Ensure device enrollment for personally owned devices is blocked by default
Proč na tom záleží
Povolení registrace osobních zařízení do Microsoft Intune zvyšuje vaši útoknou plochu. Pokud útočník získá přihlašovací údaje uživatele, může zaregistrovat podvodné zařízení, aby obešel zásady podmíněného přístupu a udržel si trvalý přístup k citlivým organizačním datům. Blokováním registrace osobních zařízení ve výchozím nastavení zajistíte, že všechna registrovaná zařízení budou spravovaná podniková aktiva, čímž se sníží riziko nezjištěného kompromitování.
Co Aether365 kontroluje
Aether365 ověřuje, že výchozí zásada omezení typu zařízení v Microsoft Intune blokuje registraci osobních zařízení. Tato kontrola se zobrazí ve vašem dashboardu Aether365 v sekci microsoft-365 a označuje nesoulad s doporučením CIS benchmark M365.2157.
Jak to opravit
- Přihlaste se do Microsoft Intune admin center na adrese https://intune.microsoft.com.
- Přejděte do Devices, poté v části Device onboarding vyberte Enrollment.
- Klikněte na Device platform restriction v části Enrollment options.
- Vyhledejte výchozí zásadu Default v části Device type restrictions a klikněte na All Users.
- Vyberte kartu Properties a poté klikněte na Edit vedle Platform settings.
- U každé uvedené platformy (například Windows, iOS, Android) nastavte sloupec Personally owned na hodnotu Block.
- Klikněte na Review + save a potvrďte změny.
Shoda s normami
- CIS Microsoft 365 Foundations Benchmark 5.0.0 Část 4.2 (E3 Level 2, E5 Level 2)
- Bezpečnostní kontrola Microsoft 365 pro omezení registrace zařízení
- Implementováno jako standardní praxe v mnoha rámcích shody (NIST, CMMC)