Registering user should not be added as local administrator on the device during Microsoft Entra join
Kodėl tai svarbu
Kai vartotojas registruoja įrenginį su Microsoft Entra ID, pagal numatytuosius nustatymus jis automatiškai pridedamas prie vietinės grupės Administrators. Ši praktika standartiniams vartotojams suteikia administratoriaus teises jų įrenginiuose, padidindama atsitiktinių sistemos pakeitimų ar kenkėjiškų programų plitimo riziką. Vietinės administratoriaus narystės kontrolė padeda išlaikyti mažiausių teisių principą ir sumažina atakos paviršių valdomuose įrenginiuose.
Ką tikrina Aether365
Šis patikrinimas patvirtina, kad yra įgyvendinta politika, neleidžianti registruojantiems vartotojams būti pridedamiems kaip vietiniai administratoriai prisijungiant prie Microsoft Entra. Aether365 ataskaitų srityje šis tikrinimas rodomas po entra-id paslaugos kategorija kaip patikrinimas AE.1091.
Kaip ištaisyti
- Prisijunkite prie Microsoft Entra admin center kaip tapatybės administratorius.
- Eikite į Identity > Devices > Device settings.
- Dalyje Additional local administrators on Microsoft Entra joined devices nustatykite reikšmę į None arba nurodykite specialią grupę.
- Išvalykite esamas vartotojų registracijas, kurios jau suteikia vietines administratoriaus teises, peržiūrėdami įrenginių savininkus.
- Užtikrinkite, kad būsimos įrenginių jungtys taikytų atnaujintą politiką, pranešdami vartotojams apie pakeitimus.
Atitiktis
- Sistema: Kita (nėra nurodytos konkrečios atitikties sistemos)