Language:
使用されたことがないデバイスとは、Entra ID で作成されてから特定の日数 (デフォルトでは 90 日、カスタマイズ可能) の間、1 度も認証していないデバイスアカウントのことです。
管理者が時にはコンピューターアカウントを事前に作成できる Active Directory とは異なり、Microsoft Entra ID にはデバイスアカウントを事前作成するための機能はありません。ただし、事前作成したデバイスアカウントが、Microsoft Entra Connect を介して Entra ID に存在する可能性があります。Microsoft Entra のハイブリッド参加が有効である場合、Entra Connect は Active Directory のコンピューターアカウントに対応する Entra ID のコンピューターアカウントを事前作成します。
使用されたことがないデバイスアカウントは、単なる衛生面から完全に疑わしいものに至るまで幅があり、攻撃者が AADInternals のような攻撃ツールを使用している兆候である場合があります。
また、関連する IoE [休眠状態のデバイス] も考慮してください。これは、以前はアクティブだったものの、非アクティブになったすべてのデバイスを特定します。
注意:
approximateLastSignInDateTime
プロパティに依存していますが、このプロパティはリアルタイムで更新されません。時間差が 14 日 (+/-5 日) 以上になって初めて、最新の値に更新されます。Tenable では、使用されたことがないデバイスを定期的に確認し、無効化または削除することを推奨しています。それらを特定したら、次のアクションを実行してください。
Microsoft は、方法: Microsoft Entra ID で古くなったデバイスを管理するでガイドを公開しています。これは、参加タイプ (例: Microsoft Entra 登録済み、Microsoft Entra ID 参加済み) に応じた古いデバイスの管理に関するインサイトを提供します。デバイスを削除する前に、このドキュメントを確認することをお勧めします。
名前: 使用されたことがないデバイス
コード名: NEVER-USED-DEVICE
深刻度: Low
タイプ: Microsoft Entra ID Indicator of Exposure