Benutzer, die Geräte hinzufügen dürfen

Standardmäßig gewährt Microsoft Entra ID allen Entra-Benutzern das Recht, ihre Geräte als Microsoft Entra-verbundene Geräte beim Mandanten zu registrieren. Mit dieser Einstellung namens Benutzer dürfen Geräte mit Microsoft Entra verbinden können eingeloggte Benutzer die Einbindung vornehmen. Wenn ein Bedrohungsakteur ein reguläres Benutzerkonto kompromittiert, kann er diesen Workflow ausnutzen, um eine Rogue-Arbeitsstation zu registrieren, die er vollständig kontrolliert. Das Gerät erscheint in Entra ID mit dem Opfer als eingetragenem Besitzer, übernimmt dessen grundlegende Richtlinien für Mobile Device Management (MDM) und verschafft dem Angreifer damit einen dauerhaften, vertrauenswürdigen Zugang innerhalb der Umgebung..

Durch die Geräteeinbindung können zwar zusätzliche Prüfungen wie die Multifaktor-Authentifizierung (MFA) ausgelöst werden, sie ist bei der Registrierung jedoch nicht standardmäßig erforderlich. Das bedeutet, dass ein Angreifer, der nur ein gestohlenes Passwort hat, ein Gerät von überall aus registrieren kann. Bei Fehlkonfigurationen in Microsoft Intune oder in Richtlinien für bedingten Zugriff wird das Rogue-Gerät möglicherweise automatisch als konform markiert, wodurch Zugriffsbedingungen erfüllt werden, die andernfalls die Authentifizierung erschweren würden. Sobald ein Gerät als konform markiert wurde, kann der Angreifer unbemerkt auf Cloud-Ressourcen hinter der Entra ID-Authentifizierung zugreifen, ohne dass jemals eine MFA-Aufforderung angezeigt wird.

Microsofts Incident-Response-Team hat Sicherheitsverletzungen in der Praxis dokumentiert, bei denen ein von einem Phishing-Angriff betroffenes Konto verwendet wurde, um ein Rogue-Gerät einzubinden, falsch konfigurierte Konformitätsprüfungen zu umgehen und sensible Daten aus Microsoft 365-Postfächern herauszuschleusen. Diese Fälle verdeutlichen, wie übermäßig großzügige Einstellungen für das Verbinden von Geräten den Wirkungsradius einer einzelnen Kontokompromittierung drastisch erweitern können.

Diese großzügige Einstellung ermöglicht es Mitarbeitern auch, persönliche Windows- und macOS-Geräte frei zu registrieren („Bring Your Own Device“ oder BYOD), wodurch der Gerätebestand des Unternehmens aufgebläht wird und es schwieriger wird, bösartige oder nicht autorisierte Geräte unter den zahlreichen nicht verwalteten Geräten zu erkennen.

Standardmäßig kann jeder Benutzer bis zu 50 Geräte registrieren. Dies bedeutet, dass ein einzelnes kompromittiertes Konto Dutzende von Angreifern gesteuerte Endgeräte hosten kann, ohne Warnungen auszulösen. Diese benutzergesteuerten Geräteverbindungen erfolgen außerhalb sicherer Bereitstellungsprozesse wie dem Selbstbereitstellungsmodus von Windows Autopilot, wobei die Hardware-Attestierung und andere Onboarding-Sicherheitsmaßnahmen umgangen werden, durch die im Rahmen des bedingten Zugriffs die Gerätevertrauensstellung überprüft wird.

Mit der Standardeinstellung Benutzer dürfen Geräte mit Microsoft Entra verbinden unter „Geräteeinstellungen > Einstellungen für Microsoft Entra-Verbindung und -Registrierung“ können Benutzer Geräte zu Entra ID hinzufügen.

Zur Risikominderung wird zunächst eingeschränkt, wer Microsoft Entra-Einbindungen vornehmen darf. Legen Sie „Benutzer dürfen Geräte mit Microsoft Entra verbinden“ auf „Keine“ fest oder beschränken Sie die Option auf eine streng kontrollierte Administratorgruppe, die nur Onboarding-/Helpdesk-Personal oder für die Geräteverwaltung zuständiges Personal umfasst.

Ergänzen Sie diese Kontrolle durch eine Richtlinie für bedingten Zugriff, die auf die Benutzeraktion „Geräte registrieren oder verbinden“ abzielt. Legen Sie die Richtlinie für jedes Geräteeinbindungsereignis auf Multifaktor-Authentifizierung erforderlich fest. Wenn Sie den bedingten Zugriff wie empfohlen konfigurieren, deaktivieren Sie außerdem den Umschalter „Multifaktor-Authentifizierung erforderlich, um Geräte bei Microsoft Entra zu registrieren oder zu verbinden“ im Bereich „Geräteeinstellungen“ (auf„Nein“ setzen), um sicherzustellen, dass die Richtlinie für bedingten Zugriff maßgeblich ist.

Implementieren Sie schließlich eine kontinuierliche Überwachung: Aktivieren Sie die Prüfung für Geräteeinbindungsereignisse, richten Sie Warnungen für ungewöhnliche Registrierungsmuster ein und wenden Sie strenge betriebliche Kontrollen auf die Entra-Rolle Cloud-Geräteadministrator an, um die Personen zu beschränken, die Geräteeinstellungen anzeigen und ändern dürfen.

Name: Benutzer, die Geräte hinzufügen dürfen

Codename: USERS-ALLOWED-TO-JOIN-DEVICES

Schweregrad: Low

Typ: Microsoft Entra ID Indicator of Exposure