専用の管理者アカウントを使用するか、PIM のようなものを使用するために、Azure AD グローバル管理者ロールからほとんどのユーザーを削除しようとしています。
私の質問は、ユーザーがエンタープライズ アプリのアクセス許可を付与したり、アプリ登録用のセキュリティ トークンを作成したり、その時点で持っていた管理者権限を必要とするその他のプロセスを実行したりした場合、そのユーザーをグローバル管理者として削除して通常のユーザーのままにしておくと、過去に設定した内容は壊れてしまいますか?
私の最初の推測は、PIM によって管理者権限が常に付与されるわけではないため、問題はないということです。ただし、ロールがまったく付与されていないのではなく、ロールを使用していないときに適格な状態になっているだけで、常にロールが付与されているため、問題が起こらない可能性もあります。
これらすべてが起こったのは、Microsoft Endpoint Manager への移行に取り組んでおり、日常的に使用するアカウントでローカル管理者としてログインするユーザーがいないよう努めているためです。Azure AD に参加しているデバイスでは、グローバル管理者はローカル管理者であり、これを変更できないようです。そのため、これはグローバル管理者の役割の使用方法を改善するための良い推進力になると思います。3 人の小さなチームでは、全員があらゆることを少しずつ行う必要があるため、「グローバル管理者を使用する」と言うだけで済みました。
答え1
ユーザーがエンタープライズ アプリのアクセス許可を付与したり、アプリ登録用のセキュリティ トークンを作成したり、その時点で持っていた管理者権限を必要とするその他のプロセスを実行したりした場合、そのユーザーをグローバル管理者として削除して通常のユーザーのままにしておくと、過去に設定した内容は壊れてしまいますか?
いいえ、何も壊れません。アプリ登録の秘密/証明書は引き続き正常に機能します。