Ensure that an exclusionary Device code flow policy is considered
Hvorfor dette er viktig
Device code flow er en legitim autentiseringsmetode for scenarioer som å bruke Azure med PowerShell, men angripere utnytter den ofte i phishing-kampanjer. Ved vellykkede angrep får angriperen tilgangstokener med user_impersonation-omfang, slik at de kan utføre alle handlinger den kompromitterte brukeren kan. Ved å begrense device code flow til kun de som eksplisitt trenger det, reduserer du angrepsoverflaten mot token-tyveri og øktkapring.
Hva Aether365 sjekker
Denne sjekken verifiserer om det finnes en Conditional Access-policy som blokkerer device code flow-autentisering for ikke-essensielle brukere. I Aether365-dashbordet vises dette under Entra ID-sjekk-seksjonen med navnet ENTRA.1111.
Slik fikser du det
- Logg inn i Azure Portal som Conditional Access Administrator, Security Administrator eller Global Administrator.
- Naviger til Microsoft Entra ID > Security > Conditional Access > Policies.
- Velg New policy for å opprette en ny policy eller rediger en eksisterende.
- Under Users, inkluder alle brukere og utelukk deretter kun de kontoene som legitimt trenger device code flow (for eksempel automatiseringskontoer eller spesifikke admin-arbeidsstasjoner).
- Under Target resources, velg Authentication flows og kryss av for Device code flow.
- Under Grant, velg Block access.
- Sett Enable policy til Report-only-modus først for å validere konsekvensene før du håndhever.
- Overvåk innloggingslogger for uventede blokkeringer, og bytt deretter til On når det er bekreftet trygt.
Samsvar
- CIS Microsoft Azure Foundations 3.0.0 Seksjon 2.2.3 (Nivå 2)
- Microsoft Entra ID P1- eller P2-lisens kreves
Relaterte ressurser
- Conditional Access authentication flows
- Microsoft Cloud Security Benchmark IM-7
- Conditional Access report-only mode
- How to create a policy for authentication flows