分享方式:

如何在已加入 Microsoft Entra 的裝置上管理本機系統管理員群組

  • 文章

若要管理 Windows 裝置,您必須是本機系統管理員群組的成員。 在 Microsoft Entra 加入流程中,Microsoft Entra ID 會在裝置上更新此群組的成員資格。 您可以自訂成員資格更新,以符合自己的商務需求。 舉例來說,如果您想要讓技術服務人員能夠在裝置上執行需要系統管理員權限的工作,成員資格更新就有其效益。

本文說明本機系統管理員成員資格更新的運作方式,以及如何在 Microsoft Entra 加入期間加以自訂。 本文的內容不適用於已加入混合式 Microsoft Entra 的裝置。

運作方式

在加入 Microsoft Entra 時,系統會將下列安全性主體新增至裝置上的本機系統管理員群組:

注意

這僅會在加入作業期間完成。 如果系統管理員在此之後才進行變更,則必須更新裝置上的群組成員資格。

藉由將使用者新增至Microsoft加入 Entra 的裝置本機系統管理員角色,您可以更新可在Microsoft Entra 標識符中隨時管理裝置的使用者,而不需修改裝置上的任何專案。 Microsoft加入的裝置本機系統管理員角色會新增至本機系統管理員群組,以支援最低許可權原則。

管理系統管理員角色

若要檢視及更新管理員角色角色的成員資格,請參閱:

管理已加入 Microsoft Entra 裝置本機系統管理員角色

您可以從 [裝置設定] 管理已加入 Microsoft Entra 裝置本機系統管理員角色。

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心
  2. 瀏覽至 [身分識別]>[裝置]>[所有裝置]>[裝置設定]
  3. 選取 [管理已加入 Microsoft Entra 裝置上的其他本機系統管理員]
  4. 選取 [新增指派],然後選擇您想要新增的其他系統管理員,然後選取 [新增]

若要修改已加入 Microsoft Entra 裝置本機系統管理員角色,請設定 [所有已加入 Microsoft Entra 裝置上的其他本機系統管理員]

注意

此選項需要 Microsoft Entra ID P1 或 P2 授權。

已加入 Microsoft Entra 的裝置本機系統管理員會指派給所有已加入 Microsoft Entra 的裝置。 您無法將此角色的範圍設定為一組特定的裝置。 更新已加入 Microsoft Entra 裝置本機系統管理員角色不一定會對受影響的使用者產生直接的影響。 在使用者已登入的裝置上,執行下列兩個動作時,會發生權限提高:

  • 最多經過 4 小時,Microsoft Entra 識別符,以適當的許可權發出新的主要重新整理令牌。
  • 使用者登出並重新登入,而不是鎖定/解除鎖定,以重新整理其設定檔。

使用者不會直接列在本機系統管理員群組中,其許可權會透過主要重新整理令牌接收。

注意

上述動作不適用於先前尚未登入相關裝置的使用者。 在此情況下,會在使用者第一次登入裝置之後,立即套用系統管理員權限。

使用 Microsoft Entra 群組來管理系統管理員權限 (預覽)

您可以使用 Microsoft Entra 群組,透過本機使用者和群組行動裝置管理 (MDM) 原則,管理已加入 Microsoft Entra 裝置上的系統管理員權限。 此原則可讓您將個別使用者或 Microsoft Entra 群組指派給已加入 Microsoft Entra 裝置上的本機系統管理員群組,讓您可以針對不同的裝置群組設定不同的系統管理員。

組織可以使用 Intune,以使用自訂 OMA-URI 設定帳戶保護原則來管理這些原則。 使用此原則的幾個考量:

  • 透過原則新增 Microsoft Entra 群組需要可透過執行群組的 Microsoft Graph API 來取得群組的安全性識別碼 (SID)。 SID 相當於 API 回應中的屬性 securityIdentifier

  • 使用此原則的系統管理員許可權只會針對 Windows 10 或更新版本的裝置上的下列已知群組進行評估 - 系統管理員、使用者、來賓、Power Users、遠端桌面使用者和遠端管理使用者。

  • 使用 Microsoft Entra 群組管理本機系統管理員並不適用於已加入混合式 Microsoft Entra 或已註冊 Microsoft Entra 的裝置。

  • 使用此原則部署到裝置的 Microsoft Entra 群組不會套用到遠端桌面連線。 若要控制已加入 Microsoft Entra 裝置的遠端桌面權限,您需要將個別使用者的 SID 新增至適當的群組。

重要

使用 Microsoft Entra ID 登入的 Windows 支援評估最多 20 個群組,以提供系統管理員權限。 建議您在每部裝置上包含不超過 20 個 Microsoft Entra 群組,以確保正確指派系統管理員權限。 這項限制也適用於巢狀群組。

管理一般使用者

根據預設,Microsoft Entra ID 會將執行 Microsoft Entra Join 的使用者新增至裝置的系統管理員群組。 如果您想要防止一般使用者成為本機系統管理員,您會有下列選項:

  • Windows Autopilot - Windows Autopilot 可讓您選擇防止執行加入的主要使用者成為本機系統管理員,方法是建立 Autopilot 設定檔
  • 大量註冊 - 在大量註冊的內容中執行的 Microsoft Entra Join,會在自動建立的使用者內容中執行。 在裝置加入之後登入的使用者不會新增至系統管理員群組。

手動提高使用者在裝置上的權限

除了使用 Microsoft Entra Join 程序以外,您也可以手動提高一般使用者的權限,使其成為一個特定裝置的本機系統管理員。 若要執行此步驟,您必須已是本機系統管理員群組的成員。

Windows 10 1709 版本起,您可以從 [設定] -> [帳戶] -> [其他使用者]執行這項工作。 選取 [新增工作或學校使用者],並且在 [使用者帳戶] 下輸入使用者的使用者主體名稱 (UPN),然後選取 [帳戶類型] 下的 [管理員]

此外,您也可以使用命令提示字元來新增使用者:

  • 如果您的租用戶使用者是從內部部署 Active Directory 同步處理的,請使用 net localgroup administrators /add "Contoso\username"
  • 如果您的租用戶使用者是在 Microsoft Entra ID 中建立的,請使用 net localgroup administrators /add "AzureAD\UserUpn"

考量

  • 您只能將角色型群組指派給已加入 Microsoft Entra 裝置本機系統管理員角色。
  • 已加入 Microsoft Entra 的裝置本機系統管理員角色會指派給所有已加入 Microsoft Entra 的裝置。 這個角色無法以一組特定的裝置為範圍。
  • Windows 裝置上的本機系統管理員權限不適用於 Microsoft Entra B2B 來賓使用者
  • 當您從已加入 Microsoft Entra 的裝置本機系統管理員角色移除使用者時,變更並不會立即生效。 只要使用者已登入,就仍擁有裝置的本機系統管理員權限。 當簽發新的主要重新整理權杖時,權限會在下一次登入期間撤銷。 此撤銷,類似於特權提升,最多可能需要 4 小時的時間。

下一步