Administración del grupo de administradores locales en dispositivos unidos a Azure AD

Para administrar un dispositivo Windows, debe ser miembro del grupo de administradores locales. Como parte del proceso de unión a Azure Active Directory (Azure AD), Azure AD actualiza la pertenencia de este grupo en un dispositivo. Puede personalizar la actualización de la pertenencia para satisfacer los requisitos de su negocio. Una actualización de pertenencia es, por ejemplo, útil si desea permitir que el personal del soporte técnico realice tareas que requieran derechos de administrador en un dispositivo.

En este artículo se explica cómo funciona la actualización de la pertenencia de los administradores locales y cómo puede personalizarla durante una unión a Azure AD. El contenido de este artículo no se aplica a dispositivos unidos a Azure AD híbrido.

Funcionamiento

Al conectar un dispositivo Windows con Azure AD mediante una unión a Azure AD, Azure AD agrega las siguientes entidades de seguridad al grupo de administradores locales del dispositivo:

• El rol de administrador global de Azure AD
• Rol de administrador local de dispositivos unidos a Azure AD
• El usuario que realiza la unión a Azure AD

Al agregar los roles de Azure AD al grupo de administradores locales, puede actualizar los usuarios que pueden administrar un dispositivo en cualquier momento en Azure AD sin modificar nada en el dispositivo. Azure AD también agrega el rol de administrador local de dispositivos unidos a Azure AD al grupo de administradores locales para admitir el principio de privilegio mínimo (PoLP). Además de los administradores globales, también puede habilitar a los usuarios a los que solo se ha asignado el rol de administrador de dispositivos para administrar uno.

Administración del rol de administrador global

Para ver y actualizar la pertenencia al rol de administrador global, consulte:

• Visualización de todos los miembros de un rol de administrador en Azure Active Directory
• Asignación de un usuario a roles de administrador en Azure Active Directory

Administración del rol de administrador de dispositivos

En Azure Portal, puede administrar el rol de administrador de dispositivos en Configuración del dispositivo.

1. Inicie sesión en Azure Portal como administrador global.
2. Vaya a Azure Active Directory>Dispositivos>Configuración del dispositivo.
3. Seleccione Administrar > Administradores locales adicionales en dispositivos unidos a Azure AD.
4. Seleccione Agregar asignaciones, elija los demás administradores que quiera agregar y seleccione Agregar.

Para modificar el rol de administrador de dispositivos, configure Administradores locales adicionales en dispositivos unidos a Azure AD.

Nota

Esta opción requiere licencias de Azure AD Premium.

Los administradores de dispositivos se asignan a todos los dispositivos unidos a Azure AD. No se puede definir el ámbito de los administradores de dispositivos a un conjunto específico de dispositivos. La actualización del rol de administrador de dispositivos no necesariamente tiene un impacto inmediato en los usuarios afectados. En los dispositivos en los que un usuario ya ha iniciado sesión, la elevación de los privilegios tiene lugar cuando las dos acciones siguientes tienen lugar:

• Han pasado hasta cuatro horas para que Azure AD emita un nuevo token de actualización principal con los privilegios adecuados.
• El usuario cierra sesión y la vuelve a iniciar, sin bloquear o desbloquear, para actualizar su perfil.
• Los usuarios no aparecerán en el grupo de administradores locales, los permisos se reciben por medio del token de actualización principal.

Nota:

Las acciones anteriores no se aplican a los usuarios que no han iniciado sesión en el dispositivo pertinente previamente. En este caso, los privilegios de administrador se aplican inmediatamente después de su primer inicio de sesión en el dispositivo.

Administración de los privilegios de administrador con grupos de Azure AD (versión preliminar)

A partir de Windows 10, versión 20H2, se pueden usar grupos de Azure AD para administrar los privilegios de administrador en dispositivos unidos a Azure AD con la directiva de grupos y usuarios locales de MDM. Esta directiva permite asignar usuarios individuales o grupos de Azure AD al grupo de administradores locales en un dispositivo unido a Azure AD, lo que le proporciona la granularidad para configurar diferentes administradores para distintos grupos de dispositivos.

Actualmente, no hay ninguna interfaz de usuario en Intune para administrar estas directivas y deben configurarse mediante Configuración OMA-URI personalizada. Estas son algunas consideraciones para usar esta directiva:

• La adición de grupos de Azure AD a través de la directiva requiere el SID del grupo, que se puede obtener mediante la ejecución de la API de Microsoft Graph para grupos. El SID se define mediante la propiedad securityIdentifier de la respuesta de la API.

• Los privilegios de administrador que usan esta directiva solo se evalúan para los siguientes grupos conocidos en un dispositivo con Windows 10 o versiones posteriores: administradores, usuarios, invitados, usuarios avanzados, usuarios de Escritorio remoto y usuarios de Administración remota.

• La administración de los administradores locales mediante grupos de Azure AD no es aplicable a los dispositivos unidos a Azure AD híbrido o dispositivos registrados de Azure AD.

• Los grupos de Azure AD implementados en un dispositivo con esta directiva no se aplican a las conexiones de Escritorio remoto. Para controlar los permisos de Escritorio remoto para dispositivos unidos a Azure AD, debe agregar el SID del usuario individual al grupo adecuado.

Importante

El inicio de sesión de Windows con Azure AD admite la evaluación de hasta 20 grupos para los derechos de administrador. Se recomienda no tener más de 20 grupos de Azure AD en cada dispositivo para garantizar que los derechos de administrador se asignen correctamente. Esta limitación también se aplica a los grupos anidados.

Administración de los usuarios normales

De forma predeterminada, Azure AD agrega el usuario que realiza la unión a Azure AD al grupo de administradores del dispositivo. Si desea evitar que los usuarios normales se conviertan en administradores locales, tiene las siguientes opciones:

• Windows Autopilot: Windows Autopilot le ofrece una opción para evitar que el usuario principal que realiza la unión se convierta en un administrador local mediante la creación de un perfil de Autopilot.
• Inscripción masiva: una unión a Azure AD que se realiza en el contexto de una inscripción masiva tiene lugar en el contexto de un usuario creado automáticamente. Los usuarios que inician sesión después de que se hayan unido un dispositivo no se agregan al grupo de administradores.

Elevación manual de un usuario en un dispositivo

Además de usar el proceso de unión a Azure AD, también puede elevar manualmente un usuario regular para que se convierta en un administrador local en un dispositivo específico. Este paso requiere que ya sea miembro del grupo de administradores locales.

A partir de la versión Windows 10 1709, puede realizar esta tarea en Configuración > Cuentas > Otros usuarios. Seleccione Agregar un usuario de trabajo o escuela, escriba el UPN del usuario en Cuenta de usuario y seleccione Administrador en Tipo de cuenta

Además, también puede agregar usuarios mediante el símbolo del sistema:

• Si los usuarios del inquilino están sincronizados desde Active Directory local, utilice net localgroup administrators /add "Contoso\username".
• Si se crean los usuarios del inquilino de Azure AD, utilice net localgroup administrators /add "AzureAD\UserUpn".

Consideraciones

• Solo puede asignar grupos basados en roles al rol de administrador de dispositivos.
• Los administradores de dispositivos se asignan a todos los dispositivos unidos a Azure AD. No se puede limitar a un conjunto específico de dispositivos.
• Los derechos de los administradores locales en los dispositivos Windows no son aplicables a los usuarios invitados de Azure AD B2B.
• Al quitar usuarios del rol de administrador de dispositivos, los cambios no son instantáneos. Los usuarios siguen teniendo privilegios de administrador local en un dispositivo, siempre y cuando hayan iniciado sesión en él. El privilegio se revoca durante el siguiente inicio de sesión cuando se emite un nuevo token de actualización principal. Esta revocación, similar a la elevación de privilegios, puede tardar hasta cuatro horas.

Pasos siguientes

• Para obtener información general sobre cómo administrar dispositivos en Azure Portal, vea Administración de dispositivos mediante Azure Portal.
• Para más información sobre el acceso condicional basado en dispositivos, vea Acceso condicional: requerir un dispositivo unido a Azure AD híbrido o compatible.