Ensure device enrollment for personally owned devices is blocked by default
Perché è Importante
Consentire ai dispositivi personali di registrarsi in Microsoft Intune aumenta la superficie di attacco. Se un utente malintenzionato compromette le credenziali di un utente, potrebbe registrare un dispositivo non autorizzato per aggirare le policy di accesso condizionale e mantenere un accesso persistente ai dati organizzativi sensibili. Bloccando per impostazione predefinita la registrazione dei dispositivi personali, si obbliga tutti i dispositivi registrati a essere asset aziendali gestiti, riducendo il rischio di compromissioni non rilevate.
Cosa Controlla Aether365
Aether365 verifica che la policy predefinita di restrizione del tipo di dispositivo in Microsoft Intune blocchi la registrazione di dispositivi personali. Questo controllo compare nella dashboard di Aether365 sotto i controlli microsoft-365 e segnala la non conformità con la raccomandazione CIS benchmark M365.2157.
Come Risolvere
- Accedi al Microsoft Intune admin center all'indirizzo https://intune.microsoft.com.
- Vai su Devices, poi sotto Device onboarding, seleziona Enrollment.
- Fai clic su Device platform restriction sotto Enrollment options.
- Individua la policy Default sotto Device type restrictions e fai clic su All Users.
- Seleziona la scheda Properties, poi fai clic su Edit accanto a Platform settings.
- Per ogni piattaforma elencata (come Windows, iOS, Android), imposta la colonna Personally owned su Block.
- Fai clic su Review + save e conferma le modifiche.
Conformità
- CIS Microsoft 365 Foundations Benchmark 5.0.0 Sezione 4.2 (E3 Livello 2, E5 Livello 2)
- Controllo di sicurezza Microsoft 365 per le restrizioni di registrazione dei dispositivi
- Implementato come pratica standard in molti framework di conformità (NIST, CMMC)