At least one Conditional Access policy is targeting the Device Code authentication flow.
Warum das wichtig ist
Der Device Code-Authentifizierungsablauf ermöglicht Benutzern die Anmeldung auf Geräten ohne vollständige Browser, wie beispielsweise Smart-TVs oder Befehlszeilentools. Ohne eine Conditional Access-Richtlinie, die auf diesen Ablauf abzielt, können Angreifer ihn ausnutzen, um Sicherheitskontrollen wie die Multi-Factor Authentication zu umgehen, was das Risiko eines unbefugten Zugriffs auf Ihren Mandanten erhöht.
Was Aether365 prüft
Aether365 überprüft, ob mindestens eine Conditional Access-Richtlinie konfiguriert ist, die auf den Device Code-Authentifizierungsablauf abzielt. Diese Prüfung erscheint in Ihrem Aether365-Dashboard unter der Kategorie microsoft-365.
So beheben Sie das Problem
- Melden Sie sich beim Azure Portal an und navigieren Sie zu Azure Active Directory.
- Wählen Sie Security und dann Conditional Access.
- Klicken Sie auf New policy und vergeben Sie einen aussagekräftigen Namen.
- Wählen Sie unter Assignments die Option Users and groups aus und legen Sie die Benutzer, Gruppen oder Verzeichnisrollen fest, die ein- oder ausgeschlossen werden sollen.
- Wählen Sie unter Cloud apps or actions die Option All cloud apps aus.
- Wählen Sie unter Conditions die Option Device code flow aus, setzen Sie Configure auf Yes und wählen Sie dann Block.
- Wählen Sie unter Access controls die Option Grant aus und wählen Sie Block access.
- Setzen Sie Enable policy auf On und klicken Sie auf Create.
Alternativ können Sie eine Richtlinie konfigurieren, die den Device Code Flow zulässt, ihn jedoch auf vertrauenswürdige Geräte, vertrauenswürdige Benutzer oder bestimmte Named locations einschränkt, falls erforderlich.
Compliance
Diese Prüfung entspricht keinem spezifischen Compliance-Framework. Es handelt sich um eine allgemeine Sicherheitsempfehlung.
Verwandte Ressourcen
Keine verfügbar.