我正在嘗試從 Azure AD 全域管理員角色中刪除大多數用戶,轉而使用專用管理員帳戶和/或使用 PIM 等功能。
我的問題是;如果用戶授予企業應用程式權限、為應用程式註冊創建安全性令牌或需要他們當時擁有的管理員權限的其他進程,將刪除他們的全域管理員身份,並讓他們成為普通用戶,從而破壞他們的行為過去設立的?
我最初的猜測是否定的,因為 PIM 讓您並不總是擁有管理員權限。但它可能不會破壞,因為你總是擁有這個角色,只是在你不使用它時處於合格狀態,而不是根本沒有它。
這一切的出現部分是因為我正在努力遷移到 Microsoft Endpoint Manager,並試圖讓任何人都無法使用其日常使用帳戶以本機管理員身分登入。在 Azure AD 加入的裝置上,全域管理員是本機管理員,我似乎無法變更這一點。所以我覺得這是一個很好的推動力,可以幫助我們更好地使用全域管理員角色。在一個 3 人的小團隊中,很容易說“使用全域管理”,因為我們都必須做一些事情。
答案1
如果用戶授予企業應用程式權限、為應用程式註冊創建安全性令牌或需要他們當時擁有的管理員權限的其他進程,將刪除他們的全域管理員身份,並讓他們成為普通用戶,從而破壞他們的行為過去設立的?
不,什麼都不會破壞。應用程式註冊密鑰/證書將繼續正常運作。