Restrict device join to selected users/groups or none.
Por qué es importante
Permitir que todos los usuarios unan dispositivos a su inquilino crea una superficie de ataque no administrada. Cualquier cuenta comprometida podría inscribir un dispositivo no autorizado, eludiendo las políticas de acceso condicional y obteniendo acceso no autorizado a los recursos corporativos. Restringir la unión de dispositivos a usuarios o grupos específicos limita este riesgo solo a identidades de confianza.
Qué verifica Aether365
Aether365 verifica que la configuración de Microsoft Entra ID "Los usuarios pueden unir dispositivos a Azure AD" esté configurada como "Ninguno" o en un conjunto definido de usuarios o grupos. Esta verificación aparece en el panel de control de Aether365 bajo las comprobaciones de servicio de entra-id.
Cómo solucionarlo
- Inicie sesión en el Microsoft Entra admin center como administrador global o administrador de identidades.
- Vaya a Identity > Devices > Device settings.
- Localice la configuración "Los usuarios pueden unir dispositivos a Azure AD".
- Cambie el valor a "Ninguno" para evitar todas las operaciones de unión, o seleccione "Seleccionado" y luego elija usuarios o grupos específicos haciendo clic en "Seleccionar usuarios" y agregando las entradas deseadas.
- Haga clic en "Guardar" en la parte superior de la página para aplicar el cambio.
Cumplimiento normativo
Los siguientes marcos normativos son relevantes para esta verificación de seguridad:
- Otros: Esta verificación se alinea con las prácticas recomendadas para la administración de dispositivos de Entra ID, aunque no está directamente asignada a un marco normativo específico en los datos de origen.
Recursos relacionados
No se proporcionaron referencias específicas para esta verificación. Para obtener orientación general, consulte la documentación de Microsoft Learn sobre la configuración de unión de dispositivos.