Bei uns haben nur ein paar wenige Schulhaussupporter:innen lokale Administratorenrechte.

Wenn nun aber bei einem Autopilotvorgang etwas schiefläuft und das Deployment Profil nicht richtig angewendet wird, wird der Standard angewendet: Der Account mit dem der AAD join durchgefürt wird, bekommt automatisch lokale Adminrechte.

Man kann nun aber gemäss dieser Anleitung ein Configuration Profil verteilen, mit dem sichergestellt wird, dass nur die entsprechenden Azure AD Gruppen lokale Adminrechte haben und allen anderen diese wieder entzogen werden.