ตั้งค่าสิทธิ์ของบัญชีในอุปกรณ์ Windows 10 หรือ 11

รุ่นที่รองรับฟีเจอร์นี้ ได้แก่ Frontline Starter, Frontline Standard และ Frontline Plus; Business Plus; Enterprise Standard และ Enterprise Plus; Education Standard, Education Plus และ Endpoint Education Upgrade; Enterprise Essentials และ Enterprise Essentials Plus; Cloud Identity Premium  เปรียบเทียบรุ่นของคุณ

ในฐานะผู้ดูแลระบบ คุณสามารถกำหนดระดับสิทธิ์ของผู้ดูแลระบบในเครื่องให้แก่ผู้ใช้ในอุปกรณ์ Microsoft Windows 10 หรือ 11 ได้ เช่น อนุญาตการควบคุมแบบจำกัดหรือสิทธิ์เข้าถึงอย่างเต็มรูปแบบ ระดับสิทธิ์นี้จะให้สิทธิ์กับบัญชี Windows ที่เชื่อมโยงกับบัญชี Google ของผู้ใช้ ไม่ใช่บัญชี Google ของผู้ใช้

นอกจากนี้ คุณยังให้สิทธิ์ระดับผู้ดูแลระบบกับบัญชี Windows อื่นๆ ที่มีอยู่ได้อีกด้วย โดยบัญชีเหล่านี้อาจอยู่ในอุปกรณ์หรือเป็นของผู้ใช้และกลุ่มใน Active Directory แม้ว่าจะยังไม่ได้ลงชื่อเข้าใช้อุปกรณ์ก็ตาม

ก่อนเริ่มต้น

หากต้องการให้สิทธิ์ระดับผู้ดูแลระบบภายใน อุปกรณ์ต้องอยู่ภายใต้การจัดการอุปกรณ์ของ Windows

ตั้งค่าสิทธิ์ของผู้ดูแลระบบ

ข้อควรทราบก่อนที่จะเริ่มต้น: หากต้องการกำหนดแผนกหรือทีมสำหรับการตั้งค่านี้ โปรดดูหัวข้อเพิ่มหน่วยขององค์กร

การตั้งค่านี้ช่วยให้คุณจัดการสิทธิ์เข้าถึงระดับผู้ดูแลระบบในเครื่องสำหรับผู้ใช้โปรแกรมการเข้าสู่ระบบโดยใช้บัญชี Google สำหรับ Windows (GCPW) ได้ ผู้ใช้ GCPW อาจเป็นผู้ใช้มาตรฐานหรือผู้ดูแลระบบภายในก็ได้

หากต้องการใช้การตั้งค่าสิทธิ์เหล่านี้ ระบบจะใช้ผู้ให้บริการกำหนดค่า (CSP) LocalUsersAndGroups ของ Microsoft ในระหว่างเหตุการณ์การซิงค์อุปกรณ์ เมื่อเปิดจัดการสิทธิ์การเข้าถึงระดับผู้ดูแลระบบภายในในอุปกรณ์ในคอนโซลผู้ดูแลระบบของ Google แล้ว CSP จะประมวลผลการกำหนดค่าเพื่อมอบสิทธิ์ของผู้ดูแลระบบภายในให้กับผู้ใช้ GCPW และผู้ใช้ Active Directory, กลุ่ม หรือผู้ใช้ Windows ภายในที่มีอยู่ซึ่งระบุไว้ในช่องบัญชีที่มีสิทธิ์การเข้าถึงระดับผู้ดูแลระบบภายใน

  1. ในคอนโซลผู้ดูแลระบบของ Google ให้ไปที่เมนู จากนั้น อุปกรณ์ จากนั้นมือถือและอุปกรณ์ปลายทาง จากนั้นการตั้งค่า จากนั้นWindows 

    คุณต้องมีสิทธิ์ของผู้ดูแลระบบในการจัดการบริการและอุปกรณ์

  2. คลิกการตั้งค่าบัญชี
  3. (ไม่บังคับ) หากต้องการใช้การตั้งค่ากับแผนกหรือทีม ให้เลือกหน่วยขององค์กรที่ด้านข้าง
  4. ในส่วนจัดการสิทธิ์การเข้าถึงอุปกรณ์ระดับผู้ดูแลระบบภายใน ให้เลือกเปิดใช้จากรายการ

  5. วิธีกำหนดสิทธิ์ของบัญชีสำหรับผู้ใช้ GCPW

    • สำหรับประเภทบัญชีผู้ใช้ ให้เลือกผู้ใช้ทั่วไปเพื่อกำหนดบัญชีทั่วไปที่ไม่มีสิทธิ์ของผู้ดูแลระบบให้กับผู้ใช้

    • สำหรับประเภทบัญชีผู้ใช้ ให้เลือกผู้ดูแลระบบภายในเพื่อกำหนดสิทธิ์ของผู้ดูแลระบบภายในให้กับผู้ใช้

      ข้อจำกัดของ Windows: ผู้ใช้ GCPW จะได้รับสิทธิ์ของผู้ดูแลระบบภายในในระหว่างการเข้าสู่ระบบอุปกรณ์ครั้งที่ 2 แม้ว่าการซิงค์อุปกรณ์หลังจากลงชื่อเข้าใช้ครั้งแรกจะเพิ่มผู้ใช้ไปยังกลุ่มผู้ดูแลระบบ แต่การเปลี่ยนแปลงจะมีผลเมื่อมีการเข้าสู่ระบบครั้งถัดไปเท่านั้น

  6. (ไม่บังคับ) หากต้องการให้สิทธิ์ระดับผู้ดูแลระบบภายในแก่ผู้ใช้ Active Directory, กลุ่ม Active Directory หรือบัญชีผู้ใช้ Windows ในเครื่องที่มีอยู่ ให้เพิ่มผู้ใช้เหล่านั้นในช่องบัญชีที่มีสิทธิ์เข้าถึงระดับผู้ดูแลระบบภายใน ใช้รูปแบบต่อไปนี้และคั่นหลายค่าด้วยคอมมา

    • ผู้ใช้ Active Directory: YourDomain\user
    • กลุ่ม Active Directory: YourDomain\group
    • ผู้ใช้ภายใน: username

    หากคุณระบุชื่อบัญชีที่ไม่มีอยู่ ระบบจะไม่สร้างบัญชีใหม่ในอุปกรณ์ ระบบจะไม่สนใจบัญชีที่ไม่มีอยู่จริง และจะดำเนินการกับบัญชีที่ถูกต้องที่เหลือ การนำชื่อผู้ใช้หรือชื่อกลุ่มออกจากช่องจะไม่นำชื่อดังกล่าวออกจากกลุ่มผู้ดูแลระบบในเครื่อง แต่ระบบจะไม่เพิ่มชื่อที่นำออกระหว่างการซิงค์อุปกรณ์ในอนาคต

    สำคัญ: เราขอแนะนำว่าอย่าใช้ช่องนี้ ซึ่งมีไว้เพื่อความต่อเนื่องในอดีตและไม่น่าจะต้องใช้

  7. คลิกบันทึก หรืออาจคลิกลบล้างสำหรับหน่วยขององค์กร

    หากในภายหลังต้องการกู้คืนค่าที่รับช่วงมา ให้คลิกรับค่า

การแก้ปัญหา

หากการตั้งค่าการดูแลระบบไม่ได้รับการปรับใช้ตามที่คุณต้องการ คุณสามารถตรวจสอบบันทึกเหตุการณ์การจัดการอุปกรณ์ในอุปกรณ์ Windows เพื่อดูข้อมูลการวินิจฉัยโดยละเอียด

  1. เปิดตัวแสดงเหตุการณ์ในอุปกรณ์เป้าหมายโดยค้นหา "ตัวแสดงเหตุการณ์" ในเมนูเริ่มของ Windows
  2. ไปที่บันทึกแอปพลิเคชันและบริการ จากนั้นMicrosoft จากนั้นWindows จากนั้นDeviceManagement-Enterprise-Diagnostics-Provider จากนั้นผู้ดูแลระบบ
  3. ตรวจสอบเหตุการณ์ที่เกี่ยวข้องกับ CSP LocalUsersAndGroups

ตัวอย่างบันทึก

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

ภาพรวม: การรักษาความปลอดภัยเดสก์ท็อปขั้นสูงสำหรับ Windows


Google, Google Workspace รวมถึงเครื่องหมายและโลโก้ที่เกี่ยวข้องเป็นเครื่องหมายการค้าของ Google LLC ชื่อบริษัทและชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดเป็นเครื่องหมายการค้าของ บริษัทที่เกี่ยวข้อง