Definir privilégios da conta em dispositivos Windows 10 ou 11

Edições compatíveis com este recurso: Frontline Starter, Frontline Standard e Frontline Plus; Business Plus; Enterprise Standard e Enterprise Plus; Education Standard, Education Plus e Endpoint Education Upgrade; Enterprise Essentials e Enterprise Essentials Plus; Cloud Identity Premium.  Comparar sua edição

Como administrador, você pode definir o nível de privilégio administrativo local que um usuário pode ter nos dispositivos Microsoft Windows 10 ou 11. Por exemplo, é possível permitir controle limitado ou acesso total. Esse nível de privilégio é concedido à conta do Windows associada à Conta do Google do usuário, não à Conta do Google.

Você também pode conceder privilégios administrativos a outras contas do Windows. Essas contas podem ser locais para usuários e grupos do dispositivo ou do Active Directory, mesmo que ainda não tenham feito login no dispositivo.

Antes de começar

Para conceder privilégios administrativos locais, o dispositivo precisa estar incluído no gerenciamento de dispositivos Windows.

Definir privilégios de administrador

Antes de começar:se você precisar criar um departamento ou equipe para essa configuração, acesse Adicionar uma unidade organizacional.

Essa configuração ajuda a gerenciar o acesso administrativo local para usuários do Provedor de credenciais do Google para Windows (GCPW). Um usuário do GCPW pode ser um usuário padrão ou um administrador local.

Para aplicar essas configurações de privilégio, o sistema usa o provedor de serviços de configuração (CSP) LocalUsersAndGroups da Microsoft durante o evento de sincronização do dispositivo. Quando a opção Gerenciar acesso administrativo local aos dispositivos está ativada no Google Admin Console, o CSP processa a configuração para conceder privilégios de administrador local aos usuários do GCPW e aos usuários, grupos ou usuários locais do Windows especificados no campo Contas com acesso administrativo local.

  1. No Google Admin Console, acesse Menu e depois Dispositivos e depoisDispositivos móveis e endpoints e depoisConfigurações e depoisWindows

    É preciso ter o privilégio de admin Serviços e dispositivos.

  2. Clique em Configurações da conta.
  3. (Opcional) Para aplicar a configuração a um departamento ou equipe, selecione uma unidade organizacional na lateral.
  4. Em Gerenciar acesso administrativo local a dispositivos, selecione Ativado na lista de itens.

  5. Para definir os privilégios da conta dos usuários do GCPW:

    • Em Tipo de conta de usuário, selecione Usuário padrão para atribuir contas padrão aos usuários sem privilégios administrativos.

    • Em Tipo de conta de usuário, selecione Administrador local para atribuir privilégios de administrador local aos usuários.

      Limitação do Windows: os usuários do GCPW recebem privilégios de administrador local durante o segundo login no dispositivo. Embora a sincronização do dispositivo após o login inicial adicione o usuário ao grupo de administradores, a mudança só será ativada em um login posterior.

  6. (Opcional) Para conceder privilégios de administrador local a usuários e grupos do Active Directory ou contas de usuário locais do Windows, adicione-os no campo Contas com acesso administrativo local. Use os seguintes formatos e separe vários valores com vírgulas:

    • Usuários do Active Directory: SeuDominio\usuario
    • Grupos do Active Directory: SeuDominio\grupo
    • Usuários locais: nome de usuário

    Se você informar um nome de conta que não existe, uma nova conta não será criada no dispositivo. As contas inexistentes serão desconsideradas, e as contas válidas restantes serão processadas. Remover nomes de usuários ou grupos do campo não os remove do grupo de administradores locais, mas os nomes removidos não serão adicionados durante as futuras sincronizações de dispositivos.

    Importante: recomendamos não usar esse campo, que existe para continuidade histórica e provavelmente não será necessário.

  7. Clique em Salvar. Ou clique em Substituir em uma unidade organizacional.

    Para restaurar depois o valor herdado, clique em Herdar.

Solução de problemas

Se as configurações administrativas não forem aplicadas como você queria, revise os registros de eventos de gerenciamento de dispositivos no dispositivo Windows para obter informações detalhadas de diagnóstico.

  1. Abra o Visualizador de Eventos no dispositivo de destino pesquisando "Visualizador de Eventos" no menu Iniciar do Windows.
  2. Acesse Registros de aplicativos e serviços e depoisMicrosoft e depoisWindows e depoisDeviceManagement-Enterprise-Diagnostics-Provider e depoisAdmin.
  3. Analise os eventos relacionados ao CSP LocalUsersAndGroups.

Exemplos de registros:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

Visão geral: Segurança aprimorada do computador para Windows


Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas a que estão associados.