Registering user should not be added as local administrator on the device during Microsoft Entra join
Waarom dit belangrijk is
Wanneer een gebruiker een apparaat registreert bij Microsoft Entra ID, wordt deze standaard automatisch toegevoegd aan de lokale Administrators-groep. Deze praktijk verhoogt standaardgebruikers tot beheerdersrechten op hun apparaten, wat het risico op onbedoelde systeemwijzigingen of malwareverspreiding vergroot. Het beheren van het lokale beheerderslidmaatschap helpt bij het handhaven van het principe van minimale bevoegdheden en verkleint het aanvalsoppervlak op beheerde apparaten.
Wat Aether365 controleert
Deze controle verifieert of het beleid dat voorkomt dat registrerende gebruikers worden toegevoegd als lokale beheerders tijdens Microsoft Entra join, wordt afgedwongen. In het Aether365-dashboard verschijnt dit onder de dienstcategorie entra-id als controlepunt AE.1091.
Hoe het op te lossen
- Meld u aan bij de Microsoft Entra admin center als identiteitsbeheerder.
- Navigeer naar Identity > Devices > Device settings.
- Stel bij Additional local administrators on Microsoft Entra joined devices de waarde in op None of geef een speciale groep op.
- Verwijder bestaande gebruikersregistraties die al lokale beheerdersrechten verlenen door apparaateigenaren te controleren.
- Zorg ervoor dat toekomstige apparaatjoins het bijgewerkte beleid toepassen door de wijziging aan gebruikers te communiceren.
Naleving
- Framework: Anders (geen specifiek nalevingsframework gedefinieerd)
Gerelateerde bronnen
- Lokale beheerders beheren op Microsoft Entra joined apparaten
- Apparaatinstellingen in Microsoft Entra ID