Estoy intentando eliminar a la mayoría de los usuarios de la función de administrador global de Azure AD en favor de cuentas de administrador dedicadas y/o usar algo como PIM.
Mi pregunta es;Si un usuario otorgó permisos para una aplicación empresarial, creó un token de seguridad para registros de aplicaciones o algún otro proceso que requirió el privilegio de administrador que tenía en ese momento, eliminarlo como administrador global y dejarlo como usuario normal romperá las cosas que establecido en el pasado?
Mi suposición inicial es no, ya que PIM hace que no siempre tengas permisos de administrador. Pero podría ser que no se interrumpa porque siempre tienes el rol, solo que en un estado elegible cuando no lo estás usando, en lugar de simplemente no tenerlo en absoluto.
Todo esto surgió en parte porque estoy trabajando para migrar a Microsoft Endpoint Manager y tratar de que nadie inicie sesión como administrador local con sus cuentas de uso diario. En los dispositivos unidos a Azure AD, los administradores globales son administradores locales y parece que no puedo cambiar eso. Entonces creo que este es un buen impulso para mejorar la forma en que utilizamos el rol de administrador global. Estar en un pequeño equipo de 3 hizo que fuera fácil decir "usar administrador global", ya que todos tenemos que hacer un poco de todo.
Respuesta1
Si un usuario otorgó permisos para una aplicación empresarial, creó un token de seguridad para registros de aplicaciones o algún otro proceso que requirió el privilegio de administrador que tenía en ese momento, eliminarlo como administrador global y dejarlo como usuario normal romperá las cosas que establecido en el pasado?
No, nada se romperá. El secreto/certificado de registro de la aplicación seguirá funcionando correctamente.