Hopp til hovedinnhold
NHN

Denne menyen inneholder innstillinger for enheter/maskiner som registreres og blir medlem av Entra ID. Disse innstillingene må sees i sammenheng med MDM-tjenesten som brukes i samarbeid med Entra.

Link

https://entra.microsoft.com/#view/Microsoft_AAD_Devices/DevicesMenuBlade/~/DeviceSettings/menuId/Overview

Innstilling

Anbefalt verdi

Begrunnelse

Konsekvens

Users may join devices to Microsoft Entra

Selected

Man bør ha egne sikkerhetsgrupper som gir eksplisitt tilgang til å innrullere enheter til Entra

Brukere som ikke blir lagt i disse sikkerhetsgruppene får ikke anledning til å innrullere utstyr. Rutiner for klargjøring av utstyr bør oppdateres til å reflektere dette

Require Multifactor Authentication to register or join devices with Microsoft Entra

No

Man bør ha MFA ved innrullering av utstyr, men dette bør gjøres i dedikerte CA-policier og ikke i denne innstillingen.

Hvis man ikke har egne CA-policier vil man ikke ha krav om MFA. Husk å opprette egne CA-policier for device enrollment

Maximum number of devices per user

10

Man bør ikke tillate brukere å registrere altfor mange enheter på seg. Dette kan være med å gi uønskede enheter tilgang til Entra og bidrar til mye rot i Entra-konsollet. Intune-lisensen tillater kun 5 PC-er og 5 håndholdte enheter, så antall enheter i Entra bør gjenspeile dette

Brukeres om benytter et stort antall enheter eller som innrullerer utstyr på vegne av andre vil kunne oppleve feil. Dette kan løses med f. eks DEM-kontoer i Intune

Global administrator role is added as local administrator on the device during Microsoft Entra join (Preview)

No

Det finnes en dedikert local admin role i Entra som brukes til dette. Det finnes også LAPS, som man bør bruke for å administrere den lokale administrator-kontoen

Administratorer som tidligere har benyttet sin GA-konto for lokal admin må benytte andre metoder.

Registering user is added as local administrator on the device during Microsoft Entra join (Preview)

No

Kontroll på lokale administratorer er noe av de viktigste man gjør for å herde arbeidsflatene. På bakgrunn av dette prinsippet så bør ingen bli lokal admin som standard. I de tilfeller der lokale adminrettigheter trengs finnes det bedre mekanismer til å tildele og trekke tilbake dette

Brukeres om er vant med lokal admin-tilgang må få informasjon om denne endringen, og mekanismer for tildeling bør etableres

Enable Microsoft Entra Local Administrator Password Solution (LAPS)

Yes

LAPS bør brukes for å administrere og forvalte den lokale administrator-kontoen. Dette krever også konfigurasjon i MDM for å begynne å forvalte dette på Windows-maskinene

Husk å aktivere tjenesten i MDM på de Windows-maskinene som er innrullert der.

Restrict users from recovering the BitLocker key(s) for their owned devices

No

Selvbetjening er generelt sett noe man ønsker å legge til rette for. Det reduserer belastningen på servicedesk og vil gjøre det enklere for folk som trenger disse nøklene å hente de

Det bør informeres om at disse nøklene kan hentes via firmaportal/my account page på office.com. Anbefaler brukerveiledning på intranett/annet egnet sted

Users may sync settings and app data across devices

 Selected

Man bør ha egne sikkerhetsgrupper som gir eksplisitt tilgang til å synkronisere brukerdata mellom Windows-maskiner

Brukere som ikke blir lagt i disse sikkerhetsgruppene får ikke anledning til å synkronisere brukerdata på tvers av sine maskiner.

Eksempelbilde

Eksempelbilde

Fant du det du lette etter?