Ensure device enrollment for personally owned devices is blocked by default
Warum dies wichtig ist
Wenn Sie zulassen, dass persönlich genutzte Geräte in Microsoft Intune eingeschrieben werden, vergrößern Sie Ihre Angriffsfläche. Falls ein Angreifer die Anmeldeinformationen eines Benutzers kompromittiert, könnte er ein nicht autorisiertes Gerät registrieren, um Conditional Access-Richtlinien zu umgehen und dauerhaften Zugriff auf vertrauliche Organisationsdaten zu erhalten. Indem Sie die Registrierung persönlicher Geräte standardmäßig blockieren, erzwingen Sie, dass alle eingeschriebenen Geräte verwaltete Unternehmensressourcen sind, wodurch das Risiko einer unerkannten Kompromittierung verringert wird.
Was Aether365 prüft
Aether365 überprüft, ob die standardmäßige Richtlinie zur Gerätetyp-Einschränkung in Microsoft Intune persönlich genutzte Geräte an der Registrierung hindert. Diese Prüfung wird in Ihrem Aether365-Dashboard unter microsoft-365-Prüfungen angezeigt und kennzeichnet eine Nichtkonformität mit der CIS-Benchmark-Empfehlung M365.2157.
Behebung des Problems
- Melden Sie sich beim Microsoft Intune admin center unter https://intune.microsoft.com an.
- Navigieren Sie zu Devices, dann unter Device onboarding wählen Sie Enrollment.
- Klicken Sie unter Enrollment options auf Device platform restriction.
- Suchen Sie unter Device type restrictions die Default-Richtlinie und klicken Sie auf All Users.
- Wählen Sie die Registerkarte Properties und klicken Sie dann neben Platform settings auf Edit.
- Setzen Sie für jede aufgeführte Plattform (wie Windows, iOS, Android) die Spalte Personally owned auf Block.
- Klicken Sie auf Review + save und bestätigen Sie die Änderungen.
Compliance
- CIS Microsoft 365 Foundations Benchmark 5.0.0 Abschnitt 4.2 (E3 Level 2, E5 Level 2)
- Microsoft 365 Sicherheitskontrolle für Geräteregistrierungsbeschränkungen
- Als Standardpraxis in vielen Compliance-Frameworks implementiert (NIST, CMMC)