我正在尝试从 Azure AD 全局管理员角色中删除大多数用户,转而使用专用管理员帐户和/或使用 PIM 之类的东西。
我的问题是;如果用户授予了企业应用程序的权限、为应用程序注册创建了安全令牌或需要他们当时拥有的管理员权限的其他流程,那么将他们从全局管理员身份中移除并保留为普通用户是否会破坏他们过去设置的内容?
我最初的猜测是不会,因为 PIM 会让您并不总是拥有管理员权限。但这可能是因为您始终拥有该角色,只是在您不使用它时处于合格状态,而不是根本没有它。
出现这种情况的部分原因是我正在努力迁移到 Microsoft Endpoint Manager,并试图让任何人都无法使用其日常使用帐户以本地管理员身份登录。在 Azure AD 加入的设备上,全局管理员是本地管理员,我似乎无法改变这一点。所以我觉得这是一个很好的推动,可以更好地利用全局管理员角色。在一个由 3 人组成的小团队中,我们很容易说“使用全局管理员”,因为我们都必须做一点事情。
答案1
如果用户授予了企业应用程序的权限、为应用程序注册创建了安全令牌或需要他们当时拥有的管理员权限的其他流程,那么将他们从全局管理员身份中移除并保留为普通用户是否会破坏他们过去设置的内容?
不会,不会有什么问题。应用程序注册密钥/证书仍可正常工作。