Software installeren op endpoints als MS365 gebruiker

Wat voor omgeving praten we over? Is het voor je zoon of dochter, of werk je voor Het internationaal atoom agentschap?

Ando schreef op maandag 6 mei 2024 @ 16:11:
Als een endpoint wordt aangemeld bij MS365 op een gebruikersaccount (Gebruiker, geen toegang tot beheercentrum) dan is het niet mogelijk om app's op het endpoint te installeren. Is het mogelijk beheerdersrechten toe te kennen waarbij het alleen mogelijk is apps op endpoints te installeren? Dus zonder allerlei andere extra rechten in MS365? En dan zonder gebruik te maken van Intune.

Ja dit kan met een Entra ID rol, maar waarom enroll je de devices niet in Microsoft Intune?

akimosan schreef op zaterdag 11 mei 2024 @ 14:39:
Je dient de gebruiker dan gewoon lokaal admin te maken op zijn/haar apparaat.

TS vraagt om een "least privilege" optie, dat is het tegenovergestelde van wat jij aandraagt.

Dat gezegd hebbende, is het me niet helemaal duidelijk om welke rechten het nu gaat.

Ando schreef op maandag 6 mei 2024 @ 16:11:
Als een endpoint wordt aangemeld bij MS365 op een gebruikersaccount (Gebruiker, geen toegang tot beheercentrum) dan is het niet mogelijk om app's op het endpoint te installeren.

Wat bedoel je precies met "een endpoint aanmelden"? Ik lees dit als een gebruiker die de browser opent en naar portal.office.com gaat om de Office apps te installeren. Als je die vervolgens wilt installeren dan moet je lokale beheerrechten op de computer hebben. Wat heeft "toegang tot beheercentrum" of mogelijke PIM-rollen daar dan mee te maken?

[ Voor 55% gewijzigd door Jazzy op 11-05-2024 14:51 ]

Jazzy schreef op zaterdag 11 mei 2024 @ 14:46:
[...]
TS vraagt om een "least privilege" optie, dat is het tegenovergestelde van wat jij aandraagt.

Zo las ik het niet, ik las het als de optie om lokaal applicaties te kunnen installeren zonder een rol/toegang tot overige opties in Azure/Microsoft Admin

Dus dat je enkel lokaal, op het eigen apparaat, een privileged role hebt, maar niet centraal

Ja, maar dan snap ik die opmerking over toegang tot beheercentrum niet, dat lijkt dan weer te gaan over rechten in Microsoft 365.

Ando schreef op dinsdag 14 mei 2024 @ 14:09:
Soms is dat handig maar soms ook niet. De optie van Akimosan is voor mij goed werkbaar. Thanks!

Als je maar beseft wat je doet. De gemiddelde gebruiker hier klikt altijd op "Ja", dus die gaan zeker geen local admin rechten krijgen.

Snap dat je bovenstaande als "beste antwoord" selecteert omdat je bereikt wat je wilde bereiken, maar wil wel even opmerken dat gebruikers local administrator maken niet slim is vanuit beveiligingsoogpunt. In tegendeel, je zou dit juist niet moeten willen en zeker niet vanwege gebruikersgemak.

Beter is het om dit installatie gewoon door iemand te laten doen die op dat moment beheerrechten krijgt, als je dat wilt aan de eindgebruiker wilt delegeren dan kun je tools als BeyondTrust of AutoElevate gebruiken.

Leesvoer: https://www.cyberark.com/...d-have-local-admin-rights

Jazzy schreef op woensdag 15 mei 2024 @ 11:04:
Snap dat je bovenstaande als "beste antwoord" selecteert omdat je bereikt wat je wilde bereiken, maar wil wel even opmerken dat gebruikers local administrator maken niet slim is vanuit beveiligingsoogpunt. In tegendeel, je zou dit juist niet moeten willen en zeker niet vanwege gebruikersgemak.

Beter is het om dit installatie gewoon door iemand te laten doen die op dat moment beheerrechten krijgt, als je dat wilt aan de eindgebruiker wilt delegeren dan kun je tools als BeyondTrust of AutoElevate gebruiken.

Leesvoer: https://www.cyberark.com/...d-have-local-admin-rights

Is dat niet een beetje een achterhaald standpunt, ik werk zelf voor een groot bedrijf 40.000 medewerkers maar ik kan gewoon alles zelf op mijn laptop installeren. De antivirus etc is centraal geregeld maar verder ben ik vrij. Dat werkt heel erg fijn en betekend vooral dat ik mijn werk kan doen zonder blokkades waar vervolgens omweggetjes voor verzonnen worden.
Ik ben van mening dat je mensen zelf verantwoordelijk moet maken en trainen (verplichte trainingen en test phising mails etc). Concentreer je op veilige servers etc. Overigens volledige Office 365 omgeving met Sharepoint.

Het was een tijdje een achterhaald standpunt. We wilden mensen weer zelf regie geven over hun eigen machines/endpoints. Middels training/awareness/betere detectie/tools

Met enkel "veilige servers" ben je er niet meer. Elke endpoint is een vector naar je data toe. Data is kennis en kennis is macht..

Eerder: "Zo lang het hun eigen machine maar is die ze verkloten, is het niet zo erg. Wipie, wipie hier is uw machine weer, fris en fruitig. Succes ermee"

Die tijd is inmiddels weer voorbij. Nu is Zero Trust weer het devies. Vertrouw niemand en ook jezelf niet. Zelfs al doe jij of iemand anders bewust geen dingen die schade toebrengen; de markt voor misbruik is te lucratief geworden en er zijn teveel mensen op deze wereld die wel schade willen toebrengen en ervan profiteren.

Dus zero day exploits, toch even klikken op een linkje, software niet 100% up to date. Het is zo gebeurd en de schade is enorm. Data-diefstal, ransomware, kapen van beveiligings gegevens, sabotage, allemaal handel..

Mensen bewust maken is dus tegenwoordig mensen duidelijk te maken dat niets en niemand te vertrouwen is en alles met argwaan bekeken moet worden. Iedereen is op je data uit.... Elke actie/poging dient gecontroleerd en geverifieerd te worden.

Het is een wrede wereld waarin we leven

[ Voor 4% gewijzigd door akimosan op 28-05-2024 08:44 ]