Algemeen
Deze check controleert in Entra ID of de functie is uitgeschakeld om Globale Beheerders automatisch aan Lokale Beheerdersgroep op nieuwe Windows devices toe te voegen.
Rationale
Wanneer een aanvaller toegang krijgt tot een account dat op alle devices lokale beheerrechten heeft, kan diegene heel snel van het ene op het andere systeem bewegen en controle krijgen over de kern van de IT omgeving. Zeker als hetzelfde account ook nog eens globaal beheerrechten heeft.
Zoals dit ook voor andere beheertaken geldt, is het verstandiger om deze specifiek toe te wijzen, en globale beheerders dus niet aan lokale beheersgroep toe te voegen.
Attic Fix
Voor deze check is een fix beschikbaar! Deze zal via een ticket in Attic worden aangeboden waarna u kunt accepteren.
Handmatige instructie
Voer deze stappen uit om de instelling aan te passen:
- Open het Entra portal https://entra.microsoft.com
- Ga naar Devices > All Devices > Device Settings
- Controleer of de instelling Global administrator role is added as local administrator on the device during Microsoft Entra join (preview) is uitgeschakeld
- Klik op Save
Impact
Als gevolg van de wijziging, zullen beheerders mogelijk geen lokale beheerrechten meer hebben op hun PC of dat van collega's. Wanneer zij wel beerrechten nodig hebben, zullen zij per endpoint expliciet aan de globale beheerdersgroep moeten worden toegevoegd op het bewuste systeem, ofwel aan een specifieke centrale rol worden toegevoegd die bestaat voor de specifieke taak van lokaal beheer.
Opmerkingen
0 opmerkingen
U moet u aanmelden om een opmerking te plaatsen.