検出

デバイスの参加が許可されたユーザー

LOW

Language:

説明

デフォルトでは、Microsoft Entra ID はすべての Entra ユーザーに対して、Microsoft Entra の参加デバイスとしてテナントに登録する権限を付与します。ユーザーはデバイスを Microsoft Entra に参加させることができるというこの設定により、サインインしたユーザーは参加プロセスを完了することができます。攻撃者が通常のユーザーアカウントを侵害した場合、このワークフローを悪用して、自分が完全に制御している不正なワークステーションを登録する可能性があります。デバイスは、被害者がその所有者としてリストされている Entra ID に表示され、そのユーザーのベースラインのモバイルデバイス管理 (MDM) ポリシーを継承し、攻撃者に環境内での永続的で信頼できる足がかりを与えます。

デバイス参加によって多要素認証 (MFA) などの追加のチェックをトリガーできますが、デフォルトでは登録時に必須ではありません。つまり、盗んだパスワードさえあれば、攻撃者はどこからでもデバイスを登録できることになります。Microsoft Intune または条件付きアクセスポリシーに設定ミスがある場合、不正なデバイスが自動的に順守状態として認識され、さらなる認証の課題を抑制するアクセス条件を満たす可能性があります。順守状態となると、MFA プロンプトが表示されることなく、攻撃者は Entra ID 認証の背後にあるクラウドリソースに密かにアクセスできるようになります。

Microsoft のインシデント対応チームは、不正なデバイスの参加にフィッシングアカウントが使用され、設定ミスのあるコンプライアンスチェックをバイパスし、Microsoft 365 メールボックスの機密データを盗み出すという実際の侵害を文書化しました。これらのケースからわかるのは、過度に寛容なデバイス参加設定によって 1 件のアカウント侵害の影響範囲が劇的に広がる可能性があることです。

この寛容な設定により、従業員は個人の Windows および macOS デバイスを自由に登録できるようになり (BYOD (私物端末の業務利用))、組織のデバイスインベントリが増大します。このため、管理されていない無秩序に増加したデバイスの中から悪意のあるデバイスや不正なデバイスを見つけることが難しくなります。

デフォルトでは、各ユーザーは最大 50 個のデバイスを登録できます。これは、1 つの侵害されたアカウントが、アラートをトリガーすることなく、攻撃者が制御する数十のエンドポイントをホストする可能性があることを意味します。これらのユーザー主導の参加は、Windows Autopilot セルフデプロイメントモードなどの安全なプロビジョニングフロー外で発生し、条件付きアクセスがデバイスの信頼性を検証するために依存しているハードウェア認証やその他のオンボーディングの安全策をバイパスします。

ソリューション

[Device settings] (デバイス設定) > [Microsoft Entra join and registration settings] (Microsoft Entra 参加および登録設定) の下にあるデフォルトの [Users may join devices to Microsoft Entra] (ユーザーはデバイスを Microsoft Entra に参加させることができる) の設定により、すべてのユーザーが Entra ID にデバイスを追加できるようになります。

緩和策は、Microsoft Entra ID に参加できる人を制限することから始まります。[Users may join devices to Microsoft Entra] (ユーザーはデバイスを Microsoft Entra に参加させることができる) を [None] (なし) に設定するか、オンボーディング/ヘルプデスク担当者またはデバイス管理担当者のみを含む厳密に管理された管理グループに参加を制限します。

この制御を、[Register or join devices] (デバイスの登録または参加) ユーザーアクションを対象とする条件付きアクセスポリシーで補完します。ポリシーをすべてのデバイスの参加イベントに対して [Register or join devices] (多要素認証を要求する) に設定します。さらに、推奨されているように条件付きアクセスを設定する場合は、[Device settings] (デバイス設定) パネルの [Require Multifactor Authentication to register or join devices with Microsoft Entra] (Microsoft Entra でデバイスを登録または参加させるために多要素認証を要求する) トグルを無効 ([No] (無効) に設定) にして、条件付きアクセスポリシーが権限のある制御であることを確認します。

最後に、継続的な監視を実装します。デバイス参加に対する監査イベントを有効にし、異常な登録パターンに関するアラートを設定し、クラウドデバイス管理者 Entra ロールに厳格な運用制御を適用して、デバイス設定の読み取りと変更を行えるユーザーを制限します。

インジケーターの詳細

名前: デバイスの参加が許可されたユーザー

コード名: USERS-ALLOWED-TO-JOIN-DEVICES

深刻度: Low

タイプ: Microsoft Entra ID Indicator of Exposure

MITRE ATT&CK 情報: