Problemet
En bruker slutter i selskapet. Eller tar langvarig permisjon. Eller får en ny bærbar PC.
Hva skjer med den gamle enheten? I teorien går den tilbake til IT for sletting og ny registrering.
I virkeligheten? En kollega bare tar den. Logger inn med sin egen konto. Begynner å jobbe.
Nå har du en enhet hvor:
- Intune fortsatt tror den gamle brukeren eier den
- Brukermålrettede policyer og apper ikke brukes riktig
- Compliance evalueres mot feil person
- Conditional Access kan feile
- Rapportene dine viser inkonsistente data
Dette er et problem i nesten alle organisasjoner. Brukere tenker ikke på Intune. De trenger bare en datamaskin.
Rammer
I stedet for å bruke tid på opprydding etter overleveringer, blokker uautoriserte overleveringer før de skjer.
Idéen: begrens Windows interaktiv pålogging til kun Intune-primærbrukeren og lokale administratorer. Hvis noen andre prøver å logge inn, kan de ikke. De må kontakte IT. IT tilbakestiller deretter enheten ordentlig eller endrer primærbrukeren.
Dette bruker to ting:
- SeInteractiveLogonRight - En Windows-sikkerhetspolicy som kontrollerer hvem som kan logge inn lokalt
- Intune Remediations - Kjører deteksjons- og remediation-skript på en tidsplan
Beslutning
Deteksjonsskriptet:
- Leser primærbrukerens UPN fra
HKLM:\SOFTWARE\Microsoft\Enrollments - Oversetter UPN til en Windows SID
- Sjekker om
SeInteractiveLogonRighter satt til kun den brukeren + Administrators - Returnerer compliant eller non-compliant
Remediation-skriptet:
- Samme oppslag for primærbruker
- Sikkerhetskopierer gjeldende sikkerhetspolicy
- Setter
SeInteractiveLogonRighttil kun å tillate primærbrukerens SID og Administrators (S-1-5-32-544) - Bruker med
seceditog kjørergpupdate /force
# Nøkkellogikk fra deteksjon - finn primærbruker fra Intune-registrering
$enrollmentPath = "HKLM:\SOFTWARE\Microsoft\Enrollments"
$enrollmentKeys = Get-ChildItem -Path $enrollmentPath -ErrorAction SilentlyContinue
foreach ($key in $enrollmentKeys) {
$upn = Get-ItemProperty -Path $key.PSPath -Name "UPN" -ErrorAction SilentlyContinue
if ($upn.UPN) {
$primaryUserUPN = $upn.UPN
break
}
}
# Oversett til SID
$ntAccount = New-Object System.Security.Principal.NTAccount("AzureAD\$primaryUserUPN")
$userSID = $ntAccount.Translate([System.Security.Principal.SecurityIdentifier]).Value
# Fulle skript: https://github.com/Thugney/eriteach-scripts/tree/main/intune/remediations
Implementering
- Gå til Intune → Devices → Remediations
- Klikk Create script package
- Navngi det noe som “Restrict login to primary user”
- Last opp deteksjonsskriptet
- Last opp remediation-skriptet
- Sett Run this script using the logged-on credentials til No (kjører som SYSTEM)
- Tildel til en pilotgruppe først
- Sett tidsplan - daglig er vanligvis greit
Resultat
Delte enheter: Ikke distribuer dette til delte arbeidsstasjoner eller kiosk-enheter. Det er ment for personlige, tildelte enheter.
Admins kan fortsatt logge inn: Lokale administratorer og domeneadmins (hvis hybrid joined) kan fortsatt få tilgang til enheten. Dette er tilsiktet - IT trenger en vei inn.
Primærbruker endres: Hvis du endrer primærbrukeren i Intune, vil remediation oppdatere påloggingsbegrensningen ved neste kjøring. Den gamle brukeren låses ute, ny bruker får tilgang.
Sikkerhetskopi opprettes: Remediation sikkerhetskopierer sikkerhetspolicyen før endringer. Stien logges i output hvis du trenger å rulle tilbake.
Test først: Kjør deteksjonsskriptet manuelt på en testenhet. Bruk -WhatIf-parameteren på remediation for å se hva den ville gjøre uten å gjøre endringer.
Avveininger
Etter utrulling av dette:
- Brukere kan fysisk ikke overta noen andres enhet
- De tvinges til å kontakte IT
- IT kan ordentlig slette, re-registrere eller tildele enheten på nytt
- Intune-dataene dine forblir rene
- Compliance og Conditional Access fungerer som forventet
Det er en liten endring som hindrer mange hodepiner.