Aether365

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure that an exclusionary Device code flow policy is considered

Warum dies wichtig ist

Der Gerätecodefluss ist eine legitime Authentifizierungsmethode für Szenarien wie die Nutzung von Azure mit PowerShell, wird jedoch von Angreifern häufig in Phishing-Kampagnen ausgenutzt. Bei erfolgreicher Durchführung gewähren diese Angriffe dem Angreifer Zugriffstoken mit der Berechtigung user_impersonation, wodurch er alle Aktionen ausführen kann, die der kompromittierte Benutzer ausführen könnte. Die Einschränkung des Gerätecodeflusses auf nur diejenigen Mitarbeiter, die ihn explizit benötigen, reduziert Ihre Angriffsfläche gegen Tokendiebstahl und Sitzungsübernahme.

Was Aether365 prüft

Diese Prüfung stellt fest, ob eine Conditional Access-Richtlinie vorhanden ist, um den Gerätecode-Authentifizierungsfluss für nicht benötigte Benutzer zu blockieren. Im Aether365-Dashboard wird dies im Bereich Entra ID-Prüfungen mit der Bezeichnung ENTRA.1111 angezeigt.

Behebung des Problems

  1. Melden Sie sich als Conditional Access-Administrator, Sicherheitsadministrator oder Globaler Administrator beim Azure Portal an.
  2. Navigieren Sie zu Microsoft Entra ID > Security > Conditional Access > Policies.
  3. Wählen Sie New policy aus, um eine neue Richtlinie zu erstellen, oder bearbeiten Sie eine vorhandene.
  4. Fügen Sie unter Users alle Benutzer hinzu und schließen Sie nur die Konten aus, die den Gerätecodefluss legitimerweise benötigen (z. B. Automatisierungskonten oder bestimmte Verwaltungsarbeitsplätze).
  5. Wählen Sie unter Target resources die Option Authentication flows aus und aktivieren Sie das Kontrollkästchen für Device code flow.
  6. Wählen Sie unter Grant die Option Block access aus.
  7. Setzen Sie Enable policy zunächst auf Report-only, um die Auswirkungen vor der Durchsetzung zu validieren.
  8. Überwachen Sie die Anmeldeprotokolle auf unerwartete Blockierungen und schalten Sie dann auf On, sobald die Sicherheit bestätigt ist.

Compliance

  • CIS Microsoft Azure Foundations 3.0.0 Abschnitt 2.2.3 (Level 2)
  • Microsoft Entra ID P1- oder P2-Lizenz erforderlich

Verwandte Ressourcen

Microsoft references

War diese Seite hilfreich?

© 2026 Aether365. All rights reserved.