无需进行身份验证的托管设备

Microsoft Entra ID 默认允许利用任何设备进行身份验证，这可能会导致未经授权的访问和漏洞，特别是在设备遭到入侵、不合规或被攻击者控制的情况下。

零信任模型规定，是否进行身份验证应取决于设备的状态，从而仅允许利用符合组织安全策略要求且由组织管理的设备进行访问。

根据 BOD 25-01 的规定，需要将 CISA“Microsoft Entra ID 的 M365 安全配置基准”中的MS.AAD.3.7v1 策略设置为“要求对托管设备进行身份验证”。如果遵循 CISA 指南，此 IoE 可确保至少一个条件访问策略包含以下设置：

• “用户”设置为包含“所有用户”。
• “目标资源”设置为“所有资源”。
• “授予”设置为“授予访问权限”，并选中“要求将设备标记为合规”和“要求使用 Microsoft Entra 混合加入的设备”选项，同时选中底部的“要求使用其中一项所选控件”。
• “启用策略”设置为“开启”（而非“关闭”或“仅报告”）。

如果遵循 Microsoft 的建议，此 IoE 可确保至少一个条件访问策略包含相同的设置，但会增加选中“要求进行多因素身份验证”这一项，其含义如下：

• “授予”设置为“授予访问权限”，并选中“要求进行多因素身份验证”、“要求将设备标记为合规”和“要求使用 Microsoft Entra 混合加入的设备”选项，同时选中底部的“要求使用其中一项所选控件”。

必须存在已启用的条件访问策略 (CAP)，租户才能阻止非托管设备进行身份验证。

CISA 和 Microsoft 对如何防范此风险持有不同意见：

• 根据 BOD 25-01 的规定，CISA“Microsoft Entra ID 的 M365 安全配置基准”中的 MS.AAD.3.7v1 策略仅接受合规或混合加入的设备。
• 相比之下，Microsoft 也接受多因素身份验证。

Tenable 建议遵循 CISA 指南，因为这是最安全的方法。不过，由于这也是限制性最强的方法，您可以使用 IoE 中提供的选项轻松切换到 Microsoft 的建议。

为此，您可以通过以下方式创建 CAP：

• 应用此 IoE 描述中指定的设置修改现有 CAP。
• 创建专用 CAP，并根据 IoE 的描述中的规范进行配置。

如果您遵循 Microsoft 的建议，可以使用“要求所有用户使用合规或混合 Azure AD 加入的设备或进行多因素身份验证”CAP 模板。当您启用遵循 Microsoft 建议的选项时，此模板可以满足所有 IoE 标准。或者，您也可以使用“要求管理员使用合规的设备或 Microsoft Entra 混合加入的设备”模板。此模板的限制较少，仅针对管理员，但不满足任何 IoE 标准。

注意：“要求将设备被标记为合规”授权控件要求贵组织使用 Intune MDM。

注意：Microsoft 和 Tenable 都建议您将特定帐户从条件访问策略中排除，以避免整个租户的帐户遭锁定和产生不必要的副作用。Tenable 还建议您遵循 Microsoft 文档“规划条件访问部署”，以确保实施正确的规划和变更管理，并降低自我锁定的风险。特别需要注意的是，如果您使用 Microsoft Entra Connect 或 Microsoft Entra Cloud Sync 等混合身份解决方案，您必须从策略中排除其服务帐户，因为无法满足要求。选择“排除用户”操作即可直接排除服务帐户；或选中“目录角色”选项，然后选择“目录同步帐户”角色来实现排除。

名称: 无需进行身份验证的托管设备

代码名称: MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION

严重性: Medium

类型: Microsoft Entra ID Indicator of Exposure