Share via

Cara mengelola grup administrator lokal di perangkat yang bergabung dengan Microsoft Entra

  • Artikel

Untuk mengelola perangkat Windows, Anda harus menjadi anggota grup administrator lokal. Sebagai bagian dari proses gabungan Microsoft Entra, ID Microsoft Entra memperbarui keanggotaan grup ini pada perangkat. Anda dapat menyesuaikan pembaruan keanggotaan untuk memenuhi kebutuhan bisnis Anda. Pembaruan keanggotaan adalah, misalnya, berguna jika Anda ingin mengaktifkan staf helpdesk Anda untuk melakukan tugas yang memerlukan hak administrator pada perangkat.

Artikel ini menjelaskan cara kerja pembaruan keanggotaan administrator lokal dan bagaimana Anda dapat menyesuaikannya selama gabungan Microsoft Entra. Konten artikel ini tidak berlaku untuk perangkat gabungan hibrid Microsoft Entra.

Cara kerjanya

Pada saat Microsoft Entra bergabung, prinsip keamanan berikut ditambahkan ke grup administrator lokal di perangkat:

Catatan

Ini dilakukan selama operasi gabungan saja. Jika administrator membuat perubahan setelah titik ini, mereka perlu memperbarui keanggotaan grup di perangkat.

Dengan menambahkan peran Microsoft Entra ke grup administrator lokal, Anda dapat memperbarui pengguna yang dapat mengelola perangkat kapan saja di ID Microsoft Entra tanpa memodifikasi apa pun di perangkat. MICROSOFT Entra ID juga menambahkan peran Administrator Lokal Perangkat Gabungan Microsoft Entra ke grup administrator lokal untuk mendukung prinsip hak istimewa paling sedikit (PoLP). Selain pengguna dengan peran Administrator Global, Anda juga dapat mengaktifkan pengguna yang hanya diberi peran Administrator Lokal Perangkat Gabungan Microsoft Entra untuk mengelola perangkat.

Mengelola peran administrator

Untuk melihat dan memperbarui keanggotaan peran administrator , lihat:

Mengelola peran Administrator Lokal Perangkat gabungan Microsoft Entra

Anda dapat mengelola peran Administrator Lokal Perangkat Gabungan Microsoft Entra dari pengaturan Perangkat.

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Peran Istimewa.
  2. Telusuri ke Perangkat>Identitas>Semua pengaturan Perangkat perangkat.>
  3. Pilih Kelola Administrator lokal tambahan di semua perangkat yang bergabung dengan Microsoft Entra.
  4. Pilih Tambahkan tugas lalu pilih administrator lain yang ingin Anda tambahkan dan pilih Tambahkan.

Untuk mengubah peran Administrator Lokal Perangkat Gabungan Microsoft Entra, konfigurasikan Administrator lokal tambahan di semua perangkat yang bergabung dengan Microsoft Entra.

Catatan

Opsi ini memerlukan lisensi Microsoft Entra ID P1 atau P2.

Administrator Lokal Perangkat Gabungan Microsoft Entra ditetapkan ke semua perangkat yang bergabung dengan Microsoft Entra. Anda tidak dapat mencakup peran ini ke sekumpulan perangkat tertentu. Memperbarui peran Administrator Lokal Perangkat Gabungan Microsoft Entra tidak selalu berdampak langsung pada pengguna yang terpengaruh. Pada perangkat tempat pengguna sudah masuk, elevasi hak istimewa terjadi ketika kedua tindakan di bawah ini terjadi:

  • Hingga 4 jam telah berlalu untuk ID Microsoft Entra untuk mengeluarkan Token Refresh Utama baru dengan hak istimewa yang sesuai.
  • Pengguna keluar dan masuk kembali, bukan mengunci / membuka kunci, untuk menyegarkan profil mereka.

Pengguna tidak secara langsung tercantum dalam grup administrator lokal, izin diterima melalui Token Refresh Utama.

Catatan

Tindakan di atas tidak berlaku untuk pengguna yang belum masuk ke perangkat yang relevan sebelumnya. Dalam hal ini, hak istimewa administrator diterapkan segera setelah pertama kali masuk ke perangkat.

Mengelola hak istimewa administrator menggunakan grup Microsoft Entra (pratinjau)

Anda dapat menggunakan grup Microsoft Entra untuk mengelola hak istimewa administrator pada perangkat yang bergabung dengan Microsoft Entra dengan kebijakan Manajemen perangkat seluler (MDM) Pengguna Lokal dan Grup . Kebijakan ini memungkinkan Anda menetapkan pengguna individual atau grup Microsoft Entra ke grup administrator lokal pada perangkat yang bergabung dengan Microsoft Entra, memberi Anda granularitas untuk mengonfigurasi administrator yang berbeda untuk berbagai grup perangkat.

Organisasi dapat menggunakan Intune untuk mengelola kebijakan ini menggunakan Pengaturan OMA-URI Kustom atau kebijakan perlindungan Akun. Beberapa pertimbangan untuk menggunakan kebijakan ini:

  • Menambahkan grup Microsoft Entra melalui kebijakan memerlukan pengidentifikasi keamanan (SID) grup yang dapat diperoleh dengan menjalankan Microsoft Graph API untuk Grup. SID sama dengan properti securityIdentifier dalam respons API.

  • Hak istimewa administrator yang menggunakan kebijakan ini dievaluasi hanya untuk grup terkenal berikut ini di perangkat Windows 10 atau yang lebih baru - Administrator, Pengguna, Tamu, Pengguna Power, Pengguna Desktop Jauh, dan Pengguna Manajemen Jarak Jauh.

  • Mengelola administrator lokal menggunakan grup Microsoft Entra tidak berlaku untuk perangkat microsoft Entra hybrid joined atau Microsoft Entra registered.

  • Grup Microsoft Entra yang disebarkan ke perangkat dengan kebijakan ini tidak berlaku untuk koneksi desktop jarak jauh. Untuk mengontrol izin desktop jarak jauh untuk perangkat yang bergabung dengan Microsoft Entra, Anda perlu menambahkan SID pengguna individual ke grup yang sesuai.

Penting

Masuk Windows dengan MICROSOFT Entra ID mendukung evaluasi hingga 20 grup untuk hak administrator. Sebaiknya tidak memiliki lebih dari 20 grup Microsoft Entra di setiap perangkat untuk memastikan bahwa hak administrator ditetapkan dengan benar. Pembatasan ini juga berlaku untuk kelompok bersarang.

Mengelola pengguna reguler

Secara default, MICROSOFT Entra ID menambahkan pengguna yang melakukan gabungan Microsoft Entra ke grup administrator di perangkat. Jika Anda ingin mencegah pengguna reguler menjadi administrator lokal, Anda memiliki opsi berikut:

  • Windows Autopilot - Windows Autopilot memberi Anda opsi untuk mencegah pengguna utama bergabung menjadi administrator lokal dengan membuat profil Autopilot.
  • Pendaftaran massal - gabungan Microsoft Entra yang dilakukan dalam konteks pendaftaran massal terjadi dalam konteks pengguna yang dibuat secara otomatis. Pengguna yang masuk setelah perangkat bergabung tidak ditambahkan ke grup administrator.

Meningkatkan pengguna secara manual di perangkat

Selain menggunakan proses gabungan Microsoft Entra, Anda juga dapat meningkatkan pengguna reguler secara manual untuk menjadi administrator lokal pada satu perangkat tertentu. Langkah ini mengharuskan Anda untuk sudah menjadi anggota grup administrator lokal.

Dimulai dengan rilis Windows 10 1709, Anda dapat melakukan tugas ini dari Pengaturan -> Akun -> Pengguna lain. Pilih Tambahkan pengguna kantor atau sekolah, masukkan nama prinsipal pengguna (UPN) pengguna di bawah Akun pengguna dan pilih Administrator di bawah Jenis akun

Selain itu, Anda juga dapat menambahkan pengguna menggunakan prompt perintah:

  • Jika pengguna penyewa Anda disinkronkan dari Direktori Aktif lokal, gunakan net localgroup administrators /add "Contoso\username".
  • Jika pengguna penyewa Anda dibuat di ID Microsoft Entra, gunakan net localgroup administrators /add "AzureAD\UserUpn"

Pertimbangan

  • Anda hanya dapat menetapkan grup berbasis peran ke peran Administrator Lokal Perangkat Gabungan Microsoft Entra.
  • Peran Administrator Lokal Perangkat Gabungan Microsoft Entra ditetapkan ke semua perangkat yang bergabung dengan Microsoft Entra. Peran ini tidak dapat dilingkup ke sekumpulan perangkat tertentu.
  • Hak administrator lokal di perangkat Windows tidak berlaku untuk pengguna tamu Microsoft Entra B2B.
  • Saat Anda menghapus pengguna dari peran Administrator Lokal Perangkat gabungan Microsoft Entra, perubahan tidak instan. Pengguna masih memiliki hak istimewa administrator lokal pada perangkat selama mereka masuk ke perangkat. Hak istimewa dicabut selama masuk berikutnya ketika token refresh utama baru dikeluarkan. Pencabutan ini, mirip dengan peningkatan hak istimewa, bisa memakan waktu hingga 4 jam.

Langkah berikutnya