Je viens d'un environnement Active Directory sur site, mais dans mon nouveau poste, notre entreprise est entièrement sous Microsoft 365 / Azure AD. Nous n'avons rien sur site.
Nos collaborateurs sont dispersés dans tout le pays, utilisent tous des ordinateurs portables, et utilisent actuellement un compte local ou éventuellement un compte Microsoft personnel lorsqu'ils utilisent leur ordinateur Windows 10, et n'utilisent leurs identifiants AAD que pour accéder à la messagerie, Sharepoint, Teams, etc.
Je prévois de joindre les ordinateurs à AAD et de les gérer avec Intune, mais certains de nos collaborateurs de niveau C ont un accès d'administrateur global aux systèmes M365/AAD. Avec le système on-prem, nous n'avons jamais attribué de droits d'administrateur de domaine à nos comptes d'utilisateur ordinaires, mais nous avons plutôt utilisé des comptes ordinaires pour le travail quotidien et un compte distinct à des fins d'administration. Ai-je raison de supposer que je devrais faire la même chose avec AAD - enlever leurs droits Global Admin sur leurs comptes réguliers ? Il semble juste une recette pour le désastre si un malware obtient sur leur PC joint au domaine et ils sont connectés en tant que Global Admin. Ou est-ce que cette configuration a des mécanismes en place pour se protéger contre ce type de scénario que je ne connais pas ?
Pour être clair, je fais confiance à ces personnes pour ne pas abuser de leur pouvoir, mais j'essaie de me prémunir contre les attaques. Tout lien vers un bon document sur les meilleures pratiques de sécurité M365/AAD serait également apprécié. (plutôt que l'article sur les "meilleures pratiques" de Microsoft qui me suggère de passer à AAD Prem P2 pour m'abonner à leurs services de sécurité)