Estou tentando remover a maioria dos usuários da função de administrador global do Azure AD em favor de contas de administrador dedicadas e/ou usar algo como PIM.
Minha pergunta é;Se um usuário concedeu permissões para um aplicativo corporativo, criou um token de segurança para registros de aplicativos ou algum outro processo que exigisse o privilégio de administrador que ele tinha naquele momento, ele será removido como administrador global e o deixará como um usuário normal, quebrando as coisas que eles estabelecido no passado?
Meu palpite inicial é não, já que o PIM faz com que você nem sempre tenha permissões de administrador. Mas pode ser que não quebre porque você sempre tem a função, apenas em um estado elegível quando não a está usando, em vez de simplesmente não tê-la.
Tudo isso surgiu em parte porque estou trabalhando na mudança para o Microsoft Endpoint Manager e tentando fazer com que ninguém faça login como administradores locais com suas contas de uso diário. Em dispositivos ingressados no Azure AD, os administradores globais são administradores locais e não consigo mudar isso. Portanto, sinto que este é um bom impulso para melhorar a forma como usamos a função de administrador global. Estar em uma equipe pequena de 3 pessoas tornou mais fácil dizer "usar administrador global", já que todos temos que fazer um pouco de tudo.
Responder1
Se um usuário concedeu permissões para um aplicativo corporativo, criou um token de segurança para registros de aplicativos ou algum outro processo que exigisse o privilégio de administrador que ele tinha naquele momento, ele será removido como administrador global e o deixará como um usuário normal, quebrando as coisas que eles estabelecido no passado?
Não, nada vai quebrar. O segredo/certificado de registro do aplicativo continuará funcionando perfeitamente.