Cosa fare se un utente modifica i local admins di un device Windows 10 Azure AD Joined? Cosa fare se questo utente cancella i SID dei ruoli amministrativi predefiniti?
Quando si esegue la join ad AAD di un decice Windows 10, il gruppo dei local admins sarà fatto così:
- il default Administrator (disabilitato)
- l’utente utilizzato per fare logon ad Azure AD (nella forma DOMINIO\Utente se sincronizzato da AD o altrimenti nella forma UPN)
- il SID dei global admins
- il SID degli Azure AD Device Administrator role
E’ importante mantenere questi due ultimi SID tra i local admins, altrimenti sarà complicato amministrare il device.
Che fare quindi se un utente con privilegi di local admin decide di cancellare questi SID? Fortunatamente è possibile utilizzare Microsoft Endpoint Manager (MEM, aka Intune).
In sostanza si può utilizzare la funzionalità di RestrictedGroups per assegnare correttamente la membership dei Windows 10 Azure AD Joined Local Admins.
In breve:
- si recuperano gli objectID dei ruoli interessati (Global Admins e Azure AD Device Administrator)
- Get-AzureADDirectoryRole
- si convertono gli objectID in SID
- ci sono vari modi per farlo, trovo molto comodo il sito https://erikengberg.com/azure-ad-object-id-to-sid/
- si crea il Configuration Profile necessario
- OMA-URI ./Vendor/MSFT/Policy/Config/RestrictedGroups/ConfigureGroupMembership
- Data Type: String
- Value:
<groupmembership>
<accessgroup desc = “Administrators”>
<member name = “Administrator” />
<member name = “AzureAD\test01@yootest.onmicrosoft.com” />
<member name = “S-1-12-1-1134367840-1234567890-2597790112-1234567890″/>
<member name = “S-1-12-1-1134367840-1234567890-3212008617-1134367840” />
</accessgroup>
</groupmembership>
Guarda il video per vedere l’intero processo
Non fermarti qui, continua a leggere
Teams Phone e Copilot: la tua concierge telefonica
Teams Phone e Copilot? Davvero? Mi sono sempre trovato in difficoltà a ricordare tutti i dettagli delle discussioni telefoniche. Una chiamata dopo l’altra, mi ritrovavo con una valanga di informazioni da mettere per iscritto: cosa è stato detto, quali sono i prossimi passi, cosa devo fare, e così via. Mi sono pertanto proposto di fare […]
OneDrive versioning, trucchi e curiosità – parte 2
Nella prima parte dell’articolo abbiamo parlato delle funzionalità di condivisione e come vengano semplificate da OneDrive. In questo articolo ci soffermiamo invece su OneDrive Versioning. Avendo condiviso il documento potrebbe capitare che alcune modifiche fatte dalle altre persone (o da noi stessi 😉) non vadano bene e ci sia il bisogno di effettuare un rollback […]
OneDrive tricks, trucchi e curiosità – parte 1
Con OneDrive i file non vengono spediti ma rimangono nel nostro Onedrive e saremo noi a dare il collegamento di accesso a chi desideriamo e nel modo in cui decidiamo noi.
Entra nell’universo digitale
Con Yooda porterai la tua azienda verso un nuovo mindset che cambierà in meglio l’esperienza di tutti e genererà nuovo valore per te.