Denne menyen inneholder innstillinger for enheter/maskiner som registreres og blir medlem av Entra ID. Disse innstillingene må sees i sammenheng med MDM-tjenesten som brukes i samarbeid med Entra.
Link
Innstilling | Anbefalt verdi | Begrunnelse | Konsekvens |
|---|---|---|---|
Users may join devices to Microsoft Entra | Selected | Man bør ha egne sikkerhetsgrupper som gir eksplisitt tilgang til å innrullere enheter til Entra | Brukere som ikke blir lagt i disse sikkerhetsgruppene får ikke anledning til å innrullere utstyr. Rutiner for klargjøring av utstyr bør oppdateres til å reflektere dette |
Require Multifactor Authentication to register or join devices with Microsoft Entra | No | Man bør ha MFA ved innrullering av utstyr, men dette bør gjøres i dedikerte CA-policier og ikke i denne innstillingen. | Hvis man ikke har egne CA-policier vil man ikke ha krav om MFA. Husk å opprette egne CA-policier for device enrollment |
Maximum number of devices per user | 10 | Man bør ikke tillate brukere å registrere altfor mange enheter på seg. Dette kan være med å gi uønskede enheter tilgang til Entra og bidrar til mye rot i Entra-konsollet. Intune-lisensen tillater kun 5 PC-er og 5 håndholdte enheter, så antall enheter i Entra bør gjenspeile dette | Brukeres om benytter et stort antall enheter eller som innrullerer utstyr på vegne av andre vil kunne oppleve feil. Dette kan løses med f. eks DEM-kontoer i Intune |
Global administrator role is added as local administrator on the device during Microsoft Entra join (Preview) | No | Det finnes en dedikert local admin role i Entra som brukes til dette. Det finnes også LAPS, som man bør bruke for å administrere den lokale administrator-kontoen | Administratorer som tidligere har benyttet sin GA-konto for lokal admin må benytte andre metoder. |
Registering user is added as local administrator on the device during Microsoft Entra join (Preview) | No | Kontroll på lokale administratorer er noe av de viktigste man gjør for å herde arbeidsflatene. På bakgrunn av dette prinsippet så bør ingen bli lokal admin som standard. I de tilfeller der lokale adminrettigheter trengs finnes det bedre mekanismer til å tildele og trekke tilbake dette | Brukeres om er vant med lokal admin-tilgang må få informasjon om denne endringen, og mekanismer for tildeling bør etableres |
Enable Microsoft Entra Local Administrator Password Solution (LAPS) | Yes | LAPS bør brukes for å administrere og forvalte den lokale administrator-kontoen. Dette krever også konfigurasjon i MDM for å begynne å forvalte dette på Windows-maskinene | Husk å aktivere tjenesten i MDM på de Windows-maskinene som er innrullert der. |
Restrict users from recovering the BitLocker key(s) for their owned devices | No | Selvbetjening er generelt sett noe man ønsker å legge til rette for. Det reduserer belastningen på servicedesk og vil gjøre det enklere for folk som trenger disse nøklene å hente de | Det bør informeres om at disse nøklene kan hentes via firmaportal/my account page på office.com. Anbefaler brukerveiledning på intranett/annet egnet sted |
Users may sync settings and app data across devices | Selected | Man bør ha egne sikkerhetsgrupper som gir eksplisitt tilgang til å synkronisere brukerdata mellom Windows-maskiner | Brukere som ikke blir lagt i disse sikkerhetsgruppene får ikke anledning til å synkronisere brukerdata på tvers av sine maskiner. |
Eksempelbilde
Eksempelbilde
