Încerc să elimin majoritatea utilizatorilor din rolul de administrator global Azure AD în favoarea conturilor de administrator dedicate și/sau să folosesc ceva de genul PIM.
Intrebarea mea este; Dacă un utilizator a acordat permisiuni pentru o aplicație Enterprise, a creat un token de securitate pentru înregistrările aplicației sau orice alt proces care necesita privilegiul de administrator pe care îl avea la acel moment, îl va elimina ca administrator global și l-a lăsat ca utilizator normal să rupă lucrurile pe care le avea. înființat în trecut?
Bănuiala mea inițială este nu, deoarece PIM îl face astfel încât să nu aveți întotdeauna permisiunile de administrator.Dar s-ar putea să nu se rupă pentru că aveți întotdeauna rolul, doar într-o stare eligibilă când nu îl utilizați, în loc să nu îl aveți deloc.
Toate acestea au apărut în parte pentru că lucrez la trecerea la Microsoft Endpoint Manager și încerc să fac ca nimeni să nu se conecteze ca administratori locali cu conturile lor de utilizare zilnică. Pe dispozitivele asociate Azure AD, administratorii globali sunt administratori locali și se pare că nu pot schimba asta. Așa că simt că acesta este un impuls bun pentru a fi mai bun în ceea ce privește modul în care folosim rolul de Administrator global. Făcând parte dintr-o echipă mică de 3, a fost ușor să spunem „utilizați administratorul global”, deoarece toți trebuie să facem puțin din toate.
