允许加入设备的用户

默认情况下，Microsoft Entra ID 允许所有 Entra 用户将其设备注册为加入该租户的 Microsoft Entra 设备。此设置名为“用户可以将设备加入 Microsoft Entra”，一旦启用，任何已登录的用户都可以完成设备加入流程。如果威胁制造者入侵普通用户帐户，他们可以利用此工作流注册一台完全由其控制的恶意工作站。该设备会出现在 Entra ID 中，将受害者列为所有者，同时设备还会继承该用户的基线移动设备管理 (MDM) 策略，从而为攻击者在环境中建立了一个持久且受信任的驻足点。

虽然设备的加入过程可以触发多因素身份验证 (MFA) 等其他检查，但系统在注册阶段默认并未强制要求启用 MFA。这意味着攻击者只需窃取密码，就可以从任何地方注册一台设备。如果 Microsoft Intune 或条件访问策略存在错误配置，恶意设备可能会被自动标记为合规，从而满足访问条件，避免触发进一步的身份验证机制。一旦设备被标记为合规，攻击者便可在不触发 MFA 的情况下，悄无声息地访问受 Entra ID 身份验证保护的云资源。

Microsoft 事件响应团队已记录多起真实案例：攻击者使用通过网络钓鱼获得的帐户加入恶意设备，绕过了错误配置的合规性检查，并从 Microsoft 365 邮箱中窃取了敏感数据。这些案例表明，过于宽松的设备加入设置会显著增加单个帐户遭入侵的破坏范围。

这种宽松的设置还允许员工随意注册个人 Windows 和 macOS 设备，即“自带设备”（Bring Your Own Device，简称 BYOD），不仅导致组织的设备清单不断扩大，也使得在大量未受管理的设备中识别恶意或未经授权的设备变得更加困难。

默认情况下，每名用户最多可以注册 50 台设备，这意味着一个遭入侵的帐户可以在不触发警报的情况下托管数十台由攻击者控制的终端设备。此类由用户主导的加入行为发生在诸如 Windows Autopilot 自助部署模式等安全配置流程之外，绕过了条件访问策略所依赖的硬件认证和其他入网保护机制，从而无法验证设备的可信性。

在“设备设置 > Microsoft Entra 加入和注册设置”中，默认的“用户可以将设备加入 Microsoft Entra”设置允许所有用户将设备添加到 Entra ID。

应通过限制 Microsoft Entra 设备加入权限，来作为首要的缓解措施。将“用户可以将设备加入 Microsoft Entra”设置为“无”，或将权限限制为一个严格管控的管理组，仅包含设备入网/技术支持人员或设备管理员。

可配合使用一项针对“注册或加入设备”的用户操作的条件访问策略，以作为对控制措施的补充。将策略设置为在每次设备加入时都“需要进行多因素身份验证”。此外，如果您已按照建议配置条件访问策略，请在“设备设置”面板中禁用（设置为“否”）“需要进行多因素身份验证才能注册或将设备加入 Microsoft Entra”切换开关，以确保条件访问策略才是权威控制机制。

最后，实施持续监控，例如对[]设备加入事件启用审计(https://learn.microsoft.com/zh-cn/entra/identity/devices/manage-device-identities#audit-logs)、设置针对异常注册模式的警报，并对“[云设备管理员](https://learn.microsoft.com/zh-cn/entra/identity/role-based-access-control/permissions-reference#cloud-device-administrator)”Entra 角色应用严格的操作控制，以限制可读取和更改设备设置的用户范围。

名称: 允许加入设备的用户

代码名称: USERS-ALLOWED-TO-JOIN-DEVICES

严重性: Low

类型: Microsoft Entra ID Indicator of Exposure