Restrict device join to selected users/groups or none.

Чому це важливо

Дозвіл усім користувачам приєднувати пристрої до вашого tenant створює некеровану поверхню атаки. Будь-який скомпрометований обліковий запис зможе зареєструвати шкідливий пристрій, обійшовши політики умовного доступу та отримавши несанкціонований доступ до корпоративних ресурсів. Обмеження приєднання пристроїв лише певними користувачами або групами знижує цей ризик до рівня лише довірених осіб.

Що перевіряє Aether365

Aether365 перевіряє, чи параметр Microsoft Entra ID "Users may join devices to Azure AD" налаштований на значення "None" або на визначений набір користувачів чи груп. Ця перевірка відображається на панелі керування Aether365 у розділі перевірок служби entra-id.

Як виправити

1. Увійдіть до Microsoft Entra admin center як Глобальний адміністратор або Адміністратор ідентифікації.
2. Перейдіть до Identity > Devices > Device settings.
3. Знайдіть параметр "Users may join devices to Azure AD".
4. Змініть значення на "None", щоб заборонити всі операції приєднання, або виберіть "Selected", а потім оберіть конкретних користувачів чи групи, натиснувши "Select users" і додавши необхідні записи.
5. Натисніть "Save" у верхній частині сторінки, щоб застосувати зміни.

Відповідність стандартам

Ця перевірка безпеки стосується таких нормативних рамок:

• Інше: Ця перевірка відповідає найкращим практикам керування пристроями Entra ID, хоча вона не має прямого зіставлення з конкретною нормативною базою у вихідних даних.

Пов'язані ресурси

Для цієї перевірки не надано конкретних посилань. За загальними рекомендаціями зверніться до документації Microsoft Learn про налаштування приєднання пристроїв.