Global administrator role should not be added as local administrator on the device during Microsoft Entra join
Чому це важливо
Надання ролі глобального адміністратора локальних прав адміністратора на пристроях, приєднаних до Microsoft Entra, створює непотрібний ризик безпеки. Якщо пристрій буде скомпрометовано, зловмисник може використати ці підвищені привілеї для переміщення вбік по всьому тенанту. Адміністратори повинні обмежити призначення локальних адміністраторів лише тим користувачам, яким це явно потрібно для виконання завдань з управління пристроями.
Як перевіряє Aether365
Aether365 перевіряє, чи жодна роль глобального адміністратора не призначена локальним адміністратором на жодному пристрої під час приєднання до Microsoft Entra. Ця перевірка відображається в панелі керування Aether365 у розділі перевірок служб Entra ID.
Як виправити
Для виправлення цієї проблеми виконайте такі кроки:
- Увійдіть до центру адміністрування Microsoft Entra з правами глобального адміністратора або адміністратора привілейованих ролей.
- Перейдіть до Identity > Devices > Device settings.
- У налаштуванні "Additional local administrators on Microsoft Entra joined devices" видаліть із списку всі облікові записи або групи глобальних адміністраторів.
- Переконайтеся, що в списку залишилися лише відповідні ролі управління пристроями або спеціальні облікові записи локальних адміністраторів.
- Збережіть зміни та переконайтеся, що жодного глобального адміністратора не вказано в списку.
Відповідність нормативам
- Структура: Інше
- Відповідність: Не застосовується (немає посилання на конкретний стандарт відповідності)