Aether365

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure that an exclusionary Device code flow policy is considered

Por Que Esto Es Importante

El flujo de código de dispositivo es un método de autenticación legítimo para escenarios como el uso de Azure con PowerShell, pero los atacantes lo explotan frecuentemente en campañas de phishing. Cuando tienen éxito, estos ataques otorgan al adversario tokens de acceso con el alcance user_impersonation, lo que les permite realizar cualquier acción que el usuario comprometido pueda. Restringir el flujo de código de dispositivo solo al personal que lo requiere explícitamente reduce su superficie de ataque contra el robo de tokens y el secuestro de sesiones.

Que Verifica Aether365

Esta verificación comprueba si existe una política de Conditional Access para bloquear el flujo de autenticación mediante código de dispositivo para usuarios no esenciales. En el panel de Aether365, esto aparece bajo la sección de comprobaciones de Entra ID denominada ENTRA.1111.

Como Solucionarlo

  1. Inicie sesión en Azure Portal como Conditional Access Administrator, Security Administrator o Global Administrator.
  2. Vaya a Microsoft Entra ID > Security > Conditional Access > Policies.
  3. Seleccione New policy para crear una nueva política o editar una existente.
  4. En Users, incluya a todos los usuarios y luego excluya solo aquellas cuentas que requieran legítimamente el flujo de código de dispositivo (por ejemplo, cuentas de automatización o estaciones de trabajo de administración específicas).
  5. En Target resources, seleccione Authentication flows y marque la casilla para Device code flow.
  6. En Grant, elija Block access.
  7. Establezca Enable policy en el modo Report-only primero para validar el impacto antes de aplicarla.
  8. Supervise los registros de inicio de sesión en busca de bloqueos inesperados y luego cambie a On cuando esté confirmado que es seguro.

Cumplimiento

  • CIS Microsoft Azure Foundations 3.0.0, Sección 2.2.3 (Nivel 2)
  • Requiere licencia de Microsoft Entra ID P1 o P2

Recursos Relacionados

Microsoft references

¿Te resultó útil esta página?

© 2026 Aether365. All rights reserved.