Como gerenciar o grupo de administradores locais nos dispositivos do Microsoft Azure Active Directory

Para gerenciar um dispositivo Windows, você precisa ser um membro do grupo Administradores local. Como parte do processo de junção do Azure Active Directory (Azure AD), o Azure AD atualiza os membros desse grupo em um dispositivo. Você pode personalizar a atualização de associação para satisfazer seus requisitos de negócios. Uma atualização de associação é, por exemplo, útil se você quiser habilitar sua equipe de assistência técnica para realizar tarefas que exigem direitos de administrador em um dispositivo.

Este artigo explica como a atualização de associação de administradores locais funciona e como é possível personalizá-la durante um ingresso no Azure AD. O conteúdo deste artigo não se aplica a dispositivos ingressados no Azure AD híbrido.

Como ele funciona

Quando você conectar um dispositivo Windows com o Azure AD usando um ingresso do Azure AD, o Azure AD adiciona as seguintes entidades de segurança ao grupo de administradores local no dispositivo:

  • Função de administrador global do Microsoft Azure Active Directory
  • Função de administrador local do dispositivo ingressado no Azure AD
  • O usuário que está executando o ingresso no Microsoft Azure Active Directory

Com a adição de funções do Microsoft Azure ADao grupo Administradores local, você pode atualizar os usuários que podem gerenciar um dispositivo a qualquer momento no Microsoft Azure AD sem modificar algo no dispositivo. O Azure Active Directory também adiciona a função de administrador local do dispositivo no Microsoft Azure Active Directory ao grupo de administradores locais para oferecer suporte ao princípio de privilégios mínimos (PoLP). Além dos administradores globais, você também pode habilitar os usuários que foram apenas atribuídos à função de administrador do dispositivo para gerenciar um dispositivo.

Gerenciar a função de administradores globais

Para exibir e atualizar a associação de função de administrador global, consulte:

Gerenciar a função de administrador do dispositivo

No portal do Azure, você pode gerenciar a função de administrador do dispositivo na página Dispositivos. Vá para a página Dispositivos:

  1. Entre no Portal do Azure como administrador global.
  2. Pesquise Azure Active Directory e selecione-o.
  3. Na seção Gerenciar, clique em Dispositivos.
  4. Na página Dispositivos, clique em Configurações de Dispositivo.

Para modificar a função de administrador do dispositivo, configure Administradores locais adicionais no Microsoft Azure Active Directory ingressado em dispositivos.

Administradores locais adicionais

Observação

Essa opção exige um locatário do Azure AD Premium.

Administradores do dispositivo são atribuídos a todos os dispositivos ingressados do Microsoft Azure AD. Não é possível definir o escopo de administradores do dispositivo para um conjunto específico de dispositivos. Atualizar a função de administrador do dispositivo não tem necessariamente um impacto imediato sobre os usuários afetados. Em dispositivos em que um usuário já está conectado, a elevação de privilégio ocorre quando ambas as ações abaixo acontecem:

  • Até 4 horas passaram para o Azure AD emitir um novo Token de Atualização Primário com os privilégios apropriados.
  • O usuário sai e faz logon novamente, não bloqueia/desbloqueia, para atualizar o perfil.
  • Os usuários não serão listados no grupo de administradores locais, as permissões são recebidas por meio do Token de atualização principal.

Observação

As ações acima não são aplicáveis a usuários que não entraram no dispositivo relevante anteriormente. Nesse caso, os privilégios de administrador são aplicados imediatamente após seu primeiro acesso no dispositivo.

Gerenciar privilégios de administrador usando grupos do Azure AD (versão prévia)

A partir da versão 2004 do Windows 10, é possível usar os grupos do Azure AD para gerenciar privilégios de administrador em dispositivos ingressados no Azure AD com a política MDM Grupos Restritos. Essa política permite atribuir usuários individuais ou grupos do Azure AD ao grupo de administradores local em um dispositivo ingressado no Azure AD, fornecendo a granularidade para configurar administradores distintos para diferentes grupos de dispositivos.

Observação

Ao iniciar a atualização 20H2 do Windows 10, é recomendável usar a política de Usuários e Grupos Locais em vez da política de Grupos Restritos.

Atualmente, não há nenhuma interface do usuário no Intune para gerenciar essas políticas e elas precisam ser configuradas usando Configurações OMA-URI personalizadas. Algumas considerações sobre o uso de qualquer uma dessas políticas:

  • A adição de grupos do Azure AD por meio da política requer o SID do grupo que pode ser obtido ao executar a API Microsoft Graph para grupos. O SID é definido pela propriedade securityIdentifier na resposta da API.

  • Quando a política Grupos Restritos é imposta, qualquer membro atual do grupo que não está na lista de membros é removido. Assim, a imposição dessa política com novos membros ou grupos removerá os administradores existentes, ou seja, o usuário que ingressou no dispositivo, a função de administrador de dispositivo e a função de administrador global do dispositivo. Para evitar a remoção de membros existentes, você precisa configurá-los como parte da lista de membros na política Grupos Restritos. Essa limitação será resolvida se você usar a política Usuários e Grupos Locais que permite atualizações incrementais na assinatura de grupo

  • Os privilégios de administrador que usam ambas as políticas são avaliados apenas para os seguintes grupos conhecidos em um dispositivo Windows 10: administradores, usuários, convidados, usuários avançados, usuários da Área de Trabalho Remota e usuários de Gerenciamento Remoto.

  • O gerenciamento de administradores locais usando grupos do Azure AD não é aplicável a dispositivos ingressado no Azure AD híbrido ou registrados no Azure AD.

  • Embora a política Grupos Restritos existisse antes da versão 2004 do Windows 10, ela não dava suporte a grupos do Azure AD como membros do grupo de administradores locais de um dispositivo.

  • As conexões de área de trabalho remota não se aplicam aos grupos do Azure AD implantados em um dispositivo com uma dessas duas políticas. Para controlar permissões de área de trabalho remota para dispositivos ingressados no Azure AD, você precisa adicionar o SID do usuário individual ao grupo apropriado.

Importante

A entrada no Windows pelo Azure AD oferece suporte à avaliação de direitos de administrador para até 20 grupos. É recomendável ter no máximo 20 grupos do Azure AD em cada dispositivo para garantir que os direitos de administrador sejam atribuídos corretamente. Essa limitação também se aplica a grupos aninhados.

Gerenciar usuários regulares

Por padrão, o Microsoft Azure Active Directory adiciona o usuário que está executando o ingresso no Microsoft Azure Active Directory ao grupo administrador no dispositivo. Se você quiser impedir que os usuários normais se tornem os administradores locais, você tem as seguintes opções:

  • Windows Autopilot - Windows Autopilot lhe oferece uma opção para impedir que o usuário primário que está executando a junção de se tornar um administrador local. Você pode fazer isso criando um perfil do Autopilot.
  • Registro em massa -um ingresso no Microsoft Azure Active Directory que é executado no contexto de um registro em massa acontece no contexto de um usuário criado automaticamente. Usuários entrando depois que um dispositivo foi associado não são adicionados ao grupo de administradores.

Elevar manualmente um usuário em um dispositivo

Além de usar o processo de ingresso do Microsoft Azure Active Directory, você pode elevar manualmente um usuário normal para se tornar um administrador local em um dispositivo específico. Esta etapa requer que você já seja um membro do grupo de administradores locais.

A partir da versão 1709 do Windows 10, é possível executar essa tarefa em Configurações -> Contas -> Outros usuários. Selecione Adicionar um usuário ou de estudante, insira o UPN do usuário sob a conta de usuário e selecione administrador sob tipo de conta

Além disso, você também pode adicionar usuários usando o prompt de comando:

  • Se os usuários de locatário são sincronizadosno local do Active Directory, use net localgroup administrators /add "Contoso\username".
  • Se os usuários de locatário são criados no Microsoft Azure Active Directory, use net localgroup administrators /add "AzureAD\UserUpn"

Considerações

Você não pode atribuir grupos à função de administrador do dispositivo, somente usuários individuais são permitidos.

Administradores do dispositivo são atribuídos a todos os dispositivos ingressados do Microsoft Azure Active Directory. Eles não podem ser limitados a um conjunto específico de dispositivos.

Quando você remove os usuários da função de administrador do dispositivo, ele ainda tem o privilégio de administrador local em um dispositivo, desde que eles se conectem a ele. O privilégio é revogado durante o próximo logon, quando um novo token de atualização principal é emitido. Essa revogação, semelhante à elevação de privilégio, pode levar até 4 horas.

Próximas etapas