Como gerenciar o grupo de administradores locais nos dispositivos do Microsoft Azure Active DirectoryHow to manage the local administrators group on Azure AD joined devices

Para gerenciar um dispositivo Windows, você precisa ser um membro do grupo Administradores local.To manage a Windows device, you need to be a member of the local administrators group. Como parte do processo de junção do Azure Active Directory (Azure AD), o Azure AD atualiza os membros desse grupo em um dispositivo.As part of the Azure Active Directory (Azure AD) join process, Azure AD updates the membership of this group on a device. Você pode personalizar a atualização de associação para satisfazer seus requisitos de negócios.You can customize the membership update to satisfy your business requirements. Uma atualização de associação é, por exemplo, útil se você quiser habilitar sua equipe de assistência técnica para realizar tarefas que exigem direitos de administrador em um dispositivo.A membership update is, for example, helpful if you want to enable your helpdesk staff to do tasks requiring administrator rights on a device.

Este artigo explica como a atualização de associação funciona e como é possível personalizá-la durante um ingresso no Azure AD.This article explains how the membership update works and how you can customize it during an Azure AD Join. O conteúdo deste artigo não aplica-se a um ingresso no Azure AD híbrido.The content of this article doesn't apply to a hybrid Azure AD join.

Como ele funcionaHow it works

Quando você conectar um dispositivo Windows com o Microsoft Azure AD usando uma junção do Microsoft Azure AD, o Microsoft Azure AD adiciona os seguintes princípios de segurança ao grupo Administradores local no dispositivo:When you connect a Windows device with Azure AD using an Azure AD join, Azure AD adds the following security principles to the local administrators group on the device:

  • Função de administrador global do Microsoft Azure Active DirectoryThe Azure AD global administrator role
  • Função de administrador de dispositivo do Microsoft Azure Active DirectoryThe Azure AD device administrator role
  • O usuário que está executando o ingresso no Microsoft Azure Active DirectoryThe user performing the Azure AD join

Com a adição de funções do Microsoft Azure ADao grupo Administradores local, você pode atualizar os usuários que podem gerenciar um dispositivo a qualquer momento no Microsoft Azure AD sem modificar algo no dispositivo.By adding Azure AD roles to the local administrators group, you can update the users that can manage a device anytime in Azure AD without modifying anything on the device. Atualmente, é possível atribuir grupos a uma função de administrador.Currently, you cannot assign groups to an administrator role. O Azure Active Directory também adiciona a função de administrador do dispositivo do Microsoft Azure Active Directory ao grupo Administradores local para dar suporte o princípio do privilégio mínimo (PoLP).Azure AD also adds the Azure AD device administrator role to the local administrators group to support the principle of least privilege (PoLP). Além dos administradores globais, você também pode habilitar os usuários que foram apenas atribuídos à função de administrador do dispositivo para gerenciar um dispositivo.In addition to the global administrators, you can also enable users that have been only assigned the device administrator role to manage a device.

Gerenciar a função de administradores globaisManage the global administrators role

Para exibir e atualizar a associação de função de administrador global, consulte:To view and update the membership of the global administrator role, see:

Gerenciar a função de administrador do dispositivoManage the device administrator role

No portal do Azure, você pode gerenciar a função de administrador do dispositivo na página Dispositivos.In the Azure portal, you can manage the device administrator role on the Devices page. Vá para a página Dispositivos:To open the Devices page:

  1. Entre no portal do Azure como administrador global ou administrador de usuários.Sign in to your Azure portal as a global administrator or device administrator.
  2. Procurar pelo Azure Active Directory e selecioná-lo.Search for and select Azure Active Directory.
  3. Na seção Gerenciar, clique em Dispositivos.In the Manage section, click Devices.
  4. Na página Dispositivos, clique em Configurações de Dispositivo.On the Devices page, click Device settings.

Para modificar a função de administrador do dispositivo, configure Administradores locais adicionais no Microsoft Azure Active Directory ingressado em dispositivos.To modify the device administrator role, configure Additional local administrators on Azure AD joined devices.

Administradores locais adicionais

Observação

Essa opção exige um locatário do Azure AD Premium.This option requires an Azure AD Premium tenant.

Administradores do dispositivo são atribuídos a todos os dispositivos ingressados do Microsoft Azure AD.Device administrators are assigned to all Azure AD joined devices. Não é possível definir o escopo de administradores do dispositivo para um conjunto específico de dispositivos.You cannot scope device administrators to a specific set of devices. Atualizar a função de administrador do dispositivo não tem necessariamente um impacto imediato sobre os usuários afetados.Updating the device administrator role doesn't necessarily have an immediate impact on the affected users. Em dispositivos em que um usuário já está conectado, a atualização de privilégio ocorre quando ambas as ações abaixo acontecem:On devices where a user is already signed into, the privilege update takes place when both the below actions happen:

  • 4 horas passaram para o Azure AD emitir um novo token de atualização primário com os privilégios apropriados.4 hours have passed for Azure AD to issue a new Primary Refresh Token with the appropriate privileges.
  • O usuário sai e faz logon, não bloqueia/desbloqueie, para atualizar seu perfil.User signs out and signs back in, not lock/unlock, to refresh their profile.

Gerenciar usuários regularesManage regular users

Por padrão, o Microsoft Azure Active Directory adiciona o usuário que está executando o ingresso no Microsoft Azure Active Directory ao grupo administrador no dispositivo.By default, Azure AD adds the user performing the Azure AD join to the administrator group on the device. Se você quiser impedir que os usuários normais se tornem os administradores locais, você tem as seguintes opções:If you want to prevent regular users from becoming local administrators, you have the following options:

  • Windows Autopilot - Windows Autopilot lhe oferece uma opção para impedir que o usuário primário que está executando a junção de se tornar um administrador local.Windows Autopilot - Windows Autopilot provides you with an option to prevent primary user performing the join from becoming a local administrator. Você pode fazer isso criando um perfil do Autopilot.You can accomplish this by creating an Autopilot profile.
  • Registro em massa -um ingresso no Microsoft Azure Active Directory que é executado no contexto de um registro em massa acontece no contexto de um usuário criado automaticamente.Bulk enrollment - An Azure AD join that is performed in the context of a bulk enrollment happens in the context of an auto-created user. Usuários entrando depois que um dispositivo foi associado não são adicionados ao grupo de administradores.Users signing in after a device has been joined are not added to the administrators group.

Elevar manualmente um usuário em um dispositivoManually elevate a user on a device

Além de usar o processo de ingresso do Microsoft Azure Active Directory, você pode elevar manualmente um usuário normal para se tornar um administrador local em um dispositivo específico.In addition to using the Azure AD join process, you can also manually elevate a regular user to become a local administrator on one specific device. Esta etapa requer que você já seja um membro do grupo de administradores locais.This step requires you to already be a member of the local administrators group.

A partir da versão 10 1709 do Windows , você pode executar essa tarefa em Configurações-> contas-> outros usuários.Starting with the Windows 10 1709 release, you can perform this task from Settings -> Accounts -> Other users. Selecione Adicionar um usuário ou de estudante, insira o UPN do usuário sob a conta de usuário e selecione administrador sob tipo de contaSelect Add a work or school user, enter the user's UPN under User account and select Administrator under Account type

Além disso, você também pode adicionar usuários usando o prompt de comando:Additionally, you can also add users using the command prompt:

  • Se os usuários de locatário são sincronizadosno local do Active Directory, use net localgroup administrators /add "Contoso\username".If your tenant users are synchronized from on-premises Active Directory, use net localgroup administrators /add "Contoso\username".
  • Se os usuários de locatário são criados no Microsoft Azure Active Directory, use net localgroup administrators /add "AzureAD\UserUpn"If your tenant users are created in Azure AD, use net localgroup administrators /add "AzureAD\UserUpn"

ConsideraçõesConsiderations

Você não pode atribuir grupos à função de administrador do dispositivo, somente usuários individuais são permitidos.You cannot assign groups to the device administrator role, only individual users are allowed.

Administradores do dispositivo são atribuídos a todos os dispositivos ingressados do Microsoft Azure Active Directory.Device administrators are assigned to all Azure AD Joined devices. Eles não podem ser limitados a um conjunto específico de dispositivos.They can't be scoped to a specific set of devices.

Quando você remove os usuários da função de administrador do dispositivo, ele ainda tem o privilégio de administrador local em um dispositivo, desde que eles se conectem a ele.When you remove users from the device administrator role, they still have the local administrator privilege on a device as long as they are signed in to it. O privilégio é revogado durante o próximo logon, ou após 4 horas, quando um novo token de atualização principal é emitido.The privilege is revoked during the next sign-in, or after 4 hours when a new primary refresh token is issued.

Próximas etapasNext steps