Blokkeer Device Code Flow Authenticatie [CHK-1172]
Deze controle verifieert of er een Conditional Access beleid is om Device Code Flow authenticatie te blokkeren.
Rationale
Device Code Flow authenticatie wordt gebruikt om apparaten zoals Smart TV's en IoT apparaten, waarop authenticatie met gebruikersnaam en wachtwoord niet werkt, aan te melden bij Microsoft 365. Cybercriminelen kunnen deze functie echter misbruiken om toegang te krijgen en/of te behouden tot een account.
Fix
Een geautomatiseerde oplossing is beschikbaar via Attic.
Voor handmatige stappen:
- Open het Entra admin center via https://entra.microsoft.com
- Ga naar Protection > Conditional Access > Policies
- Klik op New Policy
- Onder Assignments, selecteer Users or workload identities
- Onder Include, selecteer All users
- Onder Target resources > Resources (formerly cloud apps) > Include: selecteer All resources
- Onder Conditions > Authentication flows zet Configure op Yes
- Selecteer Device code flow
- Klik Done
- Onder Access controls > Grant, selecteer Block access. Klik Select
- Bevestig de instellingen en plaats de Enable Policy in Report-Only
- Klik Create om de policy in te schakelen
Impact
Het inschakelen van deze policy helpt potentiële phishing-aanvallen te voorkomen die misbruik maken van Device Code Flow authenticatie.