Ensure that an exclusionary Device code flow policy is considered
Чому це важливо
Потік коду пристрою є легітимним методом автентифікації для таких сценаріїв, як робота з Azure через PowerShell, але зловмисники часто використовують його у фішингових кампаніях. У разі успіху такі атаки надають зловмисникам маркери доступу з областю user_impersonation, що дозволяє їм виконувати будь-які дії від імені скомпрометованого користувача. Обмеження потоку коду пристрою лише тими співробітниками, яким він дійсно потрібен, зменшує поверхню атаки на викрадення токенів та перехоплення сеансів.
Що перевіряє Aether365
Ця перевірка визначає, чи застосовано політику умовного доступу для блокування потоку коду пристрою для користувачів, які не потребують цього методу. На панелі керування Aether365 цей пункт відображається в розділі перевірок Entra ID під назвою ENTRA.1111.
Як виправити
- Увійдіть до порталу Azure як адміністратор умовного доступу, адміністратор безпеки або глобальний адміністратор.
- Перейдіть до Microsoft Entra ID > Security > Conditional Access > Policies.
- Виберіть New policy, щоб створити нову політику, або відредагуйте існуючу.
- У розділі Users додайте всіх користувачів, а потім виключіть лише ті облікові записи, які легітимно потребують потоку коду пристрою (наприклад, облікові записи автоматизації або спеціалізовані робочі станції адміністраторів).
- У полі Target resources виберіть Authentication flows та позначте прапорець Device code flow.
- У полі Grant оберіть Block access.
- Спочатку встановіть Enable policy у режим Report-only, щоб оцінити вплив перед застосуванням.
- Перевірте журнали входу на наявність неочікуваних блокувань, а потім перемкніть на On, коли переконаєтесь у безпеці.
Відповідність стандартам
- CIS Microsoft Azure Foundations 3.0.0 Розділ 2.2.3 (Рівень 2)
- Потрібна ліцензія Microsoft Entra ID P1 або P2
Пов'язані ресурси
- Conditional Access authentication flows
- Microsoft Cloud Security Benchmark IM-7
- Conditional Access report-only mode
- How to create a policy for authentication flows