Ensure device enrollment for personally owned devices is blocked by default
Чому це важливо
Дозвіл на реєстрацію особистих пристроїв у Microsoft Intune збільшує поверхню атаки. Якщо зловмисник скомпрометує облікові дані користувача, він може зареєструвати шахрайський пристрій, щоб обійти політики умовного доступу та отримати постійний доступ до конфіденційних даних організації. Заблокуючи реєстрацію особистих пристроїв за замовчуванням, ви гарантуєте, що всі зареєстровані пристрої будуть корпоративними активами, що зменшує ризик непоміченої компрометації.
Що перевіряє Aether365
Aether365 перевіряє, чи політика обмеження типів пристроїв за замовчуванням у Microsoft Intune блокує реєстрацію особистих пристроїв. Ця перевірка відображається на вашій панелі керування Aether365 у розділі microsoft-365 та позначає невідповідність рекомендаціям CIS Benchmark M365.2157.
Як виправити
- Увійдіть до Microsoft Intune admin center за посиланням https://intune.microsoft.com.
- Перейдіть до Devices, потім у розділі Device onboarding виберіть Enrollment.
- Натисніть Device platform restriction у Enrollment options.
- Знайдіть політику Default у Device type restrictions та натисніть All Users.
- Виберіть вкладку Properties, потім натисніть Edit поруч із Platform settings.
- Для кожної платформи в списку (наприклад, Windows, iOS, Android) установіть стовпець Personally owned у значення Block.
- Натисніть Review + save та підтвердьте зміни.
Відповідність стандартам
- CIS Microsoft 365 Foundations Benchmark 5.0.0 Розділ 4.2 (E3 Level 2, E5 Level 2)
- Засіб безпеки Microsoft 365 для обмежень реєстрації пристроїв
- Реалізовано як стандартна практика в багатьох фреймворках відповідності (NIST, CMMC)