Registering user should not be added as local administrator on the device during Microsoft Entra join
Pourquoi c'est important
Lorsqu'un utilisateur inscrit un appareil avec Microsoft Entra ID, il est automatiquement ajouté au groupe Administrateurs local par défaut. Cette pratique élève les utilisateurs standard en privilèges d'administration sur leurs appareils, augmentant ainsi le risque de modifications système accidentelles ou de propagation de logiciels malveillants. Contrôler l'appartenance au groupe Administrateurs local permet de maintenir les principes de moindre privilège et de réduire la surface d'attaque sur les appareils gérés.
Ce que vérifie Aether365
Cette vérification confirme que la politique empêchant l'ajout des utilisateurs enregistrés comme administrateurs locaux lors de la jonction Microsoft Entra est appliquée. Dans le tableau de bord Aether365, cela apparaît sous la catégorie de service entra-id en tant que vérification AE.1091.
Comment corriger
- Connectez-vous au Microsoft Entra admin center en tant qu'Identity Administrator.
- Accédez à Identity > Devices > Device settings.
- Sous Additional local administrators on Microsoft Entra joined devices, définissez la valeur sur None ou spécifiez un groupe dédié.
- Supprimez les inscriptions d'utilisateurs existantes qui accordent déjà des droits d'administration locaux en vérifiant les propriétaires d'appareils.
- Assurez-vous que les futures jonctions d'appareils appliquent la politique mise à jour en communiquant le changement aux utilisateurs.
Conformité
- Framework : Autre (aucun cadre de conformité spécifique défini)