Registering user should not be added as local administrator on the device during Microsoft Entra join
Miksi tämä on tärkeää
Kun käyttäjä rekisteröi laitteen Microsoft Entra ID:hen, hänet lisätään oletusarvoisesti paikalliseen Administrators-ryhmään. Tämä käytäntö nostaa tavalliset käyttäjät hallintaoikeuksiin omilla laitteillaan, mikä lisää riskiä tahattomista järjestelmämuutoksista tai haittaohjelmien leviämisestä. Paikallisten järjestelmänvalvojien jäsenyyden hallinta auttaa ylläpitämään vähimpien oikeuksien periaatteita ja vähentää hallittujen laitteiden hyökkäyspintaa.
Mitä Aether365 tarkistaa
Tämä tarkistus varmistaa, että käytäntö, joka estää rekisteröityvien käyttäjien lisäämisen paikallisiksi järjestelmänvalvojiksi Microsoft Entra -liitoksen aikana, on käytössä. Aether365-hallintapaneelissa tämä näkyy entra-id-palveluluokan alla tarkistuksena AE.1091.
Kuinka korjata
- Kirjaudu Microsoft Entra admin centeriin identiteettijärjestelmänvalvojana.
- Siirry kohtaan Identity > Devices > Device settings.
- Valitse kohdassa Additional local administrators on Microsoft Entra joined devices arvoksi None tai määritä erillinen ryhmä.
- Poista olemassa olevat käyttäjärekisteröinnit, jotka jo myöntävät paikallisia järjestelmänvalvojan oikeuksia, tarkistamalla laitteiden omistajat.
- Varmista, että tulevat laitteiden liitokset noudattavat päivitettyä käytäntöä ilmoittamalla muutoksesta käyttäjille.
Vaatimustenmukaisuus
- Viitekehys: Muu (ei määriteltyä vaatimustenmukaisuusviitekehystä)