- Artigo
- 6 minutos para o fim da leitura
Para gerenciar um dispositivo Windows, você precisa ser um membro do grupo Administradores local. Como parte do processo de junção do Azure Active Directory (Azure AD), o Azure AD atualiza os membros desse grupo em um dispositivo. Você pode personalizar a atualização de associação para satisfazer seus requisitos de negócios. Uma atualização de associação é, por exemplo, útil se você quiser habilitar sua equipe de assistência técnica para realizar tarefas que exigem direitos de administrador em um dispositivo.
Este artigo explica como a atualização de associação de administradores locais funciona e como é possível personalizá-la durante um ingresso no AzureAD. O conteúdo deste artigo não se aplica a dispositivos híbridos ingressados no Azure AD.
Como ele funciona
Quando você conectar um dispositivo Windows com o AzureAD usando um ingresso do AzureAD, o AzureAD adiciona as seguintes entidades de segurança ao grupo de administradores local no dispositivo:
- Função de Administrador Global do Microsoft Azure Active Directory
- Função de administrador local do dispositivo ingressado no Azure AD
- O usuário que está executando o ingresso no Microsoft Azure Active Directory
Com a adição de funções do Microsoft Azure ADao grupo Administradores local, você pode atualizar os usuários que podem gerenciar um dispositivo a qualquer momento no Microsoft Azure AD sem modificar algo no dispositivo. O Azure Active Directory também adiciona a função de administrador local do dispositivo no Microsoft Azure Active Directory ao grupo de administradores locais para oferecer suporte ao princípio de privilégios mínimos (PoLP). Além dos administradores globais, você também pode habilitar os usuários que foram apenas atribuídos à função de administrador do dispositivo para gerenciar um dispositivo.
Gerenciar a função de administradores globais
Para exibir e atualizar a associação de função de Administrador Global, consulte:
- Ver todos os membros de uma função de administrador no Azure Active Directory
- Atribuir um usuário às funções de administrador no Azure Active Directory
Gerenciar a função de administrador do dispositivo
No portal do Azure, você pode gerenciar a função de administrador do dispositivo em Configurações do Dispositivo.
- Entre no portal do Azure como um Administrador Global.
- Navegar até Azure Active Directory>Dispositivos>Configurações do dispositivo.
- Selecione Gerenciar administradores locais adicionais em todos os dispositivos ingressados no Azure AD.
- Selecione Adicionar atribuições e escolha os outros administradores que você deseja adicionar e selecione Adicionar.
Para modificar a função de administrador do dispositivo, configure Administradores locais adicionais em todos os dispositivos ingressados do Microsoft Azure AD.
Observação
Essa opção exige licenças do Azure AD Premium.
Administradores do dispositivo são atribuídos a todos os dispositivos ingressados do Microsoft Azure AD. Não é possível definir o escopo de administradores do dispositivo para um conjunto específico de dispositivos. Atualizar a função de administrador do dispositivo não tem necessariamente um impacto imediato sobre os usuários afetados. Em dispositivos em que um usuário já está conectado, a elevação de privilégio ocorre quando ambas as ações abaixo acontecem:
- Até 4horas passaram para o AzureAD emitir um novo Token de Atualização Primário com os privilégios apropriados.
- O usuário sai e faz logon novamente, não bloqueia/desbloqueia, para atualizar o perfil.
- Os usuários não serão listados no grupo de administradores locais, as permissões são recebidas por meio do Token de Atualização Primário.
Observação
As ações acima não são aplicáveis a usuários que não entraram no dispositivo relevante anteriormente. Nesse caso, os privilégios de administrador são aplicados imediatamente após seu primeiro acesso no dispositivo.
Gerenciar privilégios de administrador usando grupos do AzureAD (versão prévia)
A partir da versão 20H2 do Windows10, é possível usar grupos do AzureAD para gerenciar privilégios de administrador em dispositivos ingressados no AzureAD com a política de MDM dos Grupos e usuários locais. Essa política permite atribuir usuários individuais ou grupos do AzureAD ao grupo de administradores local em um dispositivo ingressado no AzureAD, fornecendo a granularidade para configurar administradores distintos para diferentes grupos de dispositivos.
As organizações podem usar Intune para gerenciar essas políticas usando Configurações Personalizadas de OMA-URI ou Política de proteção de conta. Algumas considerações ao usar esta política:
A adição de grupos do AzureAD por meio da política requer o SID do grupo que pode ser obtido ao executar a API Microsoft Graph para grupos. O SID é definido pela propriedade
securityIdentifierna resposta da API.Os privilégios de administrador que usam essa política são avaliados apenas para os seguintes grupos conhecidos em um dispositivo Windows10 ou mais recente: administradores, usuários, convidados, usuários avançados, usuários da Área de Trabalho Remota e usuários de Gerenciamento Remoto.
O gerenciamento de administradores locais usando grupos do AzureAD não é aplicável a dispositivos ingressado no AzureAD híbrido ou registrados no AzureAD.
Os grupos do Azure AD implantados em um dispositivo com essa política não se aplicam a conexões de área de trabalho remota. Para controlar permissões de área de trabalho remota para dispositivos ingressados no Azure AD, você precisa adicionar o SID do usuário individual ao grupo apropriado.
Importante
A entrada no Windows pelo Azure AD oferece suporte à avaliação de direitos de administrador para até 20 grupos. É recomendável ter no máximo 20 grupos do Azure AD em cada dispositivo para garantir que os direitos de administrador sejam atribuídos corretamente. Essa limitação também se aplica a grupos aninhados.
Gerenciar usuários regulares
Por padrão, o Microsoft Azure Active Directory adiciona o usuário que está executando o ingresso no Microsoft Azure Active Directory ao grupo administrador no dispositivo. Se você quiser impedir que os usuários normais se tornem os administradores locais, você tem as seguintes opções:
- Windows Autopilot - o Windows Autopilot oferece uma opção para impedir que o usuário primário que está executando o ingresso se torne um administrador local por meio da criação de um perfil do Autopilot.
- Registro em massa -um ingresso no Microsoft Azure Active Directory que é executado no contexto de um registro em massa acontece no contexto de um usuário criado automaticamente. Usuários entrando depois que um dispositivo foi ingressado não são adicionados ao grupo de administradores.
Elevar manualmente um usuário em um dispositivo
Além de usar o processo de ingresso do Microsoft Azure Active Directory, você pode elevar manualmente um usuário normal para se tornar um administrador local em um dispositivo específico. Esta etapa requer que você já seja um membro do grupo de administradores locais.
A partir da versão 1709 do Windows10, é possível executar essa tarefa em Configurações - > Contas -> Outros usuários. Selecione Adicionar um usuário ou de estudante, insira o UPN do usuário sob a conta de usuário e selecione administrador sob tipo de conta
Além disso, você também pode adicionar usuários usando o prompt de comando:
- Se os usuários de locatário são sincronizadosno local do Active Directory, use
net localgroup administrators /add "Contoso\username". - Se os usuários de locatário são criados no Microsoft Azure Active Directory, use
net localgroup administrators /add "AzureAD\UserUpn"
Considerações
- Você só pode atribuir grupos baseados em função à função de administrador do dispositivo.
- Administradores do dispositivo são atribuídos a todos os dispositivos ingressados do Microsoft Azure Active Directory. Eles não podem ser limitados a um conjunto específico de dispositivos.
- Os direitos de administrador local em dispositivos Windows não são aplicáveis aos usuários convidados do Azure AD B2B.
- Ao remover usuários da função de administrador do dispositivo, as alterações não são instantâneas. Os usuários ainda têm privilégio de administrador local em um dispositivo, desde que permaneçam conectados a ele. O privilégio é revogado durante o próximo logon, quando um novo token de atualização principal é emitido. Essa revogação, semelhante à elevação de privilégio, pode levar até 4horas.
Próximas etapas
- Para obter uma visão geral de como gerenciar dispositivos no portal do Azure, consulte Gerenciar dispositivos usando o portal do Azure.
- Para saber mais sobre o Acesso Condicional baseado em dispositivo, confira Acesso condicional: exigir dispositivo ingressado no Azure AD híbrido ou em conformidade.
FAQs
Como dar permissão de administrador para um usuário no AD? ›
Para isso, na estação de trabalho abra o Gerenciador de computador e na opção Usuários e grupos locais, adicione o usuário de domínio no grupo administradores. Ele terá permissão de administrador nessa estação, mas será um usuário normal no domínio.
Qual é o recurso utilizado para criar e gerenciar usuários na Azure? ›O Azure AD (Active Directory) fornece diversas maneiras de gerenciar o acesso a recursos, aplicativos e tarefas. Com os grupos do Azure AD, é possível conceder acesso e permissões a um grupo de usuários em vez de para cada usuário individual.
Como colocar usuário como administrador AD? ›- Selecionar Iniciar > Configurações > Contas .
- Em Família e outros usuários, selecione o nome do proprietário da conta (você deve ver "Conta Local" abaixo do nome) e selecioneAlterar tipo de conta. ...
- Em Tipo de conta, selecione Administrador, e então selecione OK.
- Entre com a nova conta de administrador.
Configurar o serviço de sincronização do Azure AD Connect
Instale esse serviço usando o software do Azure AD Connect. Antes de implementar a sincronização do Azure AD Connect, determine os requisitos de sincronização da sua organização. Por exemplo, o que deve ser sincronizado, de quais domínios e com que frequência.
Pressione as teclas Windows+R, digite netplwiz e clique em Ok, Selecione o seu usuário e clique em Propriedades, Clique na guia Associação de Grupo e habilite Administrador, Clique em Aplicar e reinicie o sistema.
Como permitir o administrador? ›Ativar administrador no Windows 10 Home
1 – Clique no menu iniciar com o botão direito do mouse e clique na opção “Windows PowerShell (Admin)”. 2 – Digite o comando “net user administrador /active:yes” (sem as aspas) e pressione a tecla “Enter”. Pronto, o usuário administrador já foi ativado no Windows 10 Home.
A função de Administrador de Acesso do Usuário permite que o usuário conceda a outros usuários o acesso aos recursos do Azure. Essa opção pode ser útil para recuperar o acesso a uma assinatura. Para obter mais informações, confira Elevar o acesso para gerenciar todas as assinaturas e grupos de gerenciamento do Azure.
Para que serve o Azure da Microsoft? ›O Azure é a plataforma de nuvem pública da Microsoft. O Azure oferece uma ampla coleção de serviços, incluindo PaaS (plataforma como serviço), IaaS (infraestrutura como serviço), DBaaS (banco de dados como serviço) e funcionalidades de serviços de bancos de dados gerenciados.
Quando devo usar Azure function? ›Você pode usar o Functions para criar APIs Web, responder a alterações no banco de dados, processar fluxos de IoT, gerenciar filas de mensagens, entre outras ações.
Como entrar a Active Directory? ›- Clique em Iniciar e em Executar.
- Na caixa Abrir , digite cmd.
- No prompt de comando, digite o comando dsquery user parameter . O parâmetro especifica o parâmetro a ser usado. Para obter a lista de parâmetros, consulte a ajuda online para o comando d squery user .
Como listar todos os usuários do AD? ›
- Execute o Power Shell como administrador.
- Após executar, digite: Get-ADGroup -filter * | select name. ...
- Para listar os membros do grupo, digite: Get-ADGroupMember “nomedogrupo” -recursive.
Clique no botão Iniciar do Windows. Na caixa de pesquisa, digite cmd. Nos resultados da pesquisa, clique com o botão direito do mouse no cmd e selecione Executar como administrador(Figura 2).
Como habilitar um dispositivo no Azure? ›- Entre no portal do Azure.
- Selecione Azure Active Directory>Dispositivos.
- Verifique a lista de dispositivos desabilitados em Dispositivos pesquisando o nome de usuário ou o nome do dispositivo.
- Selecione o dispositivo e clique em Habilitar.
A maneira mais comum de registrar dispositivos ingressados no Azure AD é durante a OOBE (experiência inicial de uso), em que ele carrega o aplicativo Web de ingressado do Azure AD no aplicativo CXH (Cloud Experience Host).
O que é Active Directory local? ›O Active Directory (AD) é um banco de dados e um conjunto de serviços que conectam os usuários aos recursos de rede de que precisam para realizar seu trabalho.
Como tirar as restrições do administrador? ›No Executar digite control userpasswords2 e clique em OK; Na aba Usuários selecione seu usuário e clique em Propriedades; Na aba Associação de Grupo marque a opção Administrador, clique em Aplicar e em OK; Reinicie o computador para validar a nova configuração.
Como ter acesso a pasta administrador? ›- Clique com o botão direito do mouse sobre a pasta;
- Selecione a opção Propriedades, clique na guia Segurança;
- Na seção Nome de grupo ou de usuário, clique em Editar... > ...
- Na janela Propriedades da pasta, clique no botão Avançadas;
- Abra o aplicativo “Configurações”;
- Toque em “Apps”;
- Toque na opção “Gerenciar apps”;
- Toque no aplicativo que deseja conceder ou bloquear permissões;
- Toque em “Permissões do app”;
- Toque na permissão rejeitada e depois em “Permitir”.
No Executar digite control userpasswords2 e clique em OK; Na aba Usuários selecione seu usuário e clique em Propriedades; Na aba Associação de Grupo marque a opção Administrador, clique em Aplicar e em OK; Reinicie o computador para validar a nova configuração.
Como saber quem é o administrador do sistema? ›Selecionar Iniciar e Painel de Controle. Na janela Painel de Controle, selecione Contas de Usuário e Proteção para a Família > Gerenciar Contas de Usuários. Na janela Contas de Usuário, selecione Propriedades e a guia Associação a um Grupo. Verifique se o Administrador está selecionado.
Quanto ganha um analista Azure? ›
| Cargo | Salário |
|---|---|
| Salários de Azure Cloud Engineer na dti digital: 1 salários informados | R$ 10.914/mês |
| Salários de Azure Administrator na Spread: 1 salários informados | R$ 5.359/mês |
| Salários de Azure Administrator na Obra Social Dom Bosco: 1 salários informados | R$ 4.341/mês |
Profissionais capacitados para lidar com operações em nuvem são uma necessidade particularmente crítica, como provam os salários médios de arquitetos de nuvem que podem chegar aos BRL 11 mil por mês.
Quanto ganha um desenvolvedor de Azure? ›R$ 389.084 - R$ 422.264.
Qual serviço ajuda você a gerenciar seus ambientes do Azure locais e de várias nuvens? ›O Azure Policy permite criar, atribuir e gerenciar definições de política para impor regras aos recursos. Esse recurso mantém os recursos em conformidade com os padrões corporativos. O Gerenciamento de custos do Azure permite acompanhar o uso da nuvem e as despesas dos recursos do Azure e de outros provedores de nuvem.
O que significa a palavra Azure? ›A palavra Azure é um sinônimo próximo para a cor azul. Comumente se refere a um azul brilhante, assemelhando-se ao céu em um dia brilhante e claro.
Quais serviços o Azure oferece? ›- Desenvolvimento de aplicativo. Crie, gerencie e forneça aplicativos de nuvem de maneira contínua, com qualquer plataforma ou linguagem.
- IA. ...
- Modernização e migração para a nuvem. ...
- Dados e análises. ...
- Nuvem híbrida e infraestrutura. ...
- Internet das Coisas. ...
- Governança e segurança.
O Azure AD (Azure Active Directory) é um serviço de gerenciamento de identidade e acesso baseado em nuvem. Esse serviço ajuda seus funcionários a acessar recursos externos, como o Microsoft 365, o portal do Azure e milhares de outros aplicativos SaaS.
Como não ser cobrado Azure? ›Desde que tenha crédito não expirado ou use apenas serviços gratuitos dentro dos limites, você não será cobrado.
Qual ferramenta é usada pelo Azure Active Directory Azure AD para fornecer acesso a recursos com base em políticas organizacionais? ›Acesso Condicional – O Acesso Condicional é a ferramenta usada pelo Azure Active Directory para reunir sinais, tomar decisões e impor políticas organizacionais.
Como entrar no Active Directory? ›Outra maneira de abrir o Centro Administrativo do Active Directory é clicar em Iniciar, clicar em Executar e digitar dsac.exe.
Como configurar um Servidor AD? ›
- Inicie o Gerenciador do Servidor.
- Clique em AD DS no painel.
- Clique no indicador de aviso Configuração obrigatória para Serviços de Domínio do Active Directory.
- Na página Todos os Detalhes e Notificações de Tarefas de Servidores, clique na ação Promover esse servidor para um controlador de domínio.
Abra um prompt de comando e digite DCDIAG, o comando DCDIAG vai gerar um relatório do estado dos serviços do seu Active Directory, pode-se usar este relatório para levantamento de erros e verificação da estrutura do Domain Controller.
Como criar vários usuários no Active Directory? ›...
Para criar um novo usuário basta seguir os passos a seguir:
- Abrir o ADAC e navegar no container Users;
- Selecionar a opção NEW do painel Tasks;
- Selecionar User;
- Completar com as informações necessárias.
Ativando o usuário administrador do computador. Execute o CMD (CTRL + R, digite CMD e clique em Ok.) Com o CMD aberto, digite: net user "nomedousuário" /active:yes Comando original: net user raulnatan /active:yes O comando acima irá habilitar o usuário administrador do sistema operacional.
Como liberar acesso no Azure? ›- Na lista de Grupos de recursos, abra o novo grupo de recursos example-group.
- No menu de navegação, clique em Controle de Acesso (IAM) .
- Escolha na guia Atribuições de função para ver a lista atual das atribuições de função.
- Vá para o portal do Azure a fim de se conectar a uma VM. ...
- Selecione a máquina virtual na lista.
- No início da página da máquina virtual, selecione Conectar.
- Na página Conectar à máquina virtual, selecione RDP e, em seguida, selecione o Endereço IP e o Número da porta apropriados.
Conectar-se a seu servidor do Banco de Dados SQL do Azure
Na primeira vez que você executar o Azure Data Studio, a página inicial deverá abrir. Se você não vir a página Bem-vindo, selecione Ajuda>Bem-vindo. Selecione Nova Conexão para abrir o painel de Conexão: Algo como: servername.database.windows.net.
Uma conta de DEM exige uma licença de usuário ou dispositivo do Intune e um usuário associado ao Microsoft Azure AD. Administradores Globais e Administradores de Serviços do Intune podem adicionar e gerenciar gerenciadores de registro do dispositivo no Centro de administração do Microsoft Endpoint Manager.
Qual recurso você utiliza para sincronizar os dados do Active Directory de um ambiente on Premisses para Azure do Office 365? ›Para configurar a sincronização de diretório, use Azure AD Connect.
O que é LDAP Active Directory? ›O Lightweight Directory Access Protocol (LDAP) é um protocolo de aplicativo para trabalhar com vários serviços de diretório. Serviços de diretório, como o Active Directory, armazenam informações de usuário e conta e informações de segurança, como senhas.
Qual a relação entre o Active Directory e o servidor DNS local em uma rede? ›
Em servidores DNS primários, integrados ao Active Directory, uma zona de pesquisa direta é criada por padrão durante a instalação da função de Servidor DNS. Uma zona de pesquisa direta permite que computadores e dispositivos consultem o endereço IP de outro computador ou dispositivo com base no seu nome DNS.
Como dar permissões de administrador para um usuário cmd? ›Como dar permissão de Administrador para usuário no Windows cmd? Pressione as teclas Windows + X. Clique em Prompt de Comando (Admin). No prompt de comando digite o comando que está dentro das aspas: net user Administrador /active:yes para verificar se o comando foi executado com sucesso.
Como dar permissão de administrador para um usuário Linux? ›No Linux, conseguimos alterar a permissão de arquivos e diretórios usando um comando próprio para isso, o chmod . Esse comando nos permite alterar as permissões do usuário e grupo dono do arquivo ou diretório e dos demais usuários.
Como dar permissão de administrador para um usuário win10? ›- Clique em Usuário padrão para atribuir contas padrão aos usuários sem permissões administrativas. ...
- Clique em Administrador local para atribuir privilégios de administrador local aos usuários.
- No smartphone, abra o app Configurações.
- Toque em Apps.
- Toque no app que você quer mudar. Se ele não estiver na lista, toque em Ver todos os apps. ...
- Toque em Permissões. ...
- Para mudar uma configuração de permissão, toque nela e selecione Permitir ou Não permitir.
No Executar digite control userpasswords2 e clique em OK; Na aba Usuários selecione seu usuário e clique em Propriedades; Na aba Associação de Grupo marque a opção Administrador, clique em Aplicar e em OK; Reinicie o computador para validar a nova configuração.
Como transformar um usuário em root? ›- Digite o comando sudo passwd root . Fazê-lo vai criar uma senha para o usuário root, basicamente "ativando" a conta. ...
- Digite sudo -i . Em seguida, digite a senha da conta root quando solicitado.
- O prompt vai mudar de $ para # , indicando que você está com acesso elevado.
...
O Linux reconhece essas permissões por meio de letras:
- r: read (leitura);
- w: write (escrita/edição);
- x: execution (execução).
- Abra o menu Iniciar e busque por Painel de Controle.
- No painel de controle abra Contas de usuário.
- Clique em Gerenciar outra conta.
- Todas as contas de usuário serão listadas nesta página.
- Digite uac no menu Iniciar do Windows.
- Clique em "Alterar Configurações de Controle de Contas de Usuário".
- Mova o controle deslizante de notificação para baixo, até "Nunca Notificar".
- Clique em OK e reinicie o computador.
Como desativar um app que é administrador do dispositivo? ›
- Toque em Menu Avançado na tela inicial.
- Toque em Configurações .
- Toque em Segurança .
- Toque em Administradores do dispositivo .
- Selecione o Gerenciador de dispositivos Android .
- Toque em Ativar o administrador deste dispositivo .
- Para desativar o Gerenciador de dispositivos Android , toque nele.
Clique com o botão direito no arquivo ou pasta e clique em Propriedades. Clique na guia Segurança. Em Nomes de Grupo ou de usuário, clique em seu nome para ver suas permissões. Clique em Editar, clique no seu nome, marque as caixas de seleção para as permissões que deve ter e, em seguida, clique em OK.