Impostare i privilegi dell'account sui dispositivi Windows 10 o Windows 11

Versioni supportate per questa funzionalità: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard ed Enterprise Plus; Education Standard, Education Plus ed Endpoint Education Upgrade; Enterprise Essentials ed Enterprise Essentials Plus; Cloud Identity Premium.  Confronta la tua versione

In qualità di amministratore, puoi impostare il livello dei privilegi amministrativi locali che possono essere assegnati agli utenti sui loro dispositivi Microsoft Windows 10 o 11. Ad esempio, puoi consentire un controllo limitato o l'accesso completo. Questo livello di privilegio viene concesso all'account Windows associato all'Account Google dell'utente, non al suo Account Google.

Puoi anche assegnare privilegi amministrativi ad altri account Windows esistenti. Questi ultimi possono essere account locali sul dispositivo oppure utenti e gruppi di Active Directory, anche se non hanno ancora effettuato l'accesso al dispositivo.

Prima di iniziare

Per concedere privilegi amministrativi locali, al dispositivo deve essere applicata la gestione dei dispositivi Windows.

Impostare i privilegi amministrativi

Prima di iniziare:se devi configurare un reparto o un team per questa impostazione, vedi Aggiungere un'unità organizzativa.

Questa impostazione ti aiuta a gestire l'accesso amministrativo locale per gli utenti di Provider di credenziali Google per Windows (GCPW). Un utente GCPW può essere un utente standard o un amministratore locale.

Per applicare queste impostazioni dei privilegi, il sistema utilizza il provider del servizio di configurazione (CSP) LocalUsersAndGroups di Microsoft durante l'evento di sincronizzazione del dispositivo. Quando l'opzione Gestisci l'accesso amministrativo locale ai dispositivi è attivata nella Console di amministrazione Google, il CSP elabora la configurazione per concedere i privilegi di amministratore locale agli utenti GCPW e agli utenti, ai gruppi o agli utenti locali di Windows esistenti specificati nel campo Account con accesso amministrativo locale.

  1. Nella Console di amministrazione Google, vai a Menu e poi Dispositivi e poiDispositivi mobili ed endpoint e poiImpostazioni e poiWindows

    È necessario disporre del privilegio di amministratore Servizi e dispositivi.

  2. Fai clic su Impostazioni account.
  3. (Facoltativo) Per applicare l'impostazione a un reparto o a un team, seleziona un'unità organizzativa a lato.
  4. In Gestisci l'accesso amministrativo locale ai dispositivi, seleziona Attivata dall'elenco.

  5. Per impostare i privilegi dell'account per gli utenti di GCPW:

    • Per Tipo account utente, seleziona Utente standard per assegnare agli utenti account standard senza privilegi amministrativi.

    • Per Tipo account utente, seleziona Amministratore locale per assegnare agli utenti i privilegi di amministratore locale.

      Limitazione di Windows: agli utenti di GCPW vengono concessi privilegi di amministratore locale durante il secondo accesso al dispositivo. Sebbene la sincronizzazione del dispositivo dopo l'accesso iniziale lo aggiunga al gruppo degli amministratori, la modifica diventa attiva solo dopo un accesso successivo.

  6. (Facoltativo) Per concedere privilegi amministrativi locali a utenti o gruppi di Active Directory o account utente locali di Windows esistenti, aggiungili nel campo Account con accesso amministrativo locale. Utilizza i seguenti formati e separa più valori con le virgole:

    • Utenti di Active Directory: Dominio\utente
    • Gruppi di Active Directory: Dominio\gruppo
    • Utenti locali: nome utente

    Se fornisci un nome account inesistente, non verrà creato un nuovo account sul dispositivo. Gli account inesistenti verranno ignorati e verranno elaborati gli account validi rimanenti. La rimozione dei nomi di utenti o gruppi dal campo non li rimuove dal gruppo Amministratore locale, ma i nomi rimossi non verranno aggiunti durante le sincronizzazioni future dei dispositivi.

    Importante: ti consigliamo di non utilizzare questo campo, che esiste per continuità storica ed è improbabile che sia necessario.

  7. Fai clic su Salva. In alternativa, puoi fare clic su Sostituisci per un'unità organizzativa.

    Per ripristinare in un secondo momento il valore ereditato, fai clic su Eredita.

Risoluzione dei problemi

Se le impostazioni amministrative non vengono applicate come previsto, puoi esaminare i log eventi di gestione dei dispositivi sul dispositivo Windows per informazioni diagnostiche dettagliate.

  1. Apri Visualizzatore eventi sul dispositivo di destinazione cercando "Visualizzatore eventi" nel menu Start di Windows.
  2. Vai a Log di applicazioni e servizi e poiMicrosoft e poiWindows e poiDeviceManagement-Enterprise-Diagnostics-Provider e poiAdmin.
  3. Esamina gli eventi correlati al CSP LocalUsersAndGroups.

Log di esempio:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Panoramica: sicurezza desktop avanzata per Windows


Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.