu rolün kapsamını belirli bir cihaz kümesiyle belirleyemezsiniz. Microsoft Entra'ya Katılmış Cihaz Yerel Yöneticisi rolünün güncelleştirilmesi, etkilenen kullanıcıları hemen etkilemez. Kullanıcının zaten oturum açtığı cihazlarda, ayrıcalık yükseltmesi aşağıdaki eylemlerin her ikisi de gerçekleştiğinde gerçekleşir:

• Microsoft Entra Id'nin uygun ayrıcalıklara sahip yeni bir Birincil Yenileme Belirteci yayınlaması için en fazla 4 saat geçti.
• Kullanıcı, profilini yenilemek için oturumu kapatıp yeniden oturum açar, kilitleme/kilidini açma değil.

Kullanıcılar yerel yönetici grubunda doğrudan listelenmez, izinleri Birincil Yenileme Belirteci aracılığıyla alınır.

Not

Yukarıdaki eylemler, daha önce ilgili cihazda oturum açmamış kullanıcılar için geçerli değildir. Bu durumda, yönetici ayrıcalıkları cihazda ilk oturum açmalarından hemen sonra uygulanır.

Microsoft Entra gruplarını kullanarak yönetici ayrıcalıklarını yönetme (önizleme)

Yerel Kullanıcılar ve Gruplar mobil cihaz yönetimi (MDM) ilkesiyle Microsoft Entra'ya katılmış cihazlarda yönetici ayrıcalıklarını yönetmek için Microsoft Entra gruplarını kullanabilirsiniz. Bu ilke, tek tek kullanıcıları veya Microsoft Entra gruplarını Microsoft Entra'ya katılmış bir cihazdaki yerel yöneticiler grubuna atamanıza olanak tanır ve size farklı cihaz grupları için ayrı yöneticileri yapılandırma ayrıntı düzeyi sağlar.

Kuruluşlar, Özel OMA-URI Ayarları'nı veya Hesap koruma ilkesini kullanarak bu ilkeleri yönetmek için Intune'u kullanabilir. Bu ilkeyi kullanmak için dikkat edilmesi gereken birkaç nokta:

• İlke aracılığıyla Microsoft Entra gruplarının eklenmesi, gruplar için Microsoft Graph API'sinin yürütülmesiyle elde edilebilen grubun güvenlik tanımlayıcısını (SID) gerektirir. SID, API yanıtında özelliğine securityIdentifier eşitler.

• Bu ilkeyi kullanan yönetici ayrıcalıkları yalnızca Windows 10 veya daha yeni bir cihazdaki şu iyi bilinen gruplar için değerlendirilir: Yöneticiler, Kullanıcılar, Konuklar, Power Users, Uzak Masaüstü Kullanıcıları ve Uzaktan Yönetim Kullanıcıları.

• Microsoft Entra gruplarını kullanarak yerel yöneticileri yönetmek, Microsoft Entra karmasına katılmış veya Microsoft Entra kayıtlı cihazlar için geçerli değildir.

• Bu ilkeye sahip bir cihaza dağıtılan Microsoft Entra grupları uzak masaüstü bağlantıları için geçerli değildir. Microsoft Entra'ya katılmış cihazların uzak masaüstü izinlerini denetlemek için tek tek kullanıcının SID'sini uygun gruba eklemeniz gerekir.

Önemli

Microsoft Entra ID ile Windows oturum açma, yönetici hakları için en fazla 20 grubun değerlendirilmesini destekler. Yönetici haklarının doğru atandığından emin olmak için her cihazda en fazla 20 Microsoft Entra grubu olmasını öneririz. Bu sınırlama iç içe gruplar için de geçerlidir.

Normal kullanıcıları yönetme

Varsayılan olarak, Microsoft Entra Id, Microsoft Entra katılımını gerçekleştiren kullanıcıyı cihazdaki yönetici grubuna ekler. Normal kullanıcıların yerel yönetici olmasını engellemek istiyorsanız, aşağıdaki seçenekleriniz vardır:

• Windows Autopilot - Windows Autopilot, birincil kullanıcının autopilot profili oluşturarak birleştirmeyi gerçekleştirmesini engelleme seçeneği sunar.
• Toplu kayıt - Toplu kayıt bağlamında gerçekleştirilen bir Microsoft Entra katılımı, otomatik oluşturulan bir kullanıcı bağlamında gerçekleşir. Bir cihaz katıldıktan sonra oturum açmış olan kullanıcılar yöneticiler grubuna eklenmez.

Cihazdaki bir kullanıcıyı el ile yükseltme

Microsoft Entra katılma işlemini kullanmaya ek olarak, normal bir kullanıcıyı belirli bir cihazda yerel yönetici olacak şekilde el ile de yükseltebilirsiniz. Bu adım, zaten yerel yöneticiler grubunun bir üyesi olmanız gerekir.

Windows 10 1709 sürümünden itibaren bu görevi Ayarlar - Hesaplar ->> Diğer kullanıcılar bölümünden gerçekleştirebilirsiniz. İş veya okul kullanıcısı ekle'yi seçin, Kullanıcı hesabı'nın altına kullanıcının kullanıcı asıl adını (UPN) girin ve Hesap türü altında Yönetici'yi seçin

Ayrıca, komut istemini kullanarak da kullanıcı ekleyebilirsiniz:

• Kiracı kullanıcılarınız şirket içi Active Directory eşitlenmişse kullanınnet localgroup administrators /add "Contoso\username".
• Kiracı kullanıcılarınız Microsoft Entra Id'de oluşturulduysa net localgroup administrators /add "AzureAD\UserUpn"

Dikkat edilmesi gereken noktalar

• Rol tabanlı grupları yalnızca Microsoft Entra Joined Device Local Administrator rolüne atayabilirsiniz.
• Microsoft Entra'ya Katılmış Cihaz Yerel Yöneticisi rolü, Tüm Microsoft Entra'ya katılmış cihazlara atanır. Bu rolün kapsamı belirli bir cihaz kümesiyle belirlenemez.
• Windows cihazlarında yerel yönetici hakları Microsoft Entra B2B konuk kullanıcıları için geçerli değildir.
• Kullanıcıları Microsoft Entra'ya Katılmış Cihaz Yerel Yöneticisi rolünden kaldırdığınızda, değişiklikler anında olmaz. Kullanıcılar, oturum açtıkları sürece cihazda yerel yönetici ayrıcalığına sahip olmaya devam eder. Ayrıcalık, yeni bir birincil yenileme belirteci verildiği sırada bir sonraki oturum açma sırasında iptal edilir. Ayrıcalık yükseltmesine benzer şekilde bu iptal işlemi 4 saate kadar sürebilir.

Sonraki adımlar

• Cihazların nasıl yönetileceğini öğrenmek için bkz . Cihaz kimliklerini yönetme.
• Cihaz tabanlı Koşullu Erişim hakkında daha fazla bilgi edinmek için bkz . Koşullu Erişim: Uyumlu veya Microsoft Entra karmasına katılmış cihaz gerektirme.