从未使用的设备

从未使用的设备是指在 Entra ID 中创建后，在特定天数内（默认为 90 天，可自定义）从未成功进行过身份验证的设备帐户。

与 Active Directory 中的管理员有时可以预先创建计算机帐户不同，Microsoft Entra ID 并没有预先创建设备帐户的功能。然而，通过 Microsoft Entra Connect，预先创建的设备帐户仍可能存在于 Entra ID 中。若启用 Microsoft Entra 混合加入，Entra Connect 会在 Entra ID 中预先创建与 Active Directory 中的计算机帐户对应的帐户。

对于从未使用的设备帐户，无论是简单的不规范还是明显的可疑行为，都可能表明攻击者使用了 AADInternals 等攻击性工具。

此外，请考虑相关的“休眠设备”IoE，该指标可识别所有以前处于活动状态但现在处于非活动状态的设备。

注意：

1. 此 IOE 依赖于 approximateLastSignInDateTime 属性，该属性并非实时更新。当前值仅在差异超过 14 天（+/-5 天）时才会更新。
2. 因此，Microsoft 承认“一些处于活动状态的设备可能会有空白的时间戳”。在这种情况下，有必要借助登录审计日志进行进一步调查，以确定设备上更频繁的更新记录。

Tenable 建议定期审查，并禁用或删除从未使用的设备。识别出这些用户后，请执行以下操作：

1. 禁用这些设备。
2. 等待足够长的时间，例如几个月，以确保不会产生意外影响。
3. 经过这段等待期后，如果未报告任何问题，并且组织的信息安全策略允许，则可以删除这些设备。

Microsoft 发布了关于如何管理 Microsoft Entra ID 中过期设备的指南，该指南深入介绍了如何根据设备的加入类型（例如，Microsoft Entra 注册、Microsoft Entra 加入等）来管理过期设备。我们建议在删除任何设备之前先查阅该指南。

名称: 从未使用的设备

代码名称: NEVER-USED-DEVICE

严重性: Low

类型: Microsoft Entra ID Indicator of Exposure