語言:
根據預設,Microsoft Entra ID 會授予所有 Entra 使用者權限,將其裝置作為 Microsoft Entra 加入裝置註冊至租用戶。此設定稱為「使用者可以將裝置加入 Microsoft Entra」,允許任何登入使用者完成加入程序。如果威脅執行者入侵一般使用者帳戶,即可利用此工作流程來註冊其完全控制的流氓工作站。裝置會出現在 Entra ID 中,並將受害者列為其所有者,繼承該使用者的基準行動裝置管理 (MDM) 原則,並使攻擊者在環境內部有一個長期受信任的立足點。
雖然裝置加入可以觸發諸如多因素驗證 (MFA) 等其他檢查,但根據預設,在註冊時並不需要此程序。這意味著攻擊者只要竊取密碼就可以從任何位置註冊裝置。如果 Microsoft Intune 或條件式存取原則中存在錯誤設定,流氓裝置可能會被自動標記為合規,並滿足禁止進一步驗證挑戰的存取條件。一旦符合規範,攻擊者即可在 Entra ID 驗證之後靜默存取雲端資源,而無需面對 MFA 提示。
Microsoft 資安事端回應團隊記錄了現實世界中的違規行為,其中包括使用網路釣魚帳戶加入流氓裝置、繞過設定錯誤的合規性檢查,以及從 Microsoft 365 信箱中竊取機密資料。這些案例突顯了過於寬鬆的裝置加入設定會如何大幅擴大單一帳戶入侵的影響範圍。
這種寬鬆的設定還可能讓員工自由註冊個人 Windows 和 macOS 裝置 (即「自攜裝置」,或簡稱 BYOD),進而使組織的裝置清單膨脹,讓員工更難以在未受管理的無序蔓延中發現惡意或未經授權的裝置。
根據預設,每個使用者最多可註冊 50 部裝置,這表示一個遭入侵的帳戶可能會託管數十個攻擊者控制的端點,而不會觸發警示。這些使用者驅動的加入程序會在如 Windows Autopilot 自行部署模式等安全佈建流程之外發生,繞過硬體證明和條件式存取驗證裝置信任所依賴的其他載入保護措施。
預設使用者可以將裝置加入 Microsoft Entra 設定 (位於「裝置設定 > Microsoft Entra 加入與註冊設定」下),允許所有使用者將裝置新增至 Entra ID。
緩解措施首先是限制可以執行 Microsoft Entra 加入的人員。將「使用者可以將裝置加入 Microsoft Entra」設定為「無」,或將其限制為嚴格控制的系統管理群組,其中僅包含入職/服務中心人員或裝置管理人員。
使用針對「註冊或加入裝置」使用者操作的條件式存取原則來補充此控制功能。對於每個裝置加入事件,將原則設定為「需要多因素驗證」。此外,如果您依照建議設定條件式存取,請在「裝置設定」面板中停用 (設定為「否」)「需要多因素驗證才能使用 Microsoft Entra 註冊或加入裝置」切換按鈕,同時確保條件式存取原則為權威控制。
最後,建置持續監控程序:啟用](https://learn.microsoft.com/zh-tw/entra/identity/devices/manage-device-identities#audit-logs)裝置加入稽核[事件,設定異常註冊模式警示,以及對[雲端裝置管理員](https://learn.microsoft.com/zh-tw/entra/identity/role-based-access-control/permissions-reference#cloud-device-administrator) Entra 角色套用嚴格的運作控制,以限制可讀取和修改裝置設定的人員。
名稱: 獲允許加入裝置的使用者
代碼名稱: USERS-ALLOWED-TO-JOIN-DEVICES
嚴重性: Low
類型: Microsoft Entra ID Indicator of Exposure