説明

休眠状態のまたは古くなったデバイスとは、指定された期間 (デフォルトでは 90 日間、オプションによりカスタマイズ可能)、サインインが実行されていないために非アクティブになっているデバイスアカウントのことです。

休眠状態のデバイスは、次のようなセキュリティリスクと運用の複雑化をもたらす可能性があります。

  • アタックサーフェスの増大: 廃止されている設定とパッチ未適用の脆弱性を持つ休眠状態のデバイスは、最近のアップデートで対処されているエクスプロイトに対して脆弱になります。
  • 侵害がさらに容易になる: 攻撃者は完全なテナント侵害を容易に行い、機密情報への不正アクセスを取得できます。
  • 監査: コンプライアンス監査で問題が指摘されます。
  • リソース消費: ライセンスで不要なコストが発生します。
  • パフォーマンスの低下: 不要なデバイスライトバックのために Microsoft Entra Connect 同期の所要時間が長くなる。

関連 IoE [使用されたことがないデバイス] も考慮してください。この IoE は、事前作成されたものの 1 度も使用されていないすべてのデバイスを特定します。

注意:

  1. この IoE は、approximateLastSignInDateTime プロパティに依存していますが、このプロパティはリアルタイムで更新されません。時間差が 14 日 (+/-5 日) 以上になって初めて、最新の値に更新されます。
  2. このため、Microsoft は「一部のアクティブなデバイスでタイムスタンプが空白になる場合があること」を認めています。このような場合は、デバイス上でより頻繁に起きている更新を特定するために、サインイン監査ログを使用したさらなる調査が必要です。

ソリューション

Tenable では、休眠状態のデバイスを定期的に確認し、無効化または削除することを推奨しています。それらを特定したら、次のアクションを実行してください。

  1. 無効化します。
  2. 数か月など十分な期間、待機して意図しない影響が生じないことを確認します。
  3. この期間を経て、問題が報告されず、かつ組織の情報セキュリティポリシーで許可されている場合は、削除します。

Microsoft は、方法: Microsoft Entra ID で古くなったデバイスを管理するでガイドを公開しています。これは、参加タイプ (例: Microsoft Entra 登録済み、Microsoft Entra ID 参加済み) に応じた古いデバイスの管理に関するインサイトを提供します。デバイスを削除する前に、このドキュメントを確認することをお勧めします。

インジケーターの詳細

名前: 休眠状態のデバイス

コード名: DORMANT-DEVICE

深刻度: Low

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: