Устройства, присоединенные к Entra, автоматически предоставляют локальные права администратора присоединяющемуся пользователю и определенной роли Entra ID. Этот повышенный привилегий не виден через обычные административные интерфейсы или журналы аудита, поскольку он является прямым добавлением в локальную группу. Пользователи явно не отображаются в списке администраторов; их доступ предоставляется через Primary Refresh Token при входе в систему. Чтобы подтвердить это на устройстве, войдите в систему как пользователь и проверьте членство в группах для локального идентификатора безопасности администраторов устройства. Обновление этого привилегия требует выхода из системы и повторного входа после выполнения команды dsregcmd /refreshprt, поскольку блокировки экрана недостаточно. Эта функция доступна только для устройств, присоединенных к Entra, а не для устройств, присоединенных к рабочему месту. Параметр "Управление дополнительными локальными администраторами" является общедоступной настройкой для той же роли администратора устройства и не может быть применен индивидуально. Чтобы предотвратить автоматическое назначение локального администратора для новых присоединений, установите для параметра "Присоединяющийся пользователь добавляется как локальный администратор" значение "Нет". Будущее управление локальными администраторами может осуществляться через политики Windows Autopilot или Intune, но существующие устройства сохранят свои текущие настройки.