Come gestire il gruppo administrators locale nei dispositivi aggiunti a Microsoft Entra

Per gestire un dispositivo Windows, è necessario essere un membro del gruppo di amministratori locale. Nell'ambito del processo di aggiunta a Microsoft Entra, Microsoft Entra ID aggiorna l'appartenenza a questo gruppo in un dispositivo. È possibile personalizzare l'aggiornamento dell'appartenenza per soddisfare i requisiti aziendali. L'aggiornamento di un'appartenenza è, ad esempio, utile se si vuole consentire al personale del supporto tecnico di eseguire le attività che richiedono diritti di amministratore in un dispositivo.

Questo articolo illustra il funzionamento dell'aggiornamento dell'appartenenza degli amministratori locali e come personalizzarlo durante un join a Microsoft Entra. Il contenuto di questo articolo non si applica ai dispositivi aggiunti a Microsoft Entra ibrido .

Funzionamento

Al momento dell'aggiunta a Microsoft Entra, nel dispositivo vengono aggiunte le entità di sicurezza seguenti al gruppo administrators locale:

  • L'amministratore locale del dispositivo Aggiunto a Microsoft Entra e i ruoli di amministratore globale
  • L'utente che esegue l'aggiunta a Microsoft Entra

Nota

Questa operazione viene eseguita solo durante l'operazione di join. Se un amministratore apporta modifiche dopo questo punto, sarà necessario aggiornare l'appartenenza al gruppo nel dispositivo.

Aggiungendo utenti al ruolo Amministratore locale del dispositivo Aggiunto a Microsoft Entra, è possibile aggiornare gli utenti che possono gestire un dispositivo in qualsiasi momento in Microsoft Entra ID senza modificare alcun elemento nel dispositivo. Il ruolo Amministratore locale del dispositivo aggiunto a Microsoft Entra viene aggiunto al gruppo administrators locale per supportare il principio dei privilegi minimi.

Gestire i ruoli di amministratore

Per visualizzare e aggiornare l'appartenenza di un ruolo di amministratore , vedere:

Gestire il ruolo Amministratore locale del dispositivo aggiunto a Microsoft Entra

È possibile gestire il ruolo Amministratore locale del dispositivo Aggiunto a Microsoft Entra da Impostazioni dispositivo.

  1. Accedere all'interfaccia di amministrazione di Microsoft Entra almeno con il ruolo Amministratore del ruolo con privilegi .
  2. Passare a Dispositivi>di identità>Tutte le>impostazioni dispositivo.
  3. Selezionare Gestisci amministratori locali aggiuntivi in tutti i dispositivi aggiunti a Microsoft Entra.
  4. Selezionare Aggiungi assegnazioni e quindi scegliere gli altri amministratori da aggiungere e selezionare Aggiungi.

Per modificare il ruolo Amministratore locale del dispositivo aggiunto a Microsoft Entra, configurare Amministratori locali aggiuntivi in tutti i dispositivi aggiunti a Microsoft Entra.

Nota

Questa opzione richiede licenze Microsoft Entra ID P1 o P2.

Gli amministratori locali dei dispositivi aggiunti a Microsoft Entra vengono assegnati a tutti i dispositivi aggiunti a Microsoft Entra. Non è possibile definire l'ambito di questo ruolo in un set specifico di dispositivi. L'aggiornamento del ruolo Amministratore locale del dispositivo aggiunto a Microsoft Entra non ha necessariamente un impatto immediato sugli utenti interessati. Nei dispositivi a cui un utente ha già eseguito l'accesso, l'elevazione dei privilegi avviene quando si verificano entrambe le azioni seguenti:

  • Fino a 4 ore trascorse per microsoft Entra ID per rilasciare un nuovo token di aggiornamento primario con i privilegi appropriati.
  • L'utente si disconnette e accede di nuovo, non blocca/sblocca, per aggiornare il profilo.

Gli utenti non sono elencati direttamente nel gruppo di amministratori locali, le relative autorizzazioni vengono ricevute tramite il token di aggiornamento primario.

Nota

Le azioni precedenti non sono applicabili agli utenti che non hanno eseguito l'accesso al dispositivo pertinente in precedenza. In questo caso, i privilegi di amministratore vengono applicati immediatamente dopo il primo accesso al dispositivo.

Gestire i privilegi di amministratore usando i gruppi di Microsoft Entra (anteprima)

È possibile usare i gruppi di Microsoft Entra per gestire i privilegi di amministratore nei dispositivi aggiunti a Microsoft Entra con i criteri Local Users and Groups mobile device management (MDM). Questo criterio consente di assegnare singoli utenti o gruppi di Microsoft Entra al gruppo administrators locale in un dispositivo aggiunto a Microsoft Entra, offrendo la granularità per configurare amministratori distinti per diversi gruppi di dispositivi.

Le organizzazioni possono usare Intune per gestire questi criteri usando impostazioni URI OMA personalizzate o criteri di protezione dell'account. Alcune considerazioni sull'uso di questo criterio:

  • L'aggiunta di gruppi di Microsoft Entra tramite i criteri richiede l'identificatore di sicurezza del gruppo (SID) che può essere ottenuto eseguendo l'API Microsoft Graph per i gruppi. Il SID equivale alla proprietà securityIdentifier nella risposta dell'API.

  • I privilegi di amministratore che usano questo criterio vengono valutati solo per i gruppi noti seguenti in un dispositivo Windows 10 o versione successiva: amministratori, utenti, utenti guest, utenti esperti, utenti desktop remoto e utenti di gestione remota.

  • La gestione degli amministratori locali con i gruppi di Microsoft Entra non è applicabile ai dispositivi registrati aggiunti a Microsoft Entra ibridi o Microsoft Entra.

  • I gruppi di Microsoft Entra distribuiti in un dispositivo con questo criterio non si applicano alle connessioni Desktop remoto. Per controllare le autorizzazioni desktop remoto per i dispositivi aggiunti a Microsoft Entra, è necessario aggiungere il SID dell'utente singolo al gruppo appropriato.

Importante

L'accesso a Windows con Microsoft Entra ID supporta la valutazione di un massimo di 20 gruppi per i diritti di amministratore. È consigliabile non avere più di 20 gruppi di Microsoft Entra in ogni dispositivo per assicurarsi che i diritti di amministratore siano assegnati correttamente. Questa limitazione si applica anche ai gruppi annidati.

Gestire utenti normali

Per impostazione predefinita, Microsoft Entra ID aggiunge l'utente che esegue l'aggiunta a Microsoft Entra al gruppo di amministratori nel dispositivo. Per impedire agli utenti normali di diventare amministratori locali, sono disponibili le opzioni seguenti:

  • Windows Autopilot : Windows Autopilot offre un'opzione per impedire all'utente primario di eseguire l'aggiunta di diventare un amministratore locale creando un profilo autopilot.
  • Registrazione in blocco: un join di Microsoft Entra eseguito nel contesto di una registrazione in blocco avviene nel contesto di un utente creato automaticamente. Gli utenti che accedono dopo l'aggiunta di un dispositivo non vengono aggiunti al gruppo administrators.

Elevare manualmente un utente su un dispositivo

Oltre a usare il processo di aggiunta a Microsoft Entra, è anche possibile elevare manualmente un utente normale per diventare un amministratore locale in un dispositivo specifico. Per eseguire questo passaggio, è necessario già essere un membro del gruppo Amministratori locale.

A partire dalla versione di Windows 10 1709, puoi eseguire questa attività da Impostazioni -> Account -> Altri utenti. Selezionare Aggiungi un utente aziendale o dell'istituto di istruzione, immettere il nome dell'entità utente (UPN) dell'utente in Account utente e selezionare Amministratore in Tipo di account

È anche possibile aggiungere gli utenti usando il prompt dei comandi:

  • Se gli utenti del tenant vengono sincronizzati da Active Directory locale, usare net localgroup administrators /add "Contoso\username".
  • Se gli utenti del tenant vengono creati in Microsoft Entra ID, usare net localgroup administrators /add "AzureAD\UserUpn"

Considerazioni

  • È possibile assegnare gruppi basati su ruoli solo al ruolo Amministratore locale del dispositivo aggiunto a Microsoft Entra.
  • Il ruolo Amministratore locale del dispositivo Aggiunto a Microsoft Entra viene assegnato a tutti i dispositivi aggiunti a Microsoft Entra. Questo ruolo non può essere limitato a un set specifico di dispositivi.
  • I diritti di amministratore locale nei dispositivi Windows non sono applicabili agli utenti guest di Microsoft Entra B2B.
  • Quando si rimuovono gli utenti dal ruolo Amministratore locale del dispositivo aggiunto a Microsoft Entra, le modifiche non sono istantanee. Gli utenti hanno ancora il privilegio di amministratore locale su un dispositivo, purché abbiano eseguito l'accesso. Il privilegio viene revocato durante il successivo accesso quando viene rilasciato un nuovo token di aggiornamento primario. Questa revoca, simile all'elevazione dei privilegi, potrebbe richiedere fino a 4 ore.

Passaggi successivi