Ensure that 'Require Multifactor Authentication to register or join devices with Microsoft Entra' is set to 'Yes'
Защо това има значение
Ако не се изисква многофакторно удостоверяване за регистриране на устройства, компрометиран потребителски акаунт може да добави неоторизирани устройства във вашия Microsoft Entra ID клиент. Това създава постоянна опорна точка: нелоялни устройства могат да получат достъп до ресурсите на организацията дори след като първоначалната компрометация на акаунта бъде открита и отстранена. Въвеждането на MFA в момента на присъединяване на устройството действа като критичен портиер, гарантирайки, че само удостоверени потребители с проверени второстепенни идентификационни данни могат да регистрират хардуер.
Какво проверява Aether365
Aether365 проверява дали настройката Require Multi-Factor Auth to join devices в Microsoft Entra ID е конфигурирана на Yes. Тази проверка се показва в таблото ви за управление на Aether365 в секцията за проверки entra-id.
Как да коригирате
- Влезте в Azure portal като глобален администратор.
- Навигирайте до Microsoft Entra ID > Devices > Device settings.
- Настройте превключвателя Require Multi-Factor Auth to join devices на Yes.
- Кликнете върху Save в горната част на страницата.
Забележка: Ако вашата организация използва политики за Conditional Access, тази настройка е наследен контрол. За модерни среди помислете за използване на политика Conditional Access, която изисква MFA за регистриране на устройства.
Съответствие
- CIS Microsoft Azure Foundations 3.0.0: Препоръка 2.22 (Ниво 1)
- Рамка: CIS Microsoft Azure Foundations
Свързани ресурси
- Microsoft Entra device join concepts
- Manage device settings in the Azure portal
- Azure MFA for enrollment in Intune and device registration
- Strong authentication controls for Azure AD-based access