休眠裝置

休眠或過時的裝置是指在指定時間 (預設為 90 天，可透過選項自訂) 內未登入而一直處於非作用中狀態的裝置帳戶。

休眠裝置可能會帶來下列安全風險，並導致營運流程複雜化:

• 攻擊破綻增加: 過時的設定和未修補的弱點會使休眠裝置容易受到攻擊，而這些弱點可能已在近期更新中解決。
• 更容易受到入侵: 威脅執行者可能全面入侵租用戶，並在未授權的情況下存取敏感資訊。
• 稽核: 在合規性稽核期間產生問題。
• 資源消耗: 授權閒置，產生不必要的支出。
• 效能降低: 多餘的裝置回寫會延長 Microsoft Entra Connect 同步所需的時間。

另請考慮相關的曝險指標 (IoE)「待啟用裝置」，該指標會識別所有預先建立但從未使用過的裝置。

請注意:

1. 此曝險指標 (IoE) 的基礎是 approximateLastSignInDateTime 屬性，該屬性不會即時更新。僅在差值超過 14 天 (+/-5 天) 時，目前的值才會更新。
2. 因此，Microsoft 承認「某些作用中裝置的時間戳記可能是空白的」。在這種情況下，則需要進一步檢查登入稽核記錄，以確認裝置上是否有更頻繁的更新活動。

Tenable 建議您定期檢查，並停用或刪除休眠裝置。找出這類裝置後，請採取以下動作:

1. 停用。
2. 請等待一段充足時間 (例如數個月)，確保沒有任何非預期的影響。
3. 在這段延遲期後，如果沒有回報任何問題，即可在貴組織資安政策允許的情況下繼續刪除。

Microsoft 發布了一份名為「如何管理 Microsoft Entra ID 中的過時裝置」的指南，該指南說明了如何根據裝置的加入類型 (例如 Microsoft Entra 註冊、Microsoft Entra 加入等) 來管理過時裝置。我們建議在刪除任何裝置前進行檢查。

名稱: 休眠裝置

代碼名稱: DORMANT-DEVICE

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure