若要管理Windows设备,需要是本地管理员组的成员。 作为Microsoft Entra加入过程的一部分,Microsoft Entra ID更新设备上的此组的成员身份。 可以自定义成员身份更新以满足业务需求。 例如,如果希望帮助台员工在设备上执行需要管理员权限的任务,则成员身份更新会非常有帮助。
本文介绍本地管理员成员身份更新的工作原理,以及如何在Microsoft Entra加入期间对其进行自定义。 本文不适用于Microsoft Entra 混合加入设备。
工作原理
Microsoft Entra加入时,以下安全主体将添加到设备上的本地管理员组:
- 已加入 Microsoft Entra 设备本地管理员和 全局管理员 角色
- 执行 Microsoft Entra 联接的用户
注意
此操作仅在联接操作期间完成。 如果管理员在此之后进行更改,则需要更新设备上的组成员身份。
通过将用户添加到 Microsoft Entra 本地管理员角色,您可以在 Microsoft Entra ID 中随时更新可以管理设备的用户,而无需修改设备上的任何内容。 为了支持最小特权原则,Microsoft Entra 的已加入设备的本地管理员角色被添加到本地管理员组中。
管理管理员角色
要查看并更新管理员角色的成员身份,请参阅:
管理 Microsoft Entra 已加入设备的本地管理员角色
可以从 设备设置 管理已加入的 Microsoft Entra 设备本地管理员 角色。
- 以至少 特权角色管理员 身份登录到 Microsoft Entra 管理中心。
- 浏览到 Entra ID>设备>所有设备>设备设置。
- 在所有加入 Microsoft Entra 的设备上,选择 管理额外的本地管理员。
- 选择“添加分配”,然后选择要添加的其他管理员,接下来选择“添加”。
为了修改 Microsoft Entra 加入设备的本地管理员角色,请在所有已加入 Microsoft Entra 的设备上配置额外的本地管理员。
注意
此选项需要Microsoft Entra ID P1 或 P2 许可证。
Microsoft Entra已加入的设备本地管理员分配到所有已加入Microsoft Entra的设备。 不能将此角色的范围限定为一组特定的设备。 更新 Microsoft Entra 加入设备的本地管理员角色不一定会立即影响相关用户。 在用户已登录的设备上,当以下两种操作都发生时,就会发生权限提升:
- 最多需经过 4 小时,Microsoft Entra ID 才会以适当的权限签发新的主要刷新令牌。
- 用户注销并重新登录(而不是锁定/解锁)来刷新其个人资料。
用户未被直接列入本地管理员组,其权限通过主刷新令牌获得。
注意
上述操作不适用于之前未登录相关设备的用户。 在这种情况下,管理员权限将在他们首次登录设备后立即应用。
使用Microsoft Entra组管理管理员权限
可以使用 Microsoft Entra 组,通过“本地用户和组”移动设备管理 (MDM) 策略,管理已加入 Microsoft Entra 的设备上的管理员权限。 通过此策略,可以将单个用户或 Microsoft Entra 组分配到已加入 Microsoft Entra 设备上的本地管理员组,从而提供为不同设备组配置不同管理员的细粒度控制。
组织可以通过 Intune 使用自定义 OMA-URI 设置或帐户保护策略来管理这些策略。 使用此策略的几个注意事项:
通过策略添加 Microsoft Entra 组需要获取组的 SID(安全标识符),可以通过执行 Microsoft 图形 API for Groups 来获取。 SID 等于 API 响应中的属性
securityIdentifier。仅针对Windows 10或较新的设备上的以下已知组(管理员、用户、来宾、Power Users、远程桌面用户和远程管理用户)评估使用此策略的管理员权限。
使用 Microsoft Entra 组管理本地管理员不适用于 Microsoft Entra 混合加入或 Microsoft Entra 注册的设备。
Microsoft Entra 组使用此策略部署到设备后,不适用于远程桌面连接。 若要控制已加入Microsoft Entra设备的远程桌面权限,需要将单个用户的 SID 添加到相应的组。
重要
使用 Microsoft Entra ID 进行 Windows 登录支持对最多 20 个组的管理员权限进行评估。 我们建议在每个设备上拥有不超过 20 个Microsoft Entra组,并将用户作为成员包含在不超过 20 个组中,以确保正确分配管理员权限。 此限制也适用于嵌套组。
管理常规用户
默认情况下,Microsoft Entra ID 会将执行 Microsoft Entra 联接的用户添加到设备上的管理员组。 如果希望防止常规用户成为本地管理员,可以使用以下选项:
- Windows Autopilot - Windows Autopilot 提供了一个选项,可以通过 创建 Autopilot 配置文件 来防止执行加入操作的主用户成为本地管理员。
- 批量注册 - 在批量注册的上下文中进行的 Microsoft Entra 加入发生在自动创建用户的上下文中。 在设备已加入后才登录的用户不会被添加到管理员组中。
手动提升设备上用户的权限
除了使用Microsoft Entra加入过程之外,还可以手动提升常规用户,成为特定设备上的本地管理员。 此步骤要求用户已是本地管理员组的成员。
从 Windows 10 1709 版本开始,可以从 设置>帐户>其他用户 执行此任务。 选择“添加工作单位或学校用户”,在“用户帐户”下输入用户的用户主体名称 (UPN),然后在“帐户类型”下选择“管理员”
此外,还可使用命令提示符添加用户:
- 如果租户用户从本地 Active Directory 同步,请使用
net localgroup administrators /add "<domain>\<username>",其中<domain>是本地 Active Directory 域名,<username>是用户的 SAM 帐户名称。 - 如果在Microsoft Entra ID中创建租户用户,请使用
net localgroup administrators /add "AzureAD\<UserUPN>",其中<UserUPN>是用户的用户主体名称。
注意事项
- 只能将基于角色的组分配给Microsoft Entra已加入的设备本地管理员角色。
- Microsoft Entra 加入设备的本地管理员角色被分配给所有加入 Microsoft Entra 的设备。 此角色的范围不能限定为一组特定的设备。
- Windows设备上的本地管理员权限不适用于 Microsoft Entra B2B 来宾用户。
- 从 Microsoft Entra 加入的设备本地管理员角色中删除用户时,更改不会即时生效。 只要用户已登录到了某个设备,他们就仍对该设备具有本地管理员权限。 当颁发新的主刷新令牌后,下次登录期间将撤销该权限。 类似于特权提升,这种撤销操作最多可能需要 4 个小时。
后续步骤
- 若要大致了解如何管理设备,请参阅管理设备标识。
- 若要了解有关基于设备的条件访问 (Conditional Access) 的详细信息,请参阅 条件访问:要求合规的设备或 Microsoft Entra 的混合加入设备。