jan.no
Goto Top

Standardbenutzer, Hybrid Entra ID Join-Geräten mit Intune und Autopilot

Hallo zusammen,

ich habe eine Frage zu unserer Geräteverwaltung in Microsoft Intune und hoffe, dass mir hier jemand weiterhelfen kann.

Wir verwenden Microsoft 365 Business Premium und setzen auf Hybrid Entra ID Join für unsere Geräte. Die Bereitstellung erfolgt über Windows Autopilot, und die Verwaltung läuft größtenteils über Intune.

Mein Ziel ist es, dass die Benutzer auf ihren Geräten keine lokalen Administratorrechte haben, sondern als Standardbenutzer eingerichtet werden.
Dafür habe ich im Autopilot-Bereitstellungsprofil die Option Art des Benutzerkontos: Standardbenutzer aktiviert. Trotzdem werden die Benutzer nach Abschluss der Einrichtung weiterhin mit lokalen Administratorrechten angelegt.

Das Deployment mit Autopilot läuft so ab, dass zunächst nur einige Apps erzwungen werden, bevor der Benutzer das Notebook verwenden kann. Andere Apps werden erst nach einiger Zeit automatisch installiert. Auch nachdem das Deployment komplett abgeschlossen ist, bleibt der Benutzer jedoch Administrator auf dem Gerät.

Ich habe bereits folgende Ansätze getestet:
- Konfigurationsprofile in Intune überprüft und angepasst.
- Skripte eingesetzt, um die Benutzer nachträglich aus der Administratorgruppe zu entfernen.

Leider hat bisher keiner der Ansätze den gewünschten Effekt gehabt.

Außerdem konnte ich beobachten, dass bei Aktionen mit Administratorrechten zwar das Pop-up für die Benutzerkontensteuerung (UAC) erscheint, in dem ein Passwort eingegeben werden muss. Nach der Eingabe des Passworts kann der Benutzer jedoch weiterhin Administratoraufgaben ausführen.

Meine Fragen sind:
- Gibt es etwas Besonderes bei Hybrid Entra ID Join-Geräten zu beachten, das dieses Verhalten erklärt?

- Ist es möglich, Benutzer auf Hybrid-Join-Geräten direkt als Standardbenutzer einzurichten, oder muss dies über eine zusätzliche Konfiguration erfolgen?

-Könnte es an einer fehlerhaften Konfiguration in Intune liegen?

Ich bin für jeden Hinweis oder Best-Practice-Vorschlag dankbar!

Vielen Dank vorab für eure Unterstützung.

Beste Grüße

Content-ID: 669897

Url: https://administrator.de/contentid/669897

Printed on: December 7, 2024 at 18:12 o'clock

Pjordorf
Pjordorf Nov 30, 2024 at 19:30:47 (UTC)
Goto Top
Hallo,

Zitat von @chrisnow:
Dafür habe ich im Autopilot-Bereitstellungsprofil die Option Art des Benutzerkontos: Standardbenutzer aktiviert. Trotzdem werden die Benutzer nach Abschluss der Einrichtung weiterhin mit lokalen Administratorrechten angelegt.
Dann hast du was falsch gemacht

Das Deployment mit Autopilot läuft so ab, dass zunächst nur einige Apps erzwungen werden, bevor der Benutzer das Notebook verwenden kann. Andere Apps werden erst nach einiger Zeit automatisch installiert. Auch nachdem das Deployment komplett abgeschlossen ist, bleibt der Benutzer jedoch Administrator auf dem Gerät.
Nur solange er/sie noch angemeldet ist oder auch nach wirklichem Neustart der Geräte?

- Konfigurationsprofile in Intune überprüft und angepasst.
Vielleicht fehlerhaft?

- Skripte eingesetzt, um die Benutzer nachträglich aus der Administratorgruppe zu entfernen.
Enthalten vielleicht Fehler

Leider hat bisher keiner der Ansätze den gewünschten Effekt gehabt.
Weil du als IT-Berater was falsch machst.

Außerdem konnte ich beobachten, dass bei Aktionen mit Administratorrechten zwar das Pop-up für die Benutzerkontensteuerung (UAC) erscheint, in dem ein Passwort eingegeben werden muss. Nach der Eingabe des Passworts kann der Benutzer jedoch weiterhin Administratoraufgaben ausführen.
Auch nach einen Neustart bzw. abmelden/anmelden?

Meine Fragen sind:
- Gibt es etwas Besonderes bei Hybrid Entra ID Join-Geräten zu beachten, das dieses Verhalten erklärt?
Keinen Fehler machen

-Könnte es an einer fehlerhaften Konfiguration in Intune liegen?
Willst du unsere Vermutung dazu oder Fakten?

Ich bin für jeden Hinweis oder Best-Practice-Vorschlag dankbar!
Ohne etwas wirkliches zu sagen ...

Gruss,
Peter
Mr-Gustav
Mr-Gustav Dec 02, 2024 at 14:26:26 (UTC)
Goto Top
Also so wie es aussieht scheint etwas mit deinem Autopilot nicht zu stimmen.
Bei einem meiner Kunden tritt dieses Problem nicht auf ( ist der einzige der Autopilot verwendet ).
Im Internet habe ich jetzt allerdings immer nur bei der Suche festgestellt das die meisten Autopilot Admins immer das Problem haben das der Benutzer lokale Admin Rechte bekommt. Also genau umgekehrt wie bei dir.
Die Lösung ist hier bei den meisten das diese zum Schluss ein Script über Intune laufen lassen was den Benutzer zum Lokalen Administrator macht.

Du hast jetzt zwei Möglichkeiten meiner Meinung nach:
Variante :
Hinsetzten und Microsoft Intune Doku inkl. Autopilot durchlesen / verstehen / testen und dann Produktiv umsetzen
oder aber
du arbeitest mit einem Script was dir am ende der Installation den Benutzer aus den lokalen Admins raus wirft.

Variante 2 finde ich pers. jetzt nicht wirklich schön aber je nach dem wie dringend das ganze ist kann man es durchaus als Lösung kurzzeitig hernehmen. Ist nicht schön sollte aber funktionieren.
Besser ist natürlich Variante 1.

Das unter V1. soll jetzt nicht böse gemeint sein aber ich habe hier auch schon mehrmals den ein oder anderen Artikel bzgl. Irgendwelchen MS Anleitungen durchgelesen und nochmal und nochmal bis ich dann wirklich schlau daraus geworden bin. Manchmal muss man bei der Doku von MS hier und da auch um die Ecke oder mehrere Ecken denken um zum Ergebnis zu kommen. Empfehlung ist je nach dem worums geht die Doku in Englisch zu lesen denn bei der Übersetzung entstehen durchaus Fehler, auch wenn diese noch sein klein ssind so können diese größere oder gro0e Auswirkungen auf das Endergebnis haben face-smile