Idioma:
De manera predeterminada, Microsoft Entra ID permite la autenticación desde cualquier dispositivo, lo que puede llevar a accesos no autorizados y vulneraciones, en especial si el dispositivo está en riesgo, no está en conformidad o está controlado por un atacante.
El modelo de Zero Trust establece que la autenticación debe depender del estado del dispositivo, lo que permite el acceso solo desde dispositivos que cumplen con las políticas de seguridad de la organización y son administrados por esta.
La política MS.AAD.3.7v1 de CISA “M365 Secure Configuration Baseline for Microsoft Entra ID” (texto en inglés), exigida por BOD 25-01, establece que los dispositivos administrados DEBERÍAN ser obligatorios para la autenticación. Si se siguen las pautas de CISA, este IoE se asegura de que al menos una política de acceso condicional incluya la siguiente configuración:
Si sigue la recomendación de Microsoft, este IoE se asegura de que al menos una política de acceso condicional incluya la misma configuración, con la adición de “Requerir la autenticación multifactor”, es decir:
Debe haber una política de acceso condicional (CAP) habilitada para que el inquilino bloquee la autenticación desde dispositivos no administrados.
CISA y Microsoft tienen opiniones divergentes sobre cómo prevenir este riesgo:
Tenable recomienda seguir las pautas de CISA por ser el enfoque más seguro. Sin embargo, dado que también son las más restrictivas, puede cambiar fácilmente a la recomendación de Microsoft con la opción proporcionada en el IoE.
Para ello, puede crear una CAP de la siguiente manera:
Si sigue la recomendación de Microsoft, puede usar la plantilla de CAP “Require compliant or hybrid Azure AD joined device or multifactor authentication for all users”. Esta plantilla cumple con todos los criterios del IoE cuando se habilita la opción de la recomendación de Microsoft. Como alternativa, la plantilla “Require compliant device or Microsoft Entra hybrid joined device for administrators” es menos restrictiva y está dirigida solo a los administradores, pero no cumplirá ningún criterio del IoE.
Nota: El control de otorgamiento “Requerir que el dispositivo esté marcado como conforme” exige que la organización use Intune MDM.
Precaución: Tanto Microsoft como Tenable recomiendan que excluya ciertas cuentas de las políticas de acceso condicional para evitar el bloqueo de cuentas en todo el inquilino y efectos secundarios no deseados. Además, Tenable recomienda que siga la documentación de Microsoft “Planeamiento de la implementación del acceso condicional” para garantizar una planificación y una gestión de cambios adecuadas, así como para mitigar el riesgo de quedar bloqueado. En particular, si usa soluciones de identidades híbridas, como Microsoft Entra Connect o Microsoft Entra Cloud Sync, debe excluir su cuenta de servicio de la política, ya que no puede cumplir con ella. Use la acción “Excluir usuarios” y excluya las cuentas de servicio directamente o marque la opción “Roles de directorio” y seleccione el rol “Cuentas de sincronización de directorios”.
Nombre: Dispositivos administrados no necesarios para la autenticación
Nombre en clave: MANAGED-DEVICES-NOT-REQUIRED-FOR-AUTHENTICATION
Gravedad: Medium
Tipo: Microsoft Entra ID Indicator of Exposure