Ensure device enrollment for personally owned devices is blocked by default
Защо това е важно
Позволяването на лични устройства да се регистрират в Microsoft Intune увеличава вашата атакуема повърхност. Ако нападател компрометира идентификационните данни на потребител, той може да регистрира злонамерено устройство, за да заобиколи политиките за условен достъп и да получи постоянен достъп до чувствителни организационни данни. Като блокирате регистрацията на лични устройства по подразбиране, вие принуждавате всички регистрирани устройства да бъдат корпоративни активи, което намалява риска от неоткрит компромис.
Какво проверява Aether365
Aether365 проверява дали политиката за ограничения по тип устройство по подразбиране в Microsoft Intune блокира регистрацията на лично притежавани устройства. Тази проверка се показва в таблото ви Aether365 под проверките за microsoft-365 и сигнализира за неспазване на препоръката CIS benchmark M365.2157.
Как да отстраните проблема
- Влезте в Microsoft Intune admin center на адрес https://intune.microsoft.com.
- Отидете на Devices, след което под Device onboarding изберете Enrollment.
- Кликнете върху Device platform restriction под Enrollment options.
- Намерете политиката Default под Device type restrictions и кликнете върху All Users.
- Изберете раздела Properties, след което кликнете върху Edit до Platform settings.
- За всяка платформа от списъка (като Windows, iOS, Android) задайте колоната Personally owned на Block.
- Кликнете върху Review + save и потвърдете промените.
Съответствие
- CIS Microsoft 365 Foundations Benchmark 5.0.0 Раздел 4.2 (E3 Ниво 2, E5 Ниво 2)
- Контрол за сигурност на Microsoft 365 за ограничения при регистрация на устройства
- Внедрена като стандартна практика в много рамки за съответствие (NIST, CMMC)