Ir ao conteúdo

Adicionar usuários do Azure AD como administrador local

Publicado por Nicholas Marshall Micaloski em 14/03/2023

Esses dias me perguntaram sobre como funciona a administração dos dispositivos que estão ingressados no Azure AD. Normalmente em um domínio local do Active Directory nós podemos criar políticas e atribuir grupos dentro do grupo local da estação “Administradores” ou até mesmo simplesmente tendo o usuário como membro do grupo Domain Admins ele já possuirá privilégios de administrador local nas estações.

Mas e como fica isso no Azure AD? Bom, temos duas situações:

Caso 1: Adicionar usuários com permissões em todos os dispositivos:

Acesse o Azure AD e vá em Dispositivos

Após isso vá em Configurações do Dispositivo

Agora localize e vá em Gerenciar administradores locais adicionais em todos os dispositivos ingressados no Azure AD

Nesta tela você poderá ver os usuários que estão atribuídos. No momento não tenho nenhum.

Então clique em Adicionar atribuições e localize o usuário que deseja adicionar. Feito assim adicione e pronto.

Algumas informações importantes:

Administradores do dispositivo são atribuídos a todos os dispositivos ingressados do Microsoft Azure AD. Não é possível definir o escopo de administradores do dispositivo para um conjunto específico de dispositivos. Atualizar a função de administrador do dispositivo não tem necessariamente um impacto imediato sobre os usuários afetados. Em dispositivos em que um usuário já está conectado, a elevação de privilégio ocorre quando ambas as ações abaixo acontecem:

  • Até 4 horas passaram para o Azure AD emitir um novo Token de Atualização Primário com os privilégios apropriados.
  • O usuário sai e faz logon novamente, não bloqueia/desbloqueia, para atualizar o perfil.
  • Os usuários não serão listados no grupo de administradores locais, as permissões são recebidas por meio do Token de Atualização Primário.

Caso 2: Adicionar manualmente um usuário em um dispositivo:

Recomendo realizar este procedimento com o usuário que será elevador, já logado. Assim conseguimos abrir o Terminal e com o comando whoami saber qual o nome do usuário que precisaremos adicionar.

Com o nome de usuário em mãos, agora eu abro um novo Terminal, mas elevado com um administrador válido. Eu posso entrar com um usuário que seja Global Admin do Azure AD ou até mesmo com um usuário que adicionei no Caso 1 mostrado acima.

Após o prompt estar aberto, basta usar o comando abaixo:

net localgroup administrators /add AzureAD\user

No meu caso ficaria

net localgroup administrators /add AzureAD\nicholasmarshallmica

Algumas considerações importantes

  • Você só pode atribuir grupos baseados em função à função de administrador do dispositivo.
  • Administradores do dispositivo são atribuídos a todos os dispositivos ingressados do Microsoft Azure Active Directory. Eles não podem ser limitados a um conjunto específico de dispositivos.
  • Os direitos de administrador local em dispositivos Windows não são aplicáveis aos usuários convidados do Azure AD B2B.
  • Ao remover usuários da função de administrador do dispositivo, as alterações não são instantâneas. Os usuários ainda têm privilégio de administrador local em um dispositivo, desde que permaneçam conectados a ele. O privilégio é revogado durante o próximo logon, quando um novo token de atualização principal é emitido. Essa revogação, semelhante à elevação de privilégio, pode levar até 4 horas.
Publicado emActive DirectoryAzureAzure ADWindowsWindows 11

Seja o primeiro a comentar

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Nicholas Marshall Micaloski © 2023