Global administrator role should not be added as local administrator on the device during Microsoft Entra join
Waarom dit belangrijk is
Het toekennen van lokale beheerdersrechten aan de rol Globale Beheerder op Microsoft Entra gekoppelde apparaten creëert een onnodig beveiligingsrisico. Als een apparaat wordt gecompromitteerd, kan een aanvaller deze verhoogde rechten misbruiken om lateraal door de tenant te bewegen. Beheerders moeten toewijzingen van lokale beheerders beperken tot alleen gebruikers die deze expliciet nodig hebben voor apparaatbeheertaken.
Wat Aether365 controleert
Aether365 controleert of er geen rol Globale Beheerder is toegewezen als lokale beheerder op een apparaat tijdens een Microsoft Entra-koppeling. Deze controle wordt weergegeven in het Aether365-dashboard onder de Entra ID-controles voor services.
Hoe te herstellen
Voer de volgende stappen uit om dit probleem op te lossen:
- Meld u aan bij het Microsoft Entra admin center met machtigingen voor Globale Beheerder of Beheerder van bevoorrechte rollen.
- Navigeer naar Identity > Devices > Device settings.
- Verwijder onder de instelling "Additional local administrators on Microsoft Entra joined devices" alle accounts of groepen van Globale Beheerder uit de lijst.
- Zorg dat alleen de juiste apparaatbeheerrollen of specifieke lokale beheerdersaccounts in de lijst worden vermeld.
- Sla uw wijzigingen op en controleer of er geen Globale Beheerder in de lijst staat.
Naleving
- Framework: Overig
- Naleving: Niet van toepassing (geen specifieke nalevingsstandaard gekoppeld)