如何在加入 Microsoft Entra 的裝置上管理本機系統管理員群組

  • 文章

若要管理 Windows 裝置,您必須是本機系統管理員群組的成員。 在 Microsoft Entra 加入程式中,Microsoft Entra ID 會更新裝置上此群組的成員資格。 您可以自定義成員資格更新,以符合您的商務需求。 例如,如果您想要讓技術服務人員執行需要裝置系統管理員許可權的工作,則成員資格更新會很有説明。

本文說明本機系統管理員成員資格更新的運作方式,以及如何在 Microsoft Entra 加入期間自定義它。 本文的內容不適用於 Microsoft Entra 混合式已 加入裝置。

運作方式

在加入 Microsoft Entra 時,下列安全性主體會新增至裝置上的本機系統管理員群組:

注意

這隻會在聯結作業期間完成。 如果系統管理員在此點之後進行變更,則必須更新裝置上的群組成員資格。

藉由將 Microsoft Entra 角色新增至本機系統管理員群組,您可以更新可在 Microsoft Entra 識別符中隨時管理裝置的使用者,而不需修改裝置上的任何專案。 Microsoft Entra ID 也會將 Microsoft Entra Joined Device Local 管理員 istrator 角色新增至本機系統管理員群組,以支援最低許可權原則 (PoLP)。 除了具有全域 管理員 istrator 角色的使用者之外,您也可以啟用只獲指派 Microsoft Entra Joined Device Local 管理員 istrator 角色來管理裝置的使用者

管理全域 管理員 istrator 角色

若要檢視及更新 Global 管理員 istrator 角色的成員資格,請參閱:

管理 Microsoft Entra Joined Device Local 管理員 istrator 角色

您可以從裝置設定管理 Microsoft Entra Joined Device Local 管理員 istrator 角色

  1. 以至少 [特殊權限角色管理員] 身分登入 Microsoft Entra 系統管理中心
  2. 流覽至 [身分>識別裝置>][所有裝置] [裝置>設定]。
  3. 在所有已加入 Microsoft Entra 的裝置上,選取 [管理其他本機系統管理員]。
  4. 選取 [ 新增指派 ],然後選擇您要新增的其他系統管理員,然後選取 [ 新增]。

若要修改 Microsoft Entra Joined Device Local 管理員 istrator 角色,請在所有已加入 Microsoft Entra 的裝置上設定其他本機系統管理員。

注意

此選項需要 Microsoft Entra ID P1 或 P2 授權。

Microsoft Entra Joined Device Local 管理員 istrators 會指派給所有已加入 Microsoft Entra 的裝置。 您無法將此角色的範圍設定為一組特定的裝置。 更新 Microsoft Entra Joined Device Local 管理員 istrator 角色不一定會對受影響的用戶產生立即影響。 在使用者已登入的裝置上,當下列兩個動作都發生時,許可權提升就會發生:

  • Microsoft Entra ID 已超過 4 小時,以發出具有適當許可權的新主要重新整理令牌。
  • 用戶註銷並重新登入,而不是鎖定/解除鎖定,以重新整理其配置檔。

使用者不會直接列在本機系統管理員群組中,會透過主要重新整理令牌接收許可權。

注意

上述動作不適用於先前尚未登入相關裝置的使用者。 在此情況下,系統管理員許可權會在第一次登入裝置之後立即套用。

使用 Microsoft Entra 群組管理系統管理員權限 (預覽)

您可以使用 Microsoft Entra 群組,透過 本機使用者和群組 行動裝置管理 (MDM) 原則來管理已加入 Microsoft Entra 裝置的系統管理員許可權。 此原則可讓您將個別使用者或 Microsoft Entra 群組指派給已加入 Microsoft Entra 之裝置上的本機系統管理員群組,提供您為不同裝置群組設定不同系統管理員的數據粒度。

組織可以使用 Intune,透過自定義 OMA-URI 設定帳戶保護原則來管理這些原則。 使用此原則的一些考慮:

  • 透過原則新增 Microsoft Entra 群組需要透過執行 適用於群組的 Microsoft Graph API 來取得的群組安全標識碼 (SID)。 SID 相當於 API 回應中的屬性 securityIdentifier

  • 管理員 istrator 許可權使用此原則只會針對 Windows 10 或更新版本的裝置上的下列已知群組進行評估 - 管理員 istrators、Users、Guest、Power Users、Remote Desktop Users 和 Remote Management Users。

  • 使用 Microsoft Entra 群組管理本機系統管理員不適用於已加入 Microsoft Entra 混合式或 Microsoft Entra 已註冊的裝置。

  • 部署至具有此原則之裝置的 Microsoft Entra 群組不適用於遠端桌面連線。 若要控制已加入 Microsoft Entra 裝置的遠端桌面許可權,您必須將個別使用者的 SID 新增至適當的群組。

重要

使用 Microsoft Entra ID 的 Windows 登入支持評估最多 20 個群組的系統管理員許可權。 我們建議在每個裝置上不超過 20 個 Microsoft Entra 群組,以確保已正確指派系統管理員許可權。 這項限制也適用於巢狀群組。

管理一般使用者

根據預設,Microsoft Entra ID 會將執行 Microsoft Entra Join 的使用者新增至裝置上的系統管理員群組。 如果您想要防止一般使用者成為本機系統管理員,您有下列選項:

在裝置上手動提高用戶的許可權

除了使用 Microsoft Entra 加入程式之外,您也可以手動提高一般使用者的許可權,成為一個特定裝置上的本機系統管理員。 此步驟會要求您已經是本機系統管理員群組的成員。

Windows 10 1709 版本開始,您可以從 設定 -> 帳戶 -> 其他使用者執行這項工作。 選取 [新增公司或學校使用者],在 [使用者帳戶] 下輸入使用者的用戶主體名稱 (UPN),然後在 [帳戶類型] 下選取 [管理員 istrator]

此外,您也可以使用命令提示字元來新增使用者:

  • 如果您的租使用者使用者是從 內部部署的 Active Directory 同步處理,請使用 net localgroup administrators /add "Contoso\username"
  • 如果您的租用戶使用者是在 Microsoft Entra 識別碼中建立,請使用 net localgroup administrators /add "AzureAD\UserUpn"

考量

  • 您只能將角色型群組指派給 Microsoft Entra Joined Device Local 管理員 istrator 角色。
  • Microsoft Entra Joined Device Local 管理員 istrator 角色會指派給所有已加入 Microsoft Entra 的裝置。 此角色不能限定為一組特定的裝置。
  • Windows 裝置上的本機系統管理員許可權不適用於 Microsoft Entra B2B 來賓使用者
  • 當您從 Microsoft Entra Joined Device Local 管理員 istrator 角色中移除使用者時,變更不會立即完成。 只要使用者登入裝置,使用者仍具有裝置上的本機系統管理員許可權。 發出新的主要重新整理令牌時,會在下次登入期間撤銷許可權。 這項撤銷,類似於提高許可權,最多可能需要 4 小時的時間。

下一步