待啟用裝置

待啟用裝置是指在 Entra ID 中建立後，在特定天數內 (預設為 90 天，可自訂) 從未進行過驗證的裝置帳戶。

在 Active Directory 中，管理員有時可以預先建立電腦帳戶，但 Microsoft Entra ID 中並沒有此類預先建立裝置帳戶的功能。然而透過 Microsoft Entra Connect，預先建立的裝置帳戶仍然可能存在於 Entra ID 中。啟用 Microsoft Entra 混合加入功能後，Entra Connect 會在 Entra ID 中預先建立與 Active Directory 帳戶對應的電腦帳戶。

待啟用裝置帳戶可能單純反映系統管理不善，也可能表現出明顯的可疑跡象，甚至暗示攻擊者使用了 AADInternals 等攻擊性工具。

此外，也請您考慮使用相關的曝險指標 (IoE)「休眠裝置」，這項指標會識別所有曾經活躍但後來陷入沉寂的裝置。

請注意:

1. 此曝險指標 (IoE) 的基礎是 approximateLastSignInDateTime 屬性，該屬性不會即時更新。僅在差值超過 14 天 (+/-5 天) 時，目前的值才會更新。
2. 因此，Microsoft 承認「某些作用中裝置的時間戳記可能是空白的」。在這種情況下，則需要進一步檢查登入稽核記錄，以確認裝置上是否有更頻繁的更新活動。

Tenable 建議您定期檢查，並停用或刪除從未使用的裝置。找出這類裝置後，請採取以下動作:

1. 停用。
2. 請等待一段充足時間 (例如數個月)，確保沒有任何非預期的影響。
3. 在這段延遲期後，如果沒有回報任何問題，即可在貴組織資安政策允許的情況下繼續刪除。

Microsoft 發布了一份名為「如何管理 Microsoft Entra ID 中的過時裝置」的指南，該指南說明了如何根據裝置的加入類型 (例如 Microsoft Entra 註冊、Microsoft Entra 加入等) 來管理過時裝置。我們建議在刪除任何裝置前進行檢查。

名稱: 待啟用裝置

代碼名稱: NEVER-USED-DEVICE

嚴重性: Low

類型: Microsoft Entra ID Indicator of Exposure