Aether365

Suomi

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Suomi

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure that an exclusionary Device code flow policy is considered

Miksi tämä on tärkeää

Device code flow on laillinen todennusmenetelmä skenaarioissa, kuten Azure PowerShellin käyttö, mutta hyökkääjät hyödyntävät sitä usein tietojenkalastelukampanjoissa. Onnistuessaan nämä hyökkäykset antavat hyökkääjälle user_impersonation-laajuuden käyttöoikeustietueita, jolloin he voivat suorittaa kaikki toiminnot, joihin vaarannettu käyttäjä pystyy. Device code flow -menetelmän rajoittaminen vain niille henkilöille, jotka sitä nimenomaisesti tarvitsevat, vähentää hyökkäyspinta-alaasi tunnusvarkauksia ja istunnonkaappauksia vastaan.

Mitä Aether365 tarkistaa

Tämä tarkistus varmistaa, onko ehdollista käyttöoikeutta (Conditional Access) koskeva käytäntö käytössä, joka estää device code flow -todennusmenetelmän muilta kuin välttämättömiltä käyttäjiltä. Aether365-hallintapaneelissa tämä näkyy Entra ID -tarkistusosion alla nimellä ENTRA.1111.

Korjaustoimenpiteet

  1. Kirjaudu Azure Portal -palveluun Conditional Access Administrator-, Security Administrator- tai Global Administrator -oikeuksilla.
  2. Siirry kohtaan Microsoft Entra ID > Security > Conditional Access > Policies.
  3. Valitse New policy luodaksesi uuden käytännön tai muokkaa olemassa olevaa.
  4. Valitse kohdasta Users kaikki käyttäjät ja sulje pois vain ne tilit, jotka laillisesti tarvitsevat device code flow -menetelmää (esimerkiksi automaatiotilit tai tietyt järjestelmänvalvojien työasemat).
  5. Valitse kohdasta Target resources Authentication flows ja valitse ruutu Device code flow.
  6. Valitse kohdasta Grant Block access.
  7. Aseta Enable policy ensin Report-only-tilaan vaikutusten tarkistamiseksi ennen käyttöönottoa.
  8. Seuraa kirjautumislokeja odottamattomien estojen varalta ja vaihda tilaan On kun turvallisuus on varmistettu.

Vaatimustenmukaisuus

  • CIS Microsoft Azure Foundations 3.0.0, kohta 2.2.3 (Level 2)
  • Microsoft Entra ID P1- tai P2-lisenssi vaaditaan

Liittyvät resurssit

Microsoft references

Oliko tästä sivusta hyötyä?

© 2026 Aether365. All rights reserved.