Mitglieder-Konfiguration der lokalen „Administrators“ Gruppe während des Windows Autopilot Enrollments
In der Regel möchte man als Endpoint Administrator nicht, dass Benutzer administrative Rechte auf einem Endgerät haben. Dennoch kann es Szenarien geben, in denen eine solche Konstellation benötigt wird.
Autopilot bietet dazu über die Konfiguration verschiedener Enrollment Profile die Möglichkeit, den User, der das Gerät in Intune registriert, entweder als Standard oder als Administrator zu konfigurieren, je nachdem mit welchem Profil das Gerät ausgerollt wird.
Doch wer sonst nur Standardeinstellungen in Intune und Entra ID verwendet wird verwundert feststellen, dass ein Benutzer auch dann kein Mitglied der lokalen Administrators Gruppe ist, wenn das Gerät mit einem Enrollment Profile installiert wurde, welches den User eigentlich als Administrator konfigurieren sollte. Zudem findet sich in der lokalen Adminsitrators Gruppe neben der SID der Rolle Microsoft Entra Joined Device Local Administrator (ggf. noch mit altem Namen Azure AD joined device local administrator) noch die SID der Global Administrator Rolle. Der Name und/oder die SID des Users fehlt jedoch.
Ursache hierfür ist, dass es neben Intune auch noch Einstellungen in Entra ID gibt, die die Mitglieder der lokalen Administrator Gruppe beeinflusst. Die Einstellungen sind zu finden unter: Entra ID => Devices => Device settings im Local administrator settings Bereich. In diesem Bereich gibt es drei Einstellungen, die im Standard wie auf dem folgenden Bild zu sehen konfiguriert sind:
Die erste Einstellung Global administrator role is added as local administrator on the device… sorgt dafür, dass die SID der Global Administrator Rolle in der lokalen Administrators Gruppe auf dem Gerät zu finden ist.
Die zweite Einstellung Registering user is added as local administrator on the device … sorgt dafür, dass der User nicht zur lokalen Administrators Gruppe hinzugefügt wird, wenn die Auswahl auf None steht, obwohl im Enrollment Profile Gegenteiliges eingestellt wurde.
Die dritte Einstellung Manage Addition local administrators on all Microsoft Entra joined devices macht es möglich, zusätzliche Benutzer/Gruppen (z.B. Support Benutzer) zur lokalen Administrators Gruppe jedes Geräts hinzuzufügen, ohne ihnen die Rolle Microsoft Entra Joined Device Local Administrator zuweisen zu müssen.
Je nachdem, wo man die Kontrolle über die lokalen Administratoren seine Endgeräte haben möchte (in Entra oder in Intune) gibt es 2 Möglichkeiten, dies wunschgemäß umzusetzen.
Option 1
- Einschränkung der User, die zur lokalen Administrators Gruppe hinzugefügt werden kann
- Zuweisung und Rollout aller Geräte mit Administrator-User Enrollment Profile.
Ruch dies Option werden zwar eigentlich per Intune alle registrierenden User zu Administratoren, durch die Einschränkung auf Entra Ebene erfolgt jedoch die Regulierung der tatsächlichen Zuweisung zur Gruppe (Entra „gewinnt“).
Option 2
- Freigabe aller Benutzer zum Hinzufügen in die lokale Administrators Gruppe
- Zuweisung und Rollout der Geräte zu den jeweiligen Standard-User oder Administrator-User Enrollment Profiles
Durch diese Option wird generell jedem User erlaubt, Mitglied der lokalen Administrators Gruppe zu sein, durch die Einschränkung im Enrollment Profile auf Ebene erfolgt jedoch die Regulierung der tatsächlichen Zuweisung zur Gruppe (Intune „gewinnt“).
In jedem Fall sollte aus Sicherheitsgründen die Option, Mitglieder der Global Administrator Rolle zu den lokalen Administrators hinzuzufügen, deakviert werden. Ein Global Administrator des Tenants hat i.d.R. nichts zu tun mit der „lokalen“ Administration von Endgeräten.
