Phác thảo tình huống ngắn:
Tôi đã kế thừa một môi trường khách hàng nơi tất cả các thiết bị đều được Azure AD kết nối và quản lý qua Intune. Tài khoản Azure AD mà người dùng đăng nhập là quản trị viên cục bộ.
Tôi cần thiết lập rằng tất cả người dùng buộc phải sử dụng tài khoản quản trị viên phụ chuyên dụng cho tất cả các hoạt động nâng cao và tài khoản hàng ngày của họ không còn là quản trị viên cục bộ nữa (có nghĩa là: họ phải nhập một mật khẩu khác khi nhận UAC nhắc, thay vì chỉ nhấp vào Có). Những người dùng này là nhà phát triển và họ KHÔNG cần khả năng chạy mọi thứ với tư cách quản trị viên, vì vậy họ phải biết mật khẩu quản trị viên.
Bất kỳ lời khuyên về làm thế nào để đi về điều này?
FYI: lý do đằng sau điều này là tuân thủ các biện pháp kiểm soát của CIS, trong trường hợp này là 4.3.
Những điều tôi đã cân nhắc
Tôi biết tôi có thể đẩy thêm một quản trị viên cục bộ cho tất cả các máy tính thông qua Intune, sau đó xóa các tài khoản khác khỏi nhóm Quản trị viên. Tuy nhiên, điều này có nghĩa là tôi sẽ đặt mật khẩu quản trị viên cho tất cả các máy tính giống nhau, đây là một vấn đề bảo mật.
Nếu tôi làm theo cách này, có cách nào để buộc họ thay đổi mật khẩu của tài khoản quản trị viên của họ không?
Tôi đã đọc về các giải pháp LAPS DIY qua Intune, giải pháp này sẽ đặt mật khẩu ngẫu nhiên. Tuy nhiên, người dùng phải biết mật khẩu đó và có thể nhớ nó.
