Utilisateurs autorisés à joindre des appareils

Par défaut, Microsoft Entra ID accorde à tous les utilisateurs d'Entra le droit d'enregistrer leurs appareils sur le tenant en tant qu'appareils joints Microsoft Entra. Ce paramètre appelé Les utilisateurs peuvent joindre des appareils à Microsoft Entra permet à n'importe quel utilisateur connecté d'effectuer le processus de jonction. Si un attaquant compromet un compte utilisateur standard, il peut exploiter ce workflow pour inscrire une station de travail malveillante qu'il contrôle entièrement. L'appareil apparaît dans Entra ID avec la victime comme propriétaire, hérite des stratégies de base de gestion des appareils mobiles (MDM) de cet utilisateur, et offre à l'attaquant une présence persistante et fiable dans l'environnement.

Bien que la jonction d'un appareil puisse déclencher des vérifications supplémentaires comme l'authentification multifacteur (MFA), elle n'est pas requise par défaut lors de l'inscription. Autrement dit, il suffit d'un mot de passe volé pour permettre à un attaquant d'inscrire un appareil depuis n'importe où. En cas de mauvaises configurations dans les stratégies Microsoft Intune ou d'accès conditionnel, l'appareil malveillant peut être automatiquement marqué comme conforme et satisfaire aux conditions d'accès qui l'exonèrent de toute demande d'authentification supplémentaire. Une fois devenu conforme, l'attaquant peut accéder silencieusement aux ressources cloud après s'être authentifié auprès d'Entra ID sans jamais être confronté à une invite de MFA.

L'équipe de réponse aux incidents de Microsoft a documenté des violations réelles au cours desquelles un compte hameçonné a été utilisé pour joindre un appareil malveillant, contourner des contrôles de conformité mal configurés et exfiltrer des données sensibles à partir des messageries Microsoft 365. Ces cas mettent en évidence que des paramètres de jonction d'appareil trop laxistes peuvent considérablement élargir le rayon d'impact d'un seul compte en matière de compromission.

Ce paramètre laxiste permet également aux employés d'inscrire librement des appareils Windows et macOS privés (utilisation des appareils personnels au travail, ou BYOD), ce qui agrandit l'inventaire des appareils de l'organisation et complique la détection des appareils malveillants ou non autorisés en raison de cette prolifération non gérée.

Par défaut, chaque utilisateur peut enregistrer jusqu'à 50 appareils, ce qui signifie qu'un seul compte compromis peut en théorie héberger des dizaines de terminaux contrôlés par des attaquants sans déclencher d'alerte. Ces jonctions gérées par les utilisateurs ont lieu en dehors des flux de provisionnement sécurisés comme le mode de déploiement automatique Windows Autopilot ; elles contournent l'attestation matérielle et d'autres dispositifs de protection dont dépend l'accès conditionnel pour vérifier l'approbation des appareils.

Le paramètre par défaut Les utilisateurs peuvent joindre des appareils à Microsoft Entra, disponible dans « Paramètres de l'appareil > Paramètres de jonction et d'enregistrement Microsoft Entra », permet à tous les utilisateurs d'ajouter des appareils à Entra ID.

L'atténuation commence par limiter le nombre d'utilisateurs autorisés à effectuer des jonctions avec Microsoft Entra. Définissez « Les utilisateurs peuvent joindre des appareils à Microsoft Entra » sur « Aucun » ou bien limitez le paramètre à un groupe d'administration étroitement contrôlé qui comprend uniquement du personnel en charge de l'accueil et de l'assistance, ou du personnel en charge de l'administration des appareils.

Doublez ce contrôle d'une stratégie d'accès conditionnel ciblant l'action utilisateur « Inscrire ou joindre des appareils ». Définissez la stratégie sur Exiger une authentification multifacteur pour chaque événement de jonction d'appareil. En outre, si vous configurez l'accès conditionnel en suivant les recommandations, désactivez (définissez sur « Non ») le curseur « Exiger une authentification multifacteur pour enregistrer ou joindre des appareils avec Microsoft Entra » dans le panneau « Paramètres de l'appareil », en vous assurant que la stratégie Accès conditionnel est le contrôle faisant autorité.

Enfin, mettez en place une surveillance continue : activez l'audit pour les événements de jonction d'appareil, configurez des alertes pour les modèles d'enregistrement inhabituels et appliquez des contrôles opérationnels stricts au rôle Administrateur d'appareil cloud d'Entra, afin de limiter les accès en lecture et en modification aux paramètres de l'appareil.

Nom: Utilisateurs autorisés à joindre des appareils

Nom de code: USERS-ALLOWED-TO-JOIN-DEVICES

Sévérité: Low

Type: Microsoft Entra ID Indicator of Exposure