如何管理已加入 Microsoft Entra 的设备上的本地管理员组

若要管理 Windows 设备,需要成为本地管理员组的成员。 在 Microsoft Entra 联接过程中,Microsoft Entra ID 将更新设备上此组的成员身份。 可以自定义成员身份更新以满足业务需求。 例如,如果希望帮助台员工在设备上执行需要管理员权限的任务,则成员身份更新会非常有帮助。

本文介绍了本地管理员成员身份更新的工作原理以及在 Microsoft Entra 联接期间如何对其进行自定义。 本文的内容不适用于“已加入 Microsoft Entra 的混合设备”。

工作原理

在进行 Microsoft Entra 联接时,会将以下安全主体添加到设备上的本地管理员组:

注意

此操作仅在联接操作期间完成。 如果管理员在此之后进行更改,则需要更新设备上的组成员身份。

通过将用户添加到已加入 Microsoft Entra 的设备本地管理员角色,可以在 Microsoft Entra ID 中随时更新管理设备的用户,而无需修改设备上的任何内容。 已加入 Microsoft Entra 的设备本地管理员角色已添加到本地管理员组,以支持最低权限原则。

管理管理员角色

要查看并更新管理员角色的成员身份,请参阅:

管理已加入 Microsoft Entra 的设备的本地管理员角色

可以从“设备设置”管理已加入 Microsoft Entra 的设备的本地管理员角色

  1. 至少以特权角色管理员身份登录到 Microsoft Entra 管理中心
  2. 浏览到“标识”>“设备”>“所有设备”>“设备设置”。
  3. 选择“管理所有已加入 Microsoft Entra 的设备上的其他本地管理员”。
  4. 选择“添加分配”,然后选择要添加的其他管理员,接下来选择“添加”。

若要修改已加入 Microsoft Entra 的设备的本地管理员角色,请配置所有已加入 Microsoft Entra 的设备的其他本地管理员

注意

此选项需 要Microsoft Entra ID P1 或 P2 许可证。

已加入 Microsoft Entra 的设备的本地管理员将分配给所有已加入 Microsoft Entra 的设备。 不能将此角色的范围限定为一组特定的设备。 更新已加入 Microsoft Entra 的设备的本地管理员角色不一定会对受影响的用户产生直接影响。 在用户已登录的设备上,当以下两种操作都发生时,就会发生权限提升

  • 最多 4 个小时,Microsoft Entra ID 便会发出具有适当特权的新主刷新令牌。
  • 用户注销并重新登录(而不是锁定/解锁)即可刷新其配置文件。

用户不会在本地管理员组中直接列出,用户权限通过主刷新令牌获得。

注意

上述操作不适用于之前未登录相关设备的用户。 在这种情况下,管理员权限将在他们首次登录设备后立即应用。

使用 Microsoft Entra 组管理管理员权限(预览版)

可以使用 Microsoft Entra 组通过本地用户和组移动设备管理 (MDM) 策略来管理已加入 Microsoft Entra 的设备上的管理员权限。 通过此策略,你可以将单个用户或 Microsoft Entra 组分配给已加入 Microsoft Entra 的设备上的本地管理员组,从而可以为不同的设备组配置不同的管理员。

组织可以通过 Intune 使用自定义 OMA-URI 设置帐户保护策略来管理这些策略。 使用此策略的几个注意事项:

  • 通过该策略添加 Microsoft Entra 组需要该组的安全标识符 (SID),可以通过执行适用于组的 Microsoft Graph API 获得该组的 SID。 SID 等于 API 响应中的属性 securityIdentifier

  • 仅针对 Windows 10 或更新设备上的以下知名组评估使用此策略的管理员特权:管理员,用户、来宾、Power User、远程桌面用户和远程管理用户。

  • 使用 Microsoft Entra 组管理本地管理员不适用于已加入 Microsoft Entra 的混合设备或 Microsoft Entra 注册设备。

  • 使用此策略部署到设备的 Microsoft Entra 组不适用于远程桌面连接。 若要控制已加入 Microsoft Entra 的设备的远程桌面权限,需要将单个用户的 SID 添加到相应的组。

重要

使用 Microsoft Entra ID 的 Windows 登录支持评估最多 20 个组的管理员权限。 建议每个设备上的 Microsoft Entra 组不超过 20 个,以确保正确分配管理员权限。 此限制也适用于嵌套组。

管理常规用户

默认情况下,Microsoft Entra ID 会将执行已加入 Microsoft Entra 的用户添加到设备上的管理员组。 如果希望防止常规用户成为本地管理员,可以使用以下选项:

  • Windows Autopilot - Windows Autopilot 提供了一个选项,可以防止执行加入的主用户通过创建 Autopilot 概要文件成为本地管理员。
  • 批量注册 - 在批量注册的上下文中执行的 Microsoft Entra 联接发生在自动创建的用户的上下文中。 在已加入设备后才登录的用户不会被添加到管理员组。

手动提升设备上的用户

除使用 Microsoft Entra 联接过程之外,还可手动将常规用户提升为某个特定设备上的本地管理员。 此步骤要求用户已是本地管理员组的成员。

Windows 10 1709 版本开始,可从“设置”->“帐户”->“其他用户”执行此任务。 选择“添加工作单位或学校用户”,在“用户帐户”下输入用户的用户主体名称 (UPN),然后在“帐户类型”下选择“管理员”

此外,还可使用命令提示符添加用户:

  • 如果从本地 Active Directory 同步了租户用户,请使用 net localgroup administrators /add "Contoso\username"
  • 如果租户用户是在 Microsoft Entra ID 中创建的,请使用 net localgroup administrators /add "AzureAD\UserUpn"

注意事项

  • 只能将基于角色的组分配给已加入 Microsoft Entra 设备的本地管理员角色。
  • 已加入 Microsoft Entra 的设备的本地管理员角色将分配给所有已加入 Microsoft Entra 的设备。 此角色的范围不能限定为一组特定的设备。
  • Windows 设备上的本地管理员权限不适用于 Microsoft Entra B2B 来宾用户
  • 从已加入 Microsoft Entra 的设备的本地管理员角色中移除用户时,更改不会立即生效。 只要用户已登录到了某个设备,他们就仍对该设备具有本地管理员权限。 颁发新的主刷新令牌后,下次登录期间将撤销该特权。 类似于特权提升,这种撤销操作最多可能需要 4 个小时。

后续步骤