Aether365

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Ensure that an exclusionary Device code flow policy is considered

Por Que Isso É Importante

O fluxo de código do dispositivo é um método de autenticação legítimo para cenários como usar o Azure com PowerShell, mas invasores o exploram com frequência em campanhas de phishing. Quando bem-sucedidos, esses ataques concedem ao adversário tokens de acesso com escopo user_impersonation, permitindo que ele realize qualquer ação que o usuário comprometido possa realizar. Restringir o fluxo de código do dispositivo apenas ao pessoal que explicitamente precisa dele reduz sua superfície de ataque contra roubo de tokens e sequestro de sessão.

O Que o Aether365 Verifica

Esta verificação confirma se há uma política de Conditional Access em vigor para bloquear o fluxo de autenticação de código do dispositivo para usuários não essenciais. No painel do Aether365, isso aparece na seção de verificações do Entra ID chamada ENTRA.1111.

Como Corrigir

  1. Faça login no Azure Portal como Administrador de Conditional Access, Administrador de Segurança ou Administrador Global.
  2. Navegue até Microsoft Entra ID > Security > Conditional Access > Policies.
  3. Selecione New policy para criar uma nova política ou editar uma existente.
  4. Em Users, inclua todos os usuários e depois exclua apenas as contas que legitimamente precisam do fluxo de código do dispositivo (por exemplo, contas de automação ou estações de trabalho administrativas específicas).
  5. Em Target resources, selecione Authentication flows e marque a caixa para Device code flow.
  6. Em Grant, escolha Block access.
  7. Defina Enable policy para o modo Report-only primeiro para validar o impacto antes de aplicar.
  8. Monitore os logs de login para bloqueios inesperados e, em seguida, mude para On quando confirmado como seguro.

Conformidade

  • CIS Microsoft Azure Foundations 3.0.0 Seção 2.2.3 (Nível 2)
  • Licença Microsoft Entra ID P1 ou P2 necessária

Recursos Relacionados

Microsoft references

Esta página foi útil?

© 2026 Aether365. All rights reserved.