Global administrator role should not be added as local administrator on the device during Microsoft Entra join
Miks see on oluline
Ülemaailmse administraatori rolli (Global Administrator) andmine kohaliku administraatori õigusteks Microsoft Entraga liitunud seadmetes loob tarbetu turvariski. Kui seade on ohus, saab ründaja neid kõrgendatud õigusi ära kasutada, et liikuda külgsuunas üle rentniku. Administraatorid peaksid piirama kohaliku administraatori määramisi ainult nendele kasutajatele, kes seda selgelt seadmehaldusülesannete jaoks vajavad.
Mida Aether365 kontrollib
Aether365 kontrollib, et ühtegi ülemaailmse administraatori rolli pole määratud kohalikuks administraatoriks üheski seadmes Microsoft Entraga liitumise ajal. See kontroll kuvatakse Aether365 töölaual jaotises Entra ID teenuskontrollid.
Kuidas parandada
Probleemi lahendamiseks järgige neid samme:
- Logige sisse Microsoft Entra admin center'i ülemaailmse administraatori (Global Administrator) või privilegeeritud rolli administraatori (Privileged Role Administrator) õigustega.
- Minge jaotisse Identity > Devices > Device settings.
- Sätte "Additional local administrators on Microsoft Entra joined devices" alt eemaldage loendist kõik ülemaailmse administraatori kontod või rühmad.
- Veenduge, et loendis on ainult sobivad seadmehaldusrollid või pühendatud kohaliku administraatori kontod.
- Salvestage muudatused ja kontrollige, et loendis pole ühtegi ülemaailmset administraatorit.
Vastavus
- Raamistik: Muu
- Vastavus: Ei kohaldata (konkreetset vastavusstandardi linki pole)