Restrict device join to selected users/groups or none.
Miksi tämä on tärkeää
Jos kaikki käyttäjät saavat liittää laitteita vuokraajaan, syntyy hallitsematon hyökkäyspinta-ala. Vaarantuneella tilillä voidaan rekisteröidä vilpillinen laite, joka ohittaa ehdollisen käyttöoikeuden käytännöt ja saa luvattoman pääsyn yrityksen resursseihin. Rajoittamalla laitteiden liittäminen tiettyihin käyttäjiin tai ryhmiin tämä riski koskee vain luotettuja tunnistetietoja.
Mitä Aether365 tarkistaa
Aether365 varmistaa, että Microsoft Entra ID -asetus "Users may join devices to Azure AD" on määritetty joko arvoon "None" tai tiettyihin käyttäjiin tai ryhmiin. Tämä tarkistus näkyy Aether365-hallintapaneelissa entra-id-palvelun tarkistusten alla.
Korjaaminen
- Kirjaudu Microsoft Entra admin centeriin Global Administrator- tai Identity Administrator -roolilla.
- Siirry kohtaan Identity > Devices > Device settings.
- Etsi asetus "Users may join devices to Azure AD".
- Muuta arvoksi "None" estääksesi kaikki liittämistoiminnot tai valitse "Selected" ja valitse sitten tiettyjä käyttäjiä tai ryhmiä napsauttamalla "Select users" ja lisäämällä halutut kohteet.
- Tallenna muutos napsauttamalla "Save" sivun yläreunassa.
Vaatimustenmukaisuus
Seuraavat viitekehykset liittyvät tähän tietoturvatarkistukseen:
- Muut: Tämä tarkistus noudattaa Entra ID -laitteiden hallinnan parhaita käytäntöjä, vaikka sitä ei ole suoraan yhdistetty tiettyyn vaatimustenmukaisuuskehykseen lähdeaineistossa.
Liittyvät resurssit
Tälle tarkistukselle ei annettu erityisiä viittauksia. Yleisiä ohjeita varten tutustu Microsoft Learn -dokumentaatioon laitteiden liittämisasetuksista.