Registering user should not be added as local administrator on the device during Microsoft Entra join
Γιατί Είναι Σημαντικό
Όταν ένας χρήστης καταχωρεί μια συσκευή στο Microsoft Entra ID, προστίθεται αυτόματα στην τοπική ομάδα Διαχειριστών (Administrators) από προεπιλογή. Αυτή η πρακτική αναβαθμίζει τους απλούς χρήστες σε δικαιώματα διαχειριστή στις συσκευές τους, αυξάνοντας τον κίνδυνο τυχαίων αλλαγών στο σύστημα ή διάδοσης κακόβουλου λογισμικού. Ο έλεγχος της συμμετοχής στην τοπική ομάδα διαχειριστών βοηθά στη διατήρηση της αρχής των ελάχιστων προνομίων και μειώνει την επιφάνεια επίθεσης σε διαχειριζόμενες συσκευές.
Τι Ελέγχει το Aether365
Αυτός ο έλεγχος επαληθεύει ότι εφαρμόζεται η πολιτική που αποτρέπει την προσθήκη χρηστών που καταχωρούν συσκευές ως τοπικοί διαχειριστές κατά τη διάρκεια της σύνδεσης στο Microsoft Entra. Στον πίνακα ελέγχου του Aether365, αυτό εμφανίζεται στην κατηγορία υπηρεσίας entra-id ως έλεγχος AE.1091.
Πώς να το Διορθώσετε
- Συνδεθείτε στο Microsoft Entra admin center ως Identity Administrator.
- Μεταβείτε στο Identity > Devices > Device settings.
- Στην επιλογή Additional local administrators on Microsoft Entra joined devices, ορίστε την τιμή σε None ή καθορίστε μια αφιερωμένη ομάδα.
- Αφαιρέστε τυχόν υπάρχουσες καταχωρήσεις χρηστών που ήδη παρέχουν δικαιώματα τοπικού διαχειριστή, ελέγχοντας τους κατόχους συσκευών.
- Βεβαιωθείτε ότι οι μελλοντικές συνδέσεις συσκευών εφαρμόζουν την ενημερωμένη πολιτική, ενημερώνοντας τους χρήστες για την αλλαγή.
Συμμόρφωση
- Πλαίσιο: Άλλο (δεν έχει οριστεί συγκεκριμένο πλαίσιο συμμόρφωσης)
Σχετικοί Πόροι
- Διαχείριση τοπικών διαχειριστών σε συσκευές συνδεδεμένες στο Microsoft Entra
- Ρυθμίσεις συσκευών στο Microsoft Entra ID