Entra 加入的设备会自动授予加入用户本地管理员权限以及特定的 Entra ID 角色。此提升的权限不会通过常规管理界面或审计日志显示，因为它直接添加到了本地组中。用户不会显式出现在管理员列表中；其访问权限是在登录时通过主刷新令牌（Primary Refresh Token）授予的。要在设备上确认此情况，请以该用户身份登录，并检查设备本地管理员 SID 的组成员身份。刷新此权限需要在运行 dsregcmd /refreshprt 后注销并重新登录，仅锁定屏幕是不够的。此功能仅适用于 Entra 加入的设备，不适用于工作场所加入的设备。“管理其他本地管理员”设置是针对同一设备管理员角色的租户级选项，无法单独应用。若要防止为新加入的用户自动分配本地管理员权限，请将“注册用户被添加为本地管理员”设置为“无”。未来的本地管理员管理可通过 Windows 自动部署（Autopilot）或 Intune 策略处理，但现有设备将保留其当前设置。