Ensure device enrollment for personally owned devices is blocked by default
Prečo je to dôležité
Povolenie registrácie osobných zariadení do Microsoft Intune zvyšuje vašu útočnú plochu. Ak útočník získa prístup k prihlasovacím údajom používateľa, môže zaregistrovať neoprávnené zariadenie, ktorým obíde pravidlá podmieneného prístupu a získa trvalý prístup k citlivým organizačným údajom. Blokovaním registrácie osobných zariadení ako predvoleného nastavenia dosiahnete, že všetky registrované zariadenia budú spravovanými korporátnymi aktívami, čím sa znižuje riziko neodhaleného narušenia.
Čo kontroluje Aether365
Aether365 overuje, či predvolená politika obmedzenia typu zariadení v Microsoft Intune blokuje registráciu osobných zariadení. Táto kontrola sa zobrazuje v ovládacom paneli Aether365 v sekcii microsoft-365 a signalizuje nesúlad s odporúčaním CIS benchmark M365.2157.
Ako to opraviť
- Prihláste sa do Microsoft Intune admin center na adrese https://intune.microsoft.com.
- Prejdite na Devices, potom v časti Device onboarding vyberte Enrollment.
- Kliknite na Device platform restriction v časti Enrollment options.
- Nájdite predvolenú politiku Default v časti Device type restrictions a kliknite na All Users.
- Vyberte kartu Properties a potom kliknite na Edit vedľa položky Platform settings.
- Pre každú uvedenú platformu (napríklad Windows, iOS, Android) nastavte stĺpec Personally owned na hodnotu Block.
- Kliknite na Review + save a potvrďte zmeny.
Súlad
- CIS Microsoft 365 Foundations Benchmark 5.0.0 Sekcia 4.2 (E3 Level 2, E5 Level 2)
- Bezpečnostná kontrola Microsoft 365 pre obmedzenia registrácie zariadení
- Implementované ako štandardná prax v mnohých rámcoch súladu (NIST, CMMC)