Ensure device enrollment for personally owned devices is blocked by default
Por qué es importante
Permitir que los dispositivos de propiedad personal se inscriban en Microsoft Intune aumenta la superficie de ataque. Si un atacante compromete las credenciales de un usuario, podría registrar un dispositivo no autorizado para eludir las políticas de acceso condicional y mantener acceso persistente a datos organizativos confidenciales. Al bloquear la inscripción de dispositivos personales de forma predeterminada, obliga a que todos los dispositivos inscritos sean activos corporativos administrados, lo que reduce el riesgo de compromiso no detectado.
Qué verifica Aether365
Aether365 verifica que la política de restricción de tipo de dispositivo predeterminada en Microsoft Intune bloquee la inscripción de dispositivos de propiedad personal. Esta comprobación aparece en el panel de Aether365 bajo las comprobaciones de microsoft-365 y señala el incumplimiento de la recomendación del benchmark CIS M365.2157.
Cómo solucionarlo
- Inicie sesión en el Microsoft Intune admin center en https://intune.microsoft.com.
- Vaya a Devices, luego, en Device onboarding, seleccione Enrollment.
- Haga clic en Device platform restriction en Enrollment options.
- Localice la política Default en Device type restrictions y haga clic en All Users.
- Seleccione la pestaña Properties, luego haga clic en Edit junto a Platform settings.
- Para cada plataforma listada (como Windows, iOS, Android), establezca la columna Personally owned en Block.
- Haga clic en Review + save y confirme los cambios.
Cumplimiento
- CIS Microsoft 365 Foundations Benchmark 5.0.0 Sección 4.2 (E3 Nivel 2, E5 Nivel 2)
- Control de seguridad de Microsoft 365 para restricciones de inscripción de dispositivos
- Implementado como práctica estándar en muchos marcos de cumplimiento (NIST, CMMC)