Detecciones

Dispositivos administrados no necesarios para la autenticación

MEDIUM

Idioma:

Descripción

De manera predeterminada, Microsoft Entra ID permite la autenticación desde cualquier dispositivo, lo que puede llevar a accesos no autorizados y vulneraciones, en especial si el dispositivo está en riesgo, no está en conformidad o está controlado por un atacante.

El modelo de Zero Trust establece que la autenticación debe depender del estado del dispositivo, lo que permite el acceso solo desde dispositivos que cumplen con las políticas de seguridad de la organización y son administrados por esta.

La política MS.AAD.3.7v1 de CISA “M365 Secure Configuration Baseline for Microsoft Entra ID” (texto en inglés), exigida por BOD 25-01, establece que los dispositivos administrados DEBERÍAN ser obligatorios para la autenticación. Si se siguen las pautas de CISA, este IoE se asegura de que al menos una política de acceso condicional incluya la siguiente configuración:

La opción “Usuarios” establecida para incluir “Todos los usuarios”.
La opción “Recursos de destino” establecida en “Todos los recursos”.
La opción “Conceder” establecida en “Conceder acceso”, con las opciones “Exigir que el dispositivo esté marcado como conforme” y “Requerir un dispositivo unido a Microsoft Entra híbrido” seleccionadas, con “Requerir uno de los controles seleccionados” seleccionado en la parte inferior.
La opción “Habilitar directiva” establecida en “Activado” (no “Desactivado” ni “Solo informe”).

Si sigue la recomendación de Microsoft, este IoE se asegura de que al menos una política de acceso condicional incluya la misma configuración, con la adición de “Requerir la autenticación multifactor”, es decir:

La opción “Conceder” establecida en “Conceder acceso”, con las opciones “Requerir la autenticación multifactor”, “Requerir que el dispositivo esté marcado como conforme” y “[Requerir un dispositivo unido a Microsoft Entra híbrido](https://learn.microsoft.com/es-es/entra/identity/conditional-access/concept-conditional-access-grant#require-microsoft-entra-hybrid -joined-device)” seleccionadas, con “Requerir uno de los controles seleccionados” seleccionado en la parte inferior.

Solución

Debe haber una política de acceso condicional (CAP) habilitada para que el inquilino bloquee la autenticación desde dispositivos no administrados.

CISA y Microsoft tienen opiniones divergentes sobre cómo prevenir este riesgo:

La política MS.AAD.3.7v1 de CISA “M365 Secure Configuration Baseline for Microsoft Entra ID” (texto en inglés), exigida por BOD 25-01, solo acepta dispositivos unidos conformes o híbridos.
En cambio, Microsoft también acepta autenticaciones multifactor.

Tenable recomienda seguir las pautas de CISA por ser el enfoque más seguro. Sin embargo, dado que también son las más restrictivas, puede cambiar fácilmente a la recomendación de Microsoft con la opción proporcionada en el IoE.

Para ello, puede crear una CAP de la siguiente manera:

Modificar una CAP existente mediante la aplicación de las opciones que se especifican en la descripción de este IoE.
Crear una CAP dedicada y configurarla según las especificaciones de la descripción del IoE.

Si sigue la recomendación de Microsoft, puede usar la plantilla de CAP “Require compliant or hybrid Azure AD joined device or multifactor authentication for all users”. Esta plantilla cumple con todos los criterios del IoE cuando se habilita la opción de la recomendación de Microsoft. Como alternativa, la plantilla “Require compliant device or Microsoft Entra hybrid joined device for administrators” es menos restrictiva y está dirigida solo a los administradores, pero no cumplirá ningún criterio del IoE.

Nota: El control de otorgamiento “Requerir que el dispositivo esté marcado como conforme” exige que la organización use Intune MDM.

Precaución: Tanto Microsoft como Tenable recomiendan que excluya ciertas cuentas de las políticas de acceso condicional para evitar el bloqueo de cuentas en todo el inquilino y efectos secundarios no deseados. Además, Tenable recomienda que siga la documentación de Microsoft “Planeamiento de la implementación del acceso condicional” para garantizar una planificación y una gestión de cambios adecuadas, así como para mitigar el riesgo de quedar bloqueado. En particular, si usa soluciones de identidades híbridas, como Microsoft Entra Connect o Microsoft Entra Cloud Sync, debe excluir su cuenta de servicio de la política, ya que no puede cumplir con ella. Use la acción “Excluir usuarios” y excluya las cuentas de servicio directamente o marque la opción “Roles de directorio” y seleccione el rol “Cuentas de sincronización de directorios”.

Detalles del indicador

Nombre: Dispositivos administrados no necesarios para la autenticación

Nombre en clave: MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION

Gravedad: Medium

Tipo: Microsoft Entra ID Indicator of Exposure

Información de MITRE ATT&CK:

Táctica: TA0001 - Initial Access (texto en inglés)
- Técnicas: T1078.004 - Valid Accounts: Cloud Accounts (texto en inglés)
Táctica: TA0004 - Privilege Escalation (texto en inglés)
- Técnicas: T1098.005 - Account Manipulation: Device Registration (texto en inglés)