Idioma:
Un dispositivo que no se utilizó nunca es una cuenta de dispositivo creada en Entra ID que nunca se autenticó durante una cierta cantidad de días (90 días de manera predeterminada, aunque se puede personalizar) desde su creación.
A diferencia de Active Directory, donde los administradores a veces pueden crear previamente cuentas de equipo, no existe ninguna funcionalidad similar para crear previamente cuentas de dispositivo en Microsoft Entra ID. Sin embargo, aún pueden existir en Entra ID cuentas de dispositivo creadas previamente a través de Microsoft Entra Connect. Cuando la unión híbrida de Microsoft Entra está habilitada, Entra Connect crea previamente las cuentas de equipo en Entra ID correspondientes a las de Active Directory.
Las cuentas de dispositivo no utilizadas nunca varían desde ser meramente antihigiénicas hasta ser absolutamente sospechosas, lo que podría indicar el uso de herramientas ofensivas, como AADInternals, por parte de los atacantes.
Además, considere el IoE “Dispositivo inactivo” relacionado, que identifica todos los dispositivos previamente activos que desde entonces se han vuelto inactivos.
Nota:
approximateLastSignInDateTime
, que no se actualiza en tiempo real. El valor actual se actualiza solo si la diferencia supera los 14 días (+/-5 días).Tenable recomienda revisar periódicamente, y deshabilitar o eliminar los dispositivos que no se han utilizado nunca. Luego de identificarlos, siga las acciones a continuación:
Microsoft publicó la guía Administración de dispositivos obsoletos en Microsoft Entra ID, en la que se brinda información sobre cómo gestionar dispositivos obsoletos según su tipo de unión (por ejemplo, registrado en Microsoft Entra, unido a Microsoft Entra, etc.). Recomendamos que la revise antes de eliminar cualquier dispositivo.
Nombre: Dispositivo no utilizado nunca
Nombre en clave: NEVER-USED-DEVICE
Gravedad: Low
Tipo: Microsoft Entra ID Indicator of Exposure