Verwalten der lokalen Administratorgruppe auf in Microsoft Entra ID eingebundenen Geräten
Um ein Windows-Gerät verwalten zu können, müssen Sie Mitglied der lokalen Administratorgruppe sein. Im Rahmen des Microsoft Entra-Beitrittsprozesses aktualisiert Microsoft Entra-ID die Mitgliedschaft dieser Gruppe auf einem Gerät. Sie können die Mitgliedschaftsaktualisierung Ihren geschäftlichen Anforderungen entsprechend anpassen. Eine Mitgliedschaftsaktualisierung ist beispielsweise hilfreich, wenn Sie Helpdeskmitarbeitern die Ausführung von Aufgaben ermöglichen möchten, für die Administratorrechte erforderlich sind.
In diesem Artikel erfahren Sie, wie die Mitgliedschaftsaktualisierung für lokale Administratoren funktioniert und wie Sie sie im Rahmen einer Microsoft Entra-Einbindung anpassen können. Der Inhalt dieses Artikels gilt nicht für Geräte vom Typ in Microsoft Entra hybrid eingebunden.
Funktionsweise
Zum Zeitpunkt der Microsoft Entra-Verknüpfung werden die folgenden Sicherheitsprinzipale der lokalen Administratorgruppe auf dem Gerät hinzugefügt:
- Die Personen, denen die Rolle Lokaler Administrator des in Microsoft Entra eingebundenen Geräts bzw. Globaler Administrator zugewiesen wurden
- Der Benutzer, der die Microsoft Entra-Verknüpfung ausführt
Hinweis
Dies erfolgt nur während des Joinvorgangs. Wenn ein*e Administrator*in nach diesem Punkt Änderungen vornimmt, muss er oder sie die Gruppenmitgliedschaft auf dem Gerät aktualisieren.
Indem Sie Benutzer der Rolle „Lokaler Administrator für in Microsoft Entra eingebundenes Gerät“ hinzufügen, können Sie die Benutzer, die ein Gerät verwalten können, jederzeit in Microsoft Entra ID aktualisieren, ohne Änderungen auf dem Gerät vornehmen zu müssen. Die Rolle „Lokaler Administrator für in Microsoft Entra eingebundenes Gerät“ wird der Gruppe „Lokale Administratoren“ hinzugefügt, um das Prinzip der geringsten Rechte zu unterstützen.
Verwalten von Administratorrollen
Informationen zum Anzeigen und Aktualisieren der Mitgliedschaft in einer Administratorrolle finden Sie unter:
- Anzeigen aller Mitglieder einer Administratorrolle in Microsoft Entra ID
- Zuweisen eines Benutzers zu Administratorrollen in Microsoft Entra ID
Verwalten der „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“
Sie können die Rolle Lokaler Administrator des in Microsoft Entra eingebundenen Geräts in den Geräteeinstellungen verwalten.
- Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Administrator für privilegierte Rollen an.
- Browsen Sie zu Identität>Geräte>Alle Geräte>Geräteeinstellungen.
- Wählen Sie Zusätzliche lokale Administratoren für alle in Microsoft Entra eingebundenen Geräte verwalten aus.
- Wählen Sie Zuweisungen hinzufügen und dann die anderen Administratoren aus, die Sie hinzufügen möchten, und wählen Sie Hinzufügen aus.
Um die Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ zu ändern, konfigurieren Sie Zusätzliche lokale Administratoren für alle in Microsoft Entra eingebundenen Geräte.
Hinweis
Diese Option erfordert Microsoft Entra-ID P1- oder P2-Lizenzen.
Benutzer mit der Rolle „Lokaler Administrator für in Microsoft Entra eingebundenes Gerät“ werden allen in Microsoft Entra eingebundenen Geräten zugewiesen. Sie können diese Rolle nicht auf eine bestimmte Gruppe von Geräten beschränken. Eine Aktualisierung der Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ wirkt sich nicht zwangsläufig unmittelbar auf die betroffenen Benutzer aus. Auf Geräten, auf denen bereits ein Benutzer oder eine Benutzerin angemeldet ist, erfolgt die Rechteerweiterung, wenn die beiden folgenden Voraussetzungen erfüllt sind:
- Microsoft Entra ID hatte bis zu vier Stunden Zeit, ein neues primäres Aktualisierungstoken mit den entsprechenden Berechtigungen auszustellen.
- Die Benutzer melden sich ab und wieder an (kein Sperren/Entsperren), um ihr Profil zu aktualisieren.
Benutzer werden nicht direkt in der lokalen Administratorgruppe aufgeführt, sondern empfangen die Berechtigungen über das primäre Aktualisierungstoken.
Hinweis
Die obigen Aktionen gelten nicht für Benutzer, die sich bislang noch nicht bei dem entsprechenden Gerät angemeldet haben. In diesem Fall werden die Administratorrechte sofort nach der erstmaligen Anmeldung auf dem Gerät angewandt.
Verwalten von Administratorrechten mithilfe von Microsoft Entra-Gruppen (Vorschauversion)
Sie können Microsoft Entra-Gruppen verwenden, um Administratorrechte auf in Microsoft Entra eingebundenen Geräten mit der MDM-Richtlinie (Mobile Device Management, Verwaltung mobiler Geräte) Lokale Benutzer und Gruppen zu verwalten. Mit dieser Richtlinie können Sie einzelne Benutzer oder Microsoft Entra-Gruppen der lokalen Administratorgruppe auf einem in Microsoft Entra eingebundenen Gerät zuweisen und so verschiedene Administratoren für unterschiedliche Gruppen von Geräten konfigurieren.
Organisationen können Intune verwenden, um diese Richtlinien mithilfe von benutzerdefinierten OMA-URI-Einstellungen oder Kontoschutzrichtlinien zu verwalten. Überlegungen zur Verwendung dieser Richtlinie:
Das Hinzufügen von Microsoft Entra-Gruppen über die Richtlinie erfordert eine Gruppen-SID (Sicherheits-ID), die durch Ausführen der Microsoft Graph-API für Gruppen abgerufen werden kann. Die SID entspricht der Eigenschaft
securityIdentifier
in der API-Antwort.Administratorrechte, die diese Richtlinie verwenden, werden nur für die folgenden bekannten Gruppen auf einem Gerät mit Windows 10 oder höher ausgewertet: Administratoren, Benutzer, Gäste, Poweruser, Remotedesktopbenutzer und Remoteverwaltungsbenutzer.
Die Verwaltung lokaler Administratoren mit Microsoft Entra Gruppen gilt nicht für hybrid in Microsoft Entra eingebundene oder in Microsoft Entra registrierte Geräte.
Microsoft Entra-Gruppen, die mit dieser Richtlinie auf einem Gerät bereitgestellt werden, gelten nicht für Remotedesktopverbindungen. Zum Steuern von Remotedesktopberechtigungen für in Microsoft Entra eingebundene Geräte müssen Sie der entsprechenden Gruppe die SID des jeweiligen Benutzers hinzufügen.
Wichtig
Die Windows-Anmeldung mit Microsoft Entra ID unterstützt die Auswertung von bis zu 20 Gruppen im Hinblick auf Administratorrechte. Es wird empfohlen, auf jedem Gerät nicht mehr als 20 Microsoft Entra-Gruppen zu verwenden, um sicherzustellen, dass Administratorrechte ordnungsgemäß zugewiesen werden. Diese Einschränkung gilt auch für geschachtelte Gruppen.
Verwalten der regulären Benutzer
Standardmäßig fügt Microsoft Entra ID den Benutzer, der die Microsoft Entra beitritt, der Administratorgruppe auf dem Gerät hinzu. Wenn Sie verhindern möchten, dass reguläre Benutzer lokale Administratoren werden, haben Sie folgende Optionen:
- Windows Autopilot: Mit Windows Autopilot können Sie verhindern, dass ein primärer Benutzer, der die Einbindung ausführt, lokaler Administrator wird, indem Sie ein Autopilot-Profil erstellen.
- Massenregistrierung: Eine im Kontext einer Massenregistrierung durchgeführte Microsoft Entra-Einbindung erfolgt im Kontext eines automatisch erstellten Benutzers bzw. einer automatisch erstellten Benutzerin. Benutzer, die sich nach der Einbindung eines Geräts anmelden, werden nicht zur Administratorgruppe hinzugefügt.
Manuelles Erhöhen der Berechtigungen eines Benutzers auf einem Gerät
Sie können nicht nur den Prozess zur Microsoft Entra-Einbindung nutzen, sondern auch die Berechtigungen eines regulären Benutzers manuell erhöhen, sodass er lokaler Administrator auf einem bestimmten Gerät wird. Um diesen Schritt ausführen zu können, müssen Sie bereits Mitglied der lokalen Administratorgruppe sein.
Ab der Version Windows 10 1709 können Sie diese Aufgabe unter Einstellungen -> Konten -> Andere Benutzer ausführen. Wählen Sie Add a work or school user (Geschäfts-, Schul- oder Unibenutzer hinzufügen) aus, und geben Sie den Benutzerprinzipalnamen (UPN) unter Benutzerkonto ein. Wählen Sie unter Kontotyp die Option Administrator aus.
Darüber hinaus können Sie Benutzer auch über die Eingabeaufforderung hinzufügen:
- Wenn Ihre Mandantenbenutzer aus der lokalen Active Directory-Umgebung synchronisiert werden, verwenden Sie
net localgroup administrators /add "Contoso\username"
. - Wenn Ihre Mandantenbenutzer in Microsoft Entra ID erstellt wurden, verwenden Sie
net localgroup administrators /add "AzureAD\UserUpn"
Überlegungen
- Sie können der Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ nur rollenbasierte Gruppen zuweisen.
- Die Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ ist allen in Microsoft Entra eingebundenen Geräten zugewiesen. Sie können diese Rolle nicht auf eine bestimmte Gruppe von Geräten beschränken.
- Lokale Administratorrechte auf Windows-Geräten gelten nicht für Microsoft Entra B2B-Gastbenutzer.
- Wenn Sie Benutzer aus der Rolle „Lokaler Administrator des in Microsoft Entra eingebundenen Geräts“ entfernen, werden die Änderungen nicht sofort wirksam. Benutzer verfügen weiterhin über lokale Administratorberechtigungen auf einem Gerät, solange sie bei diesem angemeldet sind. Die Berechtigung wird bei der nächsten Anmeldung im Zuge der Ausgabe eines neuen primären Aktualisierungstokens entzogen. Dies kann ähnlich wie bei der Rechteerweiterung bis zu vier Stunden dauern.
Nächste Schritte
- Eine Übersicht über die Verwaltung von Geräten finden Sie unter Verwalten von Geräteidentitäten.
- Weitere Informationen zum gerätebasierten bedingten Zugriff finden Sie unter Bedingter Zugriff: Anfordern eines konformen oder hybrid in Microsoft Entra eingebundenen Geräts.