Я пытаюсь удалить большинство пользователей из роли глобального администратора Azure AD в пользу выделенных учетных записей администратора и/или использовать что-то вроде PIM.
Мой вопрос; Если пользователь предоставил разрешения для корпоративного приложения, создал токен безопасности для регистрации приложений или какой-либо другой процесс, требующий привилегий администратора, которые у него были в то время, удалит их как глобального администратора и оставит их обычными пользователями. установлен в прошлом?
Мое первоначальное предположение - нет, поскольку PIM делает так, что у вас не всегда есть права администратора.Но может быть, это не ломается, потому что у вас всегда есть роль, просто в подходящем состоянии, когда вы ее не используете, а не просто не имеете ее вообще.
Все это произошло отчасти потому, что я работаю над переходом на Microsoft Endpoint Manager и пытаюсь сделать так, чтобы никто не входил в систему как локальные администраторы со своими учетными записями для повседневного использования. На устройствах, присоединенных к Azure AD, глобальные администраторы являются локальными администраторами, и я не могу это изменить. Так что я чувствую, что это хороший толчок к тому, чтобы улучшить то, как мы используем роль глобального администратора. Работа в небольшой команде из 3 человек позволила просто сказать «используйте глобального администратора», поскольку всем нам приходится делать всего понемногу.
