Definir privilégios da conta em dispositivos Windows 10 ou 11

Edições compatíveis com este recurso: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard e Enterprise Plus; Education Standard, Education Plus e Endpoint Education Upgrade; Enterprise Essentials e Enterprise Essentials Plus; Cloud Identity Premium.  Comparar sua edição

Como administrador, você pode mudar a configuração do nível de privilégio administrativo local que um usuário pode ter nos dispositivos Microsoft Windows 10 ou 11. Por exemplo, é possível permitir controle limitado ou acesso total. Esse nível de privilégio é concedido à conta do Windows associada à Conta do Google de um usuário, não à Conta do Google.

Você também pode conceder privilégios administrativos a outras contas do Windows. Essas contas podem ser locais para usuários e grupos do dispositivo ou do Microsoft Active Directory, mesmo que ainda não tenham feito login no dispositivo.

Antes de começar

Para conceder privilégios administrativos locais, o dispositivo precisa estar incluído no gerenciamento de dispositivos Windows.

Definir privilégios administrativos

Antes de começar:se você precisar criar um departamento ou equipe para essa configuração, acesse Adicionar uma unidade organizacional.

Essa configuração ajuda a gerenciar o acesso administrativo local para usuários do Provedor de credenciais do Google para Windows (GCPW). Um usuário do GCPW pode ser um usuário padrão ou um administrador local.

Para aplicar essas configurações de privilégio, o sistema usa o provedor de serviços de configuração (CSP) LocalUsersAndGroups da Microsoft durante o evento de sincronização do dispositivo. Quando a opção Gerenciar acesso administrativo local aos dispositivos está ativada no Google Admin Console, o CSP processa a configuração para conceder privilégios de administrador local aos usuários do GCPW e aos usuários, grupos ou usuários locais do Windows do Active Directory incluídos no campo Contas com acesso administrativo local.

  1. No Google Admin Console, acesse Menu e depois Dispositivos e depois Dispositivos móveis e endpoints e depois Configurações e depois Windows

    É preciso ter o privilégio de admin Serviços e dispositivos.

  2. Clique em Configurações da conta.
  3. (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral.
  4. Em Valor, selecione Ativado.

  5. Defina os privilégios da conta para usuários do GCPW:

    • Para atribuir contas padrão aos usuários sem privilégios administrativos, em Tipo de conta de usuário, selecione Usuário padrão.

    • Para atribuir privilégios de administrador local aos usuários, em Tipo de conta de usuário, selecione Administrador local.

      Limitação do Windows: os usuários do GCPW são adicionados ao grupo de administradores depois que fazem login pela primeira vez e o dispositivo é sincronizado. No entanto, a configuração dos privilégios da conta só entra em vigor após o próximo login.

  6. (Opcional) Para conceder privilégios de administrador local a usuários e grupos do Active Directory ou contas de usuário locais do Windows, adicione-os no campo Contas com acesso administrativo local. Use os seguintes formatos, separando vários valores com vírgulas:

    • Usuários do Active Directory: SeuDominio\usuario (por exemplo, SeuDominio\jsilva)
    • Grupos do Active Directory: SeuDominio\grupo (por exemplo, SeuDominio\jsilva, SeuDominio\Win11admins)
    • Usuários locais: nome de usuário (por exemplo, lrayes, SeuDominio\jsilva, rnguyen, SeuDominio\Win11admins, hcampbell, bkwan)

    Se você fornecer um nome de conta que não existe, uma nova conta não será criada no dispositivo. As contas inexistentes são ignoradas, e as contas válidas restantes são processadas. Remover nomes de usuários ou grupos do campo Contas com acesso administrativo local não os remove do grupo de administradores locais. No entanto, os nomes removidos não serão adicionados durante as sincronizações futuras de dispositivos.

    Importante:recomendamos não usar o campo Contas com acesso administrativo local. Esse campo existe apenas para fins históricos e provavelmente não será necessário.

  7. Clique em Salvar. Também é possível clicar em Substituir em uma unidade organizacional.

    Para restaurar depois o valor herdado, clique em Herdar.

Solução de problemas

Se as configurações administrativas não forem aplicadas como você queria, revise os registros de eventos de gerenciamento de dispositivos no dispositivo Windows para informações de diagnóstico detalhadas.

Para ver os registros de eventos de gerenciamento de dispositivos:

  1. No dispositivo de destino, abra o Visualizador de eventos. Para encontrar o Visualizador de Eventos, pesquise no menu Iniciar do Windows.
  2. Acesse Registros de aplicativos e serviços e depois Microsoft e depois Windows e depois DeviceManagement-Enterprise-Diagnostics-Provider e depois Admin.
  3. Analise os eventos relacionados ao CSP LocalUsersAndGroups.

Exemplos de registros:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Visão geral: Segurança aprimorada do computador para Windows


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.