Restrict device join to selected users/groups or none.

Warum dies wichtig ist

Wenn alle Benutzer Geräte in Ihrem Mandanten anmelden dürfen, entsteht eine unkontrollierte Angriffsfläche. Ein kompromittiertes Konto könnte ein schädliches Gerät anmelden, wodurch bedingte Zugriffsrichtlinien umgangen und unbefugter Zugriff auf Unternehmensressourcen erlangt werden könnte. Durch die Einschränkung der Geräteanmeldung auf bestimmte Benutzer oder Gruppen wird dieses Risiko auf vertrauenswürdige Identitäten begrenzt.

Was Aether365 prüft

Aether365 überprüft, ob die Microsoft Entra ID-Einstellung "Users may join devices to Azure AD" entweder auf "None" oder auf eine definierte Gruppe von Benutzern oder Gruppen festgelegt ist. Diese Prüfung wird in Ihrem Aether365-Dashboard unter den entra-id-Dienstprüfungen angezeigt.

So beheben Sie das Problem

1. Melden Sie sich als Global Administrator oder Identity Administrator beim Microsoft Entra admin center an.
2. Navigieren Sie zu Identity > Devices > Device settings.
3. Suchen Sie die Einstellung "Users may join devices to Azure AD".
4. Ändern Sie den Wert auf "None", um alle Anmeldevorgänge zu verhindern, oder wählen Sie "Selected" und dann bestimmte Benutzer oder Gruppen aus, indem Sie auf "Select users" klicken und die gewünschten Einträge hinzufügen.
5. Klicken Sie oben auf der Seite auf "Save", um die Änderung zu übernehmen.

Compliance

Die folgenden Frameworks sind für diese Sicherheitsprüfung relevant:

• Sonstige: Diese Prüfung entspricht den Best Practices für die Geräteverwaltung in Entra ID, auch wenn sie in den Quelldaten keinem spezifischen Compliance-Framework direkt zugeordnet ist.

Verwandte Ressourcen

Für diese Prüfung wurden keine spezifischen Referenzen bereitgestellt. Allgemeine Hinweise finden Sie in der Microsoft Learn-Dokumentation zu den Geräteanmeldeeinstellungen.