Global administrator role should not be added as local administrator on the device during Microsoft Entra join
Dlaczego to jest ważne
Przyznanie roli Administratora globalnego uprawnień administratora lokalnego na urządzeniach dołączonych do Microsoft Entra stwarza niepotrzebne ryzyko bezpieczeństwa. Jeśli urządzenie zostanie naruszone, osoba atakująca mogłaby wykorzystać te podwyższone uprawnienia do przemieszczania się bocznie w obrębie dzierżawy. Administratorzy powinni ograniczyć przypisania administratora lokalnego tylko do użytkowników, którzy ich wyraźnie potrzebują do zarządzania urządzeniami.
Co sprawdza Aether365
Aether365 weryfikuje, czy żadna rola Administratora globalnego nie została przypisana jako administrator lokalny na żadnym urządzeniu podczas dołączania do Microsoft Entra. Ta kontrola pojawia się na pulpicie nawigacyjnym Aether365 w sekcji kontroli usługi Entra ID.
Jak naprawić
Aby rozwiązać ten problem, wykonaj następujące kroki:
- Zaloguj się do Microsoft Entra admin center z uprawnieniami Administratora globalnego lub Administratora ról uprzywilejowanych.
- Przejdź do Identity > Devices > Device settings.
- W ustawieniu "Dodatkowi administratorzy lokalni na urządzeniach dołączonych do Microsoft Entra" usuń wszystkie konta lub grupy Administratorów globalnych z listy.
- Upewnij się, że na liście znajdują się tylko odpowiednie role zarządzania urządzeniami lub dedykowane konta administratorów lokalnych.
- Zapisz zmiany i potwierdź, że żaden Administrator globalny nie znajduje się na liście.
Zgodność
- Framework: Inne
- Zgodność: Nie dotyczy (brak powiązanego konkretnego standardu zgodności)