若要管理 Windows 设备,需要成为本地管理员组的成员。 在 Microsoft Entra 联接过程中,Microsoft Entra ID 将更新设备上此组的成员身份。 可以自定义成员身份更新以满足业务需求。 例如,如果希望帮助台员工在设备上执行需要管理员权限的任务,则成员身份更新会非常有帮助。
本文介绍了本地管理员成员身份更新的工作原理以及在 Microsoft Entra 联接期间如何对其进行自定义。 本文的内容不适用于“已建立混合 Microsoft Entra 联接”的设备。
工作原理
在进行 Microsoft Entra 联接时,会将以下安全主体添加到设备上的本地管理员组:
- Microsoft已加入设备本地管理员和全局管理员角色
- 执行 Microsoft Entra 联接的用户
注意
此操作仅在联接操作期间完成。 如果管理员在此之后进行更改,则需要更新设备上的组成员身份。
通过将用户添加到已加入 Microsoft Entra 的设备本地管理员角色,可以在 Microsoft Entra ID 中随时更新管理设备的用户,而无需修改设备上的任何内容。 Microsoft Entra 联接设备本地管理员角色已添加到本地管理员组,以支持最低权限原则。
管理管理员角色
若要查看和更新 管理员角色角色 的成员身份,请参阅:
管理 Microsoft Entra 联接设备本地管理员角色
可以从设备设置管理Microsoft Entra 加入设备本地管理员角色。
- 以至少特权角色管理员身份登录到 Microsoft Entra 管理中心。
- 浏览到“标识”>“设备”>“所有设备”>“设备设置”。
- 选择“管理所有已加入 Microsoft Entra 的设备上的其他本地管理员”。
- 选择“添加分配”,然后选择要添加的其他管理员,接下来选择“添加”。
若要修改 Microsoft Entra Joined Device Local Administrator 角色,请在 所有 Microsoft已加入 entra 的设备上配置其他本地管理员。
注意
此选项需 要Microsoft Entra ID P1 或 P2 许可证。
Microsoft Entra 联接设备本地管理员分配给所有 Microsoft Entra 联接设备。 不能将此角色的范围限定为一组特定的设备。 更新 Microsoft Entra 联接设备本地管理员角色不一定会对受影响的用户产生直接影响。 在用户已登录的设备上,当以下两种操作都发生时,就会发生权限提升:
- 最多 4 个小时,Microsoft Entra ID 便会发出具有适当特权的新主刷新令牌。
- 用户注销并重新登录(而不是锁定/解锁)即可刷新其配置文件。
用户不会直接被添加到本地管理员组中,他们的权限是通过主刷新令牌获得的。
注意
上述操作不适用于之前未登录相关设备的用户。 在这种情况下,管理员权限将在他们首次登录设备后立即应用。
使用 Microsoft Entra 组管理管理员权限
可以使用 Microsoft Entra 组,通过移动设备管理(MDM)策略,对已加入 Microsoft Entra 的设备上的管理员权限进行管理。 通过此策略,你可以将单个用户或 Microsoft Entra 组分配给已加入 Microsoft Entra 的设备上的本地管理员组,从而可以为不同的设备组配置不同的管理员。
组织可以使用 Intune 通过 自定义 OMA-URI 设置 或 帐户保护策略来管理这些策略。 使用此策略的几个注意事项:
要通过策略添加 Microsoft Entra 组,需要获取该组的安全标识符 (SID),而 SID 可以通过执行 Microsoft Graph 适用于组的 API 来获得。 SID 等于 API 响应中的属性
securityIdentifier。仅针对 Windows 10 或更新设备上的以下知名的用户组评估使用此策略的管理员特权:管理员、用户、来宾、高级用户、远程桌面用户和远程管理用户。
使用 Microsoft Entra 组管理本地管理员不适用于 Microsoft Entra 混合联接设备或 Microsoft Entra 注册设备。
使用此策略部署到设备的 Microsoft Entra 组不适用于远程桌面连接。 若要控制已加入 Microsoft Entra 的设备的远程桌面权限,需要将单个用户的 SID 添加到相应的组。
重要
使用 Microsoft Entra ID 的 Windows 登录支持评估最多 20 个组的管理员权限。 建议每个设备上的 Microsoft Entra 组不超过 20 个,以确保正确分配管理员权限。 此限制也适用于嵌套组。
管理常规用户
默认情况下,Microsoft Entra ID 会将执行已加入 Microsoft Entra 的用户添加到设备上的管理员组。 如果希望防止常规用户成为本地管理员,可以使用以下选项:
- Windows Autopilot - Windows Autopilot 提供了一种通过创建 Autopilot 配置文件来防止主要用户在加入时成为本地管理员的选项。
- 批量注册 - 在批量注册的环境中执行的 Microsoft Entra 加入操作发生在自动创建用户的环境中。 在设备加入后才登录的用户不会被添加到管理员组。
手动提升设备上的用户
除使用 Microsoft Entra 联接过程之外,还可手动将常规用户提升为某个特定设备上的本地管理员。 此步骤要求用户已是本地管理员组的成员。
从Windows 10 1709版本开始,你可以通过设置>帐户>其他用户执行此任务。 选择“添加工作单位或学校用户”,在“用户帐户”下输入用户的用户主体名称 (UPN),然后在“帐户类型”下选择“管理员”
此外,还可使用命令提示符添加用户:
- 如果从本地 Active Directory 同步了租户用户,请使用
net localgroup administrators /add "Contoso\username"。 - 如果租户用户是在 Microsoft Entra ID 中创建的,请使用
net localgroup administrators /add "AzureAD\UserUpn"
注意事项
- 只能将基于角色的组分配给 Microsoft Entra 联接设备本地管理员角色。
- Microsoft Entra 联接设备本地管理员角色分配给所有 Microsoft Entra 联接设备。 此角色的范围不能限定为一组特定的设备。
- Windows 设备上的本地管理员权限不适用于 Microsoft Entra B2B 来宾用户。
- 从已加入 Microsoft Entra 的设备的本地管理员角色中移除用户时,更改不会立即生效。 只要用户已登录到了某个设备,他们就仍对该设备具有本地管理员权限。 颁发新的主刷新令牌后,下次登录期间将撤销该特权。 类似于特权提升,这种撤销操作最多可能需要 4 个小时。
后续步骤
- 若要大致了解如何管理设备,请参阅 管理设备标识。
- 若要了解有关基于设备的条件访问的详细信息,请参阅 条件访问:需要合规或Microsoft Entra 混合联接设备。