Ensure device enrollment for personally owned devices is blocked by default
Por Que Isso é Importante
Permitir que dispositivos pessoais sejam inscritos no Microsoft Intune aumenta sua superfície de ataque. Se um invasor comprometer as credenciais de um usuário, ele pode registrar um dispositivo não autorizado para contornar políticas de acesso condicional e manter acesso persistente a dados organizacionais confidenciais. Ao bloquear a inscrição de dispositivos pessoais por padrão, você força que todos os dispositivos inscritos sejam ativos corporativos gerenciados, reduzindo o risco de comprometimento não detectado.
O que o Aether365 Verifica
O Aether365 verifica se a política de restrição de tipo de dispositivo padrão no Microsoft Intune bloqueia a inscrição de dispositivos pessoais. Essa verificação aparece no seu painel do Aether365 sob microsoft-365 e sinaliza não conformidade com a recomendação do CIS Benchmark M365.2157.
Como Corrigir
- Entre no Microsoft Intune admin center em https://intune.microsoft.com.
- Navegue até Devices, e em Device onboarding, selecione Enrollment.
- Clique em Device platform restriction em Enrollment options.
- Localize a política Default em Device type restrictions e clique em All Users.
- Selecione a guia Properties e clique em Edit ao lado de Platform settings.
- Para cada plataforma listada (como Windows, iOS, Android), defina a coluna Personally owned como Block.
- Clique em Review + save e confirme as alterações.
Conformidade
- CIS Microsoft 365 Foundations Benchmark 5.0.0 Seção 4.2 (E3 Nível 2, E5 Nível 2)
- Controle de segurança do Microsoft 365 para restrições de inscrição de dispositivos
- Implementado como prática padrão em muitos frameworks de conformidade (NIST, CMMC)