At least one Conditional Access policy is targeting the Device Code authentication flow.
Proč na tom záleží
Autentizační tok pomocí kódu zařízení (Device Code authentication flow) umožňuje uživatelům přihlásit se na zařízeních bez plnohodnotného prohlížeče, jako jsou chytré televize nebo nástroje příkazového řádku. Bez zásahu podmíněného přístupu (Conditional Access policy) zaměřeného na tento tok ho mohou útočníci zneužít k obejití bezpečnostních opatření, jako je vícefaktorová autentizace, což zvyšuje riziko neoprávněného přístupu k vašemu tenantovi.
Co Aether365 kontroluje
Aether365 ověřuje, že je nakonfigurována alespoň jedna zásada podmíněného přístupu (Conditional Access policy) zaměřená na autentizační tok pomocí kódu zařízení. Tato kontrola se zobrazuje na vašem dashboardu Aether365 v kategorii microsoft-365.
Jak to opravit
- Přihlaste se do Azure Portal a přejděte do Azure Active Directory.
- Vyberte Security, poté Conditional Access.
- Klikněte na New policy a zadejte smysluplný název.
- V části Assignments vyberte Users and groups a určete uživatele, skupiny nebo role adresáře, které chcete zahrnout nebo vyloučit.
- V části Cloud apps or actions vyberte All cloud apps.
- V části Conditions vyberte Device code flow, nastavte Configure na Yes a poté zvolte Block.
- V části Access controls vyberte Grant a zvolte Block access.
- Nastavte Enable policy na On a klikněte na Create.
Případně můžete nakonfigurovat zásadu, která povolí tok s kódem zařízení, ale omezí jej na důvěryhodná zařízení, důvěryhodné uživatele nebo konkrétní pojmenovaná umístění (Named locations) podle potřeby.
Soulad s požadavky
Tato kontrola neodpovídá žádnému konkrétnímu rámci shody. Jedná se o obecné bezpečnostní osvědčené praxe.
Související zdroje
Žádné nejsou k dispozici.