Usuarios con permiso para unir dispositivos

De manera predeterminada, Microsoft Entra ID concede a todos los usuarios de Entra el derecho a registrar sus dispositivos en el inquilino como dispositivos unidos a Microsoft Entra. Esta opción denominada Los usuarios pueden unir dispositivos a Microsoft Entra permite que cualquier usuario que haya iniciado sesión complete el proceso de unión. Si un agente malicioso vulnera la cuenta de un usuario normal, puede explotar este flujo de trabajo para inscribir una estación de trabajo fraudulenta que controle completamente. El dispositivo aparece en Entra ID con la víctima como propietario, hereda las políticas de gestión de dispositivos móviles (MDM) de referencia de ese usuario y proporciona al atacante un punto de apoyo persistente y de confianza dentro del entorno.

Si bien la unión de dispositivos puede desencadenar verificaciones adicionales, como la autenticación multifactor (MFA), de manera predeterminada no se exige en el momento de la inscripción. Es decir, un atacante que tenga solo una contraseña robada puede inscribir un dispositivo desde cualquier lugar. Si hay errores de configuración en Microsoft Intune o las políticas de acceso condicional, el dispositivo fraudulento puede marcarse automáticamente como conforme, de modo que se cumplen las condiciones de acceso que suprimen más desafíos de autenticación. Una vez marcado como conforme, el atacante puede acceder de manera silenciosa a los recursos de la nube que están detrás de la autenticación de Entra ID sin tener que enfrentarse a ninguna solicitud de MFA.

El equipo de respuesta ante incidentes de Microsoft documentó vulneraciones del mundo real en las que una cuenta comprometida mediante phishing se usó para unir un dispositivo fraudulento, saltarse verificaciones de cumplimiento con errores de configuración y filtrar datos confidenciales de los buzones de correo de Microsoft 365. Estos casos ponen de manifiesto cómo unas opciones de unión de dispositivos demasiado permisivas pueden ampliar drásticamente el radio de ataque de la vulneración de una sola cuenta.

Esta opción permisiva también autoriza que los empleados inscriban libremente dispositivos Windows y macOS personales (“traiga su propio dispositivo” o BYOD, por sus siglas en inglés), lo que infla el inventario de dispositivos de la organización y dificulta la detección de dispositivos malintencionados o no autorizados en esta dispersión de dispositivos sin administrar.

De manera predeterminada, cada usuario puede registrar hasta 50 dispositivos, lo que significa que una sola cuenta vulnerada puede hospedar decenas de puntos de conexión controlados por atacantes sin que se desencadenen las alertas. Estas uniones controladas por usuarios tienen lugar fuera de los flujos de aprovisionamiento seguro, como el modo de autoimplementación de Windows Autopilot, de forma que se omiten la certificación de hardware y otras medidas de protección de incorporación de las que depende el acceso condicional para comprobar la confianza de los dispositivos.

La opción predeterminada Los usuarios pueden unir dispositivos a Microsoft Entra, que se encuentra en “Configuración de dispositivos > Configuración de unión y registro de Microsoft Entra”, permite que todos los usuarios agreguen dispositivos a Entra ID.

La mitigación empieza limitando quién puede llevar a cabo uniones a Microsoft Entra. Establezca la opción “Los usuarios pueden unir dispositivos a Microsoft Entra” en “Ninguno” o restrínjala a un grupo administrativo estrictamente controlado que incluya solo al personal de incorporación o de asistencia técnica o al personal de administración de dispositivos.

Complemente este control con una política de acceso condicional dirigida a la acción de usuario “Registrar o unir dispositivos”. Establezca la política en Requerir autenticación multifactor para cada evento de unión de dispositivos. Además, si configura el acceso condicional según lo recomendado, deshabilite (establezca en “No”) el botón de alternancia “Requerir autenticación multifactor para registrar o unir dispositivos con Microsoft Entra” en el panel “Configuración de dispositivos” y asegúrese de que la política de acceso condicional ejerza el control autoritativo.

Por último, implemente la supervisión continua: habilite la auditoría de los eventos de unión de dispositivos, configure alertas para detectar patrones de registro inusuales y aplique controles operativos estrictos al rol de Entra Administrador de dispositivos en la nube para limitar quién puede leer y modificar la configuración de dispositivos.

Nombre: Usuarios con permiso para unir dispositivos

Nombre en clave: USERS-ALLOWED-TO-JOIN-DEVICES

Gravedad: Low

Tipo: Microsoft Entra ID Indicator of Exposure