Ensure device enrollment for personally owned devices is blocked by default
Varför detta är viktigt
Att tillåta personligt ägda enheter att registrera sig i Microsoft Intune ökar din attackyta. Om en angripare komprometterar en användares autentiseringsuppgifter kan de registrera en obehörig enhet för att kringgå principer för villkorlig åtkomst och bibehålla beständig åtkomst till känslig organisationsdata. Genom att som standard blockera registrering av personliga enheter tvingar du alla registrerade enheter att vara hanterade företagstillgångar, vilket minskar risken för oupptäckta komprometteringar.
Vad Aether365 kontrollerar
Aether365 verifierar att standardprincipen för enhetstypbegränsning i Microsoft Intune blockerar personligt ägda enheter från att registreras. Denna kontroll visas i din Aether365-instrumentpanel under microsoft-365-kontroller och flaggar avvikelser från CIS benchmark-rekommendation M365.2157.
Så här åtgärdar du
- Logga in på Microsoft Intune admin center på https://intune.microsoft.com.
- Navigera till Devices, och under Device onboarding väljer du Enrollment.
- Klicka på Device platform restriction under Enrollment options.
- Leta reda på standardprincipen Default under Device type restrictions och klicka på All Users.
- Välj fliken Properties och klicka sedan på Edit bredvid Platform settings.
- För varje listad plattform (t.ex. Windows, iOS, Android) ställer du in kolumnen Personally owned på Block.
- Klicka på Review + save och bekräfta ändringarna.
Regelefterlevnad
- CIS Microsoft 365 Foundations Benchmark 5.0.0 Avsnitt 4.2 (E3 Level 2, E5 Level 2)
- Microsoft 365 säkerhetskontroll för begränsningar av enhetsregistrering
- Implementeras som standardpraxis i många ramverk för regelefterlevnad (NIST, CMMC)