Я пытаюсь удалить большинство пользователей из роли глобального администратора Azure AD в пользу выделенных учетных записей администратора и/или использовать что-то вроде PIM.
Мой вопрос таков:Если пользователь предоставил разрешения для корпоративного приложения, создал токен безопасности для регистрации приложений или выполнил какой-либо другой процесс, требующий прав администратора, которые у него были на тот момент, нарушит ли удаление его из списка глобального администратора и предоставление ему статуса обычного пользователя его предыдущие настройки?
Моя первая догадка — нет, поскольку PIM делает так, что у вас не всегда есть права администратора. Но может быть, это не ломается, поскольку у вас всегда есть роль, просто в подходящем состоянии, когда вы ее не используете, а не просто не имеете ее вообще.
Все это возникло отчасти потому, что я работаю над переходом на Microsoft Endpoint Manager и пытаюсь сделать так, чтобы никто не входил в систему как локальный администратор с помощью своих учетных записей для ежедневного использования. На устройствах, присоединенных к Azure AD, глобальные администраторы являются локальными администраторами, и я, похоже, не могу это изменить. Поэтому я считаю, что это хороший толчок к тому, чтобы лучше использовать роль глобального администратора. Находясь в небольшой команде из 3 человек, было легко просто сказать «используйте глобального администратора», поскольку нам всем приходится делать понемногу всего.
решение1
Если пользователь предоставил разрешения для корпоративного приложения, создал токен безопасности для регистрации приложений или выполнил какой-либо другой процесс, требующий прав администратора, которые у него были на тот момент, нарушит ли удаление его из списка глобального администратора и предоставление ему статуса обычного пользователя его предыдущие настройки?
Нет, ничего не сломается. Секрет/сертификат регистрации приложения останется и будет работать нормально.