ตั้งค่าสิทธิ์ของบัญชีในอุปกรณ์ Windows 10 หรือ 11

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter, Frontline Standard และ Frontline Plus; Business Plus; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Enterprise Essentials และ Enterprise Essentials Plus; Cloud Identity Premium  เปรียบเทียบรุ่นของคุณ

ในฐานะผู้ดูแลระบบ คุณสามารถเปลี่ยนการตั้งค่าสำหรับระดับสิทธิ์ดูแลระบบในเครื่องที่ผู้ใช้มีในอุปกรณ์ Microsoft Windows 10 หรือ 11 ได้ เช่น อนุญาตการควบคุมแบบจำกัดหรือสิทธิ์เข้าถึงอย่างเต็มรูปแบบ ระดับสิทธิ์นี้จะให้สิทธิ์กับบัญชี Windows ที่เชื่อมโยงกับบัญชี Google ของผู้ใช้ ไม่ใช่บัญชี Google ของผู้ใช้

นอกจากนี้ คุณยังมอบสิทธิ์ของผู้ดูแลระบบให้กับบัญชี Windows อื่นๆ ที่มีอยู่ได้ด้วย โดยบัญชีเหล่านี้อาจอยู่ในอุปกรณ์หรือเป็นของผู้ใช้และกลุ่มใน Microsoft Active Directory แม้ว่าจะยังไม่ได้ลงชื่อเข้าใช้อุปกรณ์ก็ตาม

ก่อนเริ่มต้น

หากต้องการให้สิทธิ์ระดับผู้ดูแลระบบภายใน อุปกรณ์ต้องอยู่ภายใต้การจัดการอุปกรณ์ Windows

กำหนดสิทธิ์ของผู้ดูแลระบบ

ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร

การตั้งค่านี้ช่วยให้คุณจัดการสิทธิ์เข้าถึงระดับผู้ดูแลระบบในเครื่องสำหรับผู้ใช้โปรแกรมการเข้าสู่ระบบโดยใช้บัญชี Google สำหรับ Windows (GCPW) ได้ ผู้ใช้ GCPW อาจเป็นผู้ใช้มาตรฐาน หรือผู้ดูแลระบบภายใน

หากต้องการใช้การตั้งค่าสิทธิ์เหล่านี้ ระบบจะใช้ผู้ให้บริการกำหนดค่า (CSP) ของ Microsoft LocalUsersAndGroups ในระหว่างเหตุการณ์การซิงค์อุปกรณ์ เมื่อเปิดจัดการสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในเครื่องสำหรับอุปกรณ์ในคอนโซลผู้ดูแลระบบของ Google แล้ว CSP จะประมวลผลการกำหนดค่าเพื่อมอบสิทธิ์ระดับผู้ดูแลระบบในเครื่องให้กับผู้ใช้ GCPW และผู้ใช้ Active Directory, กลุ่ม หรือผู้ใช้ Windows ในเครื่องที่มีอยู่ซึ่งรวมอยู่ในช่องบัญชีที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในเครื่อง

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น อุปกรณ์ จากนั้น มือถือและอุปกรณ์ปลายทาง จากนั้น การตั้งค่า จากนั้น Windows 

    คุณต้องมีสิทธิ์ของผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

  2. คลิกการตั้งค่าบัญชี
  3. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
  4. เลือกเปิดใช้ในส่วนค่า

  5. กำหนดสิทธิ์ของบัญชีสำหรับผู้ใช้ GCPW โดยทำดังนี้

    • หากต้องการมอบหมายบัญชีทั่วไปที่ไม่มีสิทธิ์ของผู้ดูแลระบบให้กับผู้ใช้ ให้เลือกผู้ใช้ทั่วไปสำหรับประเภทบัญชีผู้ใช้

    • หากต้องการมอบหมายสิทธิ์ของผู้ดูแลระบบภายในให้กับผู้ใช้ ให้เลือกผู้ดูแลระบบภายในสำหรับประเภท บัญชีผู้ใช้

      ข้อจำกัดของ Windows: ระบบจะเพิ่มผู้ใช้ GCPW ลงในกลุ่มผู้ดูแลระบบ หลังจากที่ผู้ใช้ลงชื่อเข้าใช้เป็นครั้งแรกและอุปกรณ์ซิงค์ อย่างไรก็ตาม การตั้งค่าสิทธิ์ในบัญชีจะมีผลหลังจากที่ผู้ใช้ ลงชื่อเข้าใช้ครั้งถัดไป

  6. (ไม่บังคับ) หากต้องการให้สิทธิ์ระดับผู้ดูแลระบบภายในแก่ผู้ใช้ Active Directory กลุ่ม Active Directory หรือบัญชีผู้ใช้ Windows ในเครื่องที่มีอยู่ ให้เพิ่มผู้ใช้เหล่านั้นใน ช่องบัญชีที่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบภายใน ใช้รูปแบบต่อไปนี้ โดยคั่นค่าหลายค่าด้วยคอมมา

    • ผู้ใช้ Active Directory: YourDomain\user (เช่น YourDomain\jsmith)
    • กลุ่ม Active Directory: YourDomain\group (เช่น YourDomain\jsmith, YourDomain\Win11admins)
    • ผู้ใช้ภายใน: username (เช่น lrayes, YourDomain\jsmith, rnguyen, YourDomain\Win11admins, hcampbell, bkwan)

    หากคุณระบุชื่อบัญชีที่ไม่มีอยู่ ระบบจะไม่สร้างบัญชีใหม่ในอุปกรณ์ ระบบจะไม่สนใจบัญชีที่ไม่มีอยู่จริง และจะประมวลผลบัญชีที่เหลือที่ถูกต้อง การนำชื่อผู้ใช้หรือกลุ่มออกจากช่องบัญชีที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบในเครื่องไม่ได้ นำชื่อเหล่านั้นออกจากกลุ่มผู้ดูแลระบบในเครื่อง อย่างไรก็ตาม ระบบจะไม่เพิ่มชื่อที่นำออก ระหว่างการซิงค์อุปกรณ์ในอนาคต

    สำคัญ: เราขอแนะนำไม่ให้ใช้ช่องบัญชีที่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบในเครื่อง ฟิลด์นี้มีไว้เพื่อวัตถุประสงค์ในอดีตเท่านั้น และไม่น่าจะต้องใช้

  7. คลิกบันทึก หรือคลิกลบล้างสำหรับหน่วยขององค์กร

    หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

การแก้ปัญหา

หากการตั้งค่าการดูแลระบบไม่ได้รับการปรับใช้ตามที่คุณต้องการ คุณสามารถตรวจสอบบันทึกเหตุการณ์การจัดการอุปกรณ์ในอุปกรณ์ Windows เพื่อดูข้อมูลการวินิจฉัยโดยละเอียดได้

วิธีดูบันทึกเหตุการณ์การจัดการอุปกรณ์

  1. เปิดตัวแสดงเหตุการณ์ในอุปกรณ์เป้าหมาย คุณสามารถค้นหา Event Viewer ได้โดยค้นหาในเมนูเริ่มของ Windows
  2. ไปที่บันทึกของแอปพลิเคชันและบริการ จากนั้น Microsoft จากนั้น Windows จากนั้น DeviceManagement-Enterprise-Diagnostics-Provider จากนั้น ผู้ดูแลระบบ
  3. ตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับ CSP LocalUsersAndGroups

ตัวอย่างบันทึก

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

ภาพรวม: การรักษาความปลอดภัยเดสก์ท็อปขั้นสูงสำหรับ Windows


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง