Versuch, die Azure AD-Rollenzuweisungen zu verbessern, ohne alles kaputt zu machen

Ich versuche, die meisten Benutzer aus der Azure AD-Globaladministratorrolle zu entfernen und stattdessen dedizierte Administratorkonten zu verwenden und/oder etwas wie PIM zu verwenden.

Meine Frage ist;Wenn ein Benutzer Berechtigungen für eine Unternehmens-App erteilt, ein Sicherheitstoken für App-Registrierungen erstellt oder einen anderen Prozess ausgeführt hat, der die zu diesem Zeitpunkt vorhandenen Administratorrechte erforderte, werden dann die Dinge, die er in der Vergangenheit eingerichtet hat, beschädigt, wenn er als globaler Administrator entfernt und als normaler Benutzer belassen wird?

Meine erste Vermutung ist nein, da PIM dafür sorgt, dass Sie nicht immer über die Administratorberechtigungen verfügen. Aber es könnte sein, dass es nicht kaputt geht, weil Sie die Rolle immer haben, nur in einem berechtigten Zustand, wenn Sie sie nicht verwenden, anstatt sie einfach überhaupt nicht zu haben.

Dies alles kam teilweise auf, weil ich an der Umstellung auf Microsoft Endpoint Manager arbeite und versuche, es so zu machen, dass sich niemand mit seinen täglich genutzten Konten als lokaler Administrator anmeldet. Auf Azure AD-verbundenen Geräten sind globale Administratoren lokale Administratoren und ich kann das scheinbar nicht ändern. Daher denke ich, dass dies ein guter Anstoß ist, die Verwendung der Rolle des globalen Administrators zu verbessern. Da wir in einem kleinen Team von 3 Personen sind, war es einfach, einfach zu sagen „verwenden Sie den globalen Administrator“, da wir alle ein bisschen von allem machen müssen.