使用されたことがないデバイス

LOW

説明

使用されたことがないデバイスとは、Entra ID で作成されてから特定の日数 (デフォルトでは 90 日、カスタマイズ可能) の間、1 度も認証していないデバイスアカウントのことです。

管理者が時にはコンピューターアカウントを事前に作成できる Active Directory とは異なり、Microsoft Entra ID にはデバイスアカウントを事前作成するための機能はありません。ただし、事前作成したデバイスアカウントが、Microsoft Entra Connect を介して Entra ID に存在する可能性があります。Microsoft Entra のハイブリッド参加が有効である場合、Entra Connect は Active Directory のコンピューターアカウントに対応する Entra ID のコンピューターアカウントを事前作成します。

使用されたことがないデバイスアカウントは、単なる衛生面から完全に疑わしいものに至るまで幅があり、攻撃者が AADInternals のような攻撃ツールを使用している兆候である場合があります。

また、関連する IoE [休眠状態のデバイス] も考慮してください。これは、以前はアクティブだったものの、非アクティブになったすべてのデバイスを特定します。

注意:

  1. この IOE は、approximateLastSignInDateTime プロパティに依存していますが、このプロパティはリアルタイムで更新されません。時間差が 14 日 (+/-5 日) 以上になって初めて、最新の値に更新されます。
  2. このため、Microsoft は「一部のアクティブなデバイスでタイムスタンプが空白になる場合があること」を認めています。このような場合は、デバイス上でより頻繁に起きている更新を特定するために、サインイン監査ログを使用したさらなる調査が必要です。

ソリューション

Tenable では、使用されたことがないデバイスを定期的に確認し、無効化または削除することを推奨しています。それらを特定したら、次のアクションを実行してください。

  1. 無効化します。
  2. 数か月など十分な期間、待機して意図しない影響が生じないことを確認します。
  3. この期間を経て、問題が報告されず、かつ組織の情報セキュリティポリシーで許可されている場合は、削除します。

Microsoft は、方法: Microsoft Entra ID で古くなったデバイスを管理するでガイドを公開しています。これは、参加タイプ (例: Microsoft Entra 登録済み、Microsoft Entra ID 参加済み) に応じた古いデバイスの管理に関するインサイトを提供します。デバイスを削除する前に、このドキュメントを確認することをお勧めします。

インジケーターの詳細

名前: 使用されたことがないデバイス

コード名: NEVER-USED-DEVICE

深刻度: Low

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: