Registering user should not be added as local administrator on the device during Microsoft Entra join
De ce este important
Când un utilizator înregistrează un dispozitiv cu Microsoft Entra ID, acesta este adăugat automat în grupul local Administratori, implicit. Această practică ridică utilizatorii standard la privilegii administrative pe dispozitivele lor, crescând riscul de modificări accidentale ale sistemului sau propagare a malware-ului. Controlul apartenenței la grupul local de administratori ajută la menținerea principiului privilegiilor minime și reduce suprafața de atac pe dispozitivele gestionate.
Ce verifică Aether365
Această verificare confirmă că politica care împiedică adăugarea utilizatorilor înregistrați ca administratori locali în timpul conectării Microsoft Entra este aplicată. În tabloul de bord Aether365, aceasta apare sub categoria de servicii entra-id ca verificare AE.1091.
Cum se remediază
- Conectați-vă la Microsoft Entra admin center ca Identity Administrator.
- Navigați la Identity > Devices > Device settings.
- Sub Additional local administrators on Microsoft Entra joined devices, setați valoarea la None sau specificați un grup dedicat.
- Eliminați orice înregistrări existente ale utilizatorilor care au deja drepturi de administrator local, revizuind proprietarii dispozitivelor.
- Asigurați-vă că noile conectări ale dispozitivelor aplică politica actualizată, comunicând modificarea utilizatorilor.
Conformitate
- Cadru: Altul (niciun cadru de conformitate specific definit)