Ensure device enrollment for personally owned devices is blocked by default
Miksi Tämä on Tärkeää
Henkilökohtaisten laitteiden salliminen ilmoittautua Microsoft Intuneen kasvattaa hyökkäyspinta-alaasi. Jos hyökkääjä pääsee käsiksi käyttäjän tunnistetietoihin, he voivat rekisteröidä vilpillisen laitteen kiertääkseen ehdollisen pääsyn käytäntöjä ja säilyttääkseen pysyvän pääsyn arkaluontoisiin organisaation tietoihin. Estämällä henkilökohtaisten laitteiden ilmoittautuminen oletusarvoisesti pakotat kaikki ilmoittautuneet laitteet olemaan hallittuja yrityksen omaisuuseriä, mikä vähentää havaitsemattoman kompromissin riskiä.
Mitä Aether365 Tarkistaa
Aether365 varmistaa, että oletusarvoinen laitetyyppirajoituskäytäntö Microsoft Intunessa estää henkilökohtaisten laitteiden ilmoittautumisen. Tämä tarkistus näkyy Aether365-kojelaudassasi microsoft-365-tarkistusten alla ja merkitsee poikkeaman CIS-vertailusuosituksesta M365.2157.
Miten Korjata
- Kirjaudu sisään Microsoft Intune admin center -palveluun osoitteessa https://intune.microsoft.com.
- Siirry kohtaan Devices ja valitse sitten Device onboarding -kohdasta Enrollment.
- Napsauta Device platform restriction kohdassa Enrollment options.
- Etsi Default-käytäntö kohdasta Device type restrictions ja napsauta All Users.
- Valitse Properties-välilehti ja napsauta sitten Edit kohdan Platform settings vieressä.
- Aseta kullekin listatulle alustalle (kuten Windows, iOS, Android) Personally owned -sarakkeeksi Block.
- Napsauta Review + save ja vahvista muutokset.
Vaatimustenmukaisuus
- CIS Microsoft 365 Foundations Benchmark 5.0.0 -osion 4.2 (E3 Level 2, E5 Level 2)
- Microsoft 365 -tietoturvaohjaus laitteiden ilmoittautumisrajoituksille
- Käytössä vakiokäytäntönä monissa vaatimustenmukaisuuskehyksissä (NIST, CMMC)