언어:
사용한 적 없는 장치란 Entra ID에서 만든 이후 특정 기간(기본적으로 90일, 사용자 지정 가능) 동안 인증된 적이 없는 장치 계정입니다.
상황에 따라 관리자가 컴퓨터 계정을 미리 만들 수 있는 Active Directory와는 달리 Microsoft Entra ID에는 장치 계정을 미리 만드는 기능이 없습니다. 하지만 Microsoft Entra Connect를 통해 Entra ID에도 미리 만든 장치 계정이 존재할 수 있습니다. Microsoft Entra 하이브리드 조인을 사용으로 설정하면 Entra Connect가 Active Directory에 있는 것과 상응하는 컴퓨터 계정을 Entra ID에 미리 만듭니다.
사용한 적 없는 장치 계정에는 단순히 사이버 하이진 불량인 것부터 완전히 의심스러운 것까지 다양한 종류가 있으며, 공격자가 AADInternals와 같은 공격 도구를 사용하고 있다는 의미를 시사할 가능성이 있습니다.
관련 IoE인 "휴면 장치"도 고려해야 합니다. 이 IoE는 이전에 활성이었지만 이후 비활성이 된 모든 장치를 식별합니다.
참고:
approximateLastSignInDateTime
속성에 의존하며 이 속성은 실시간으로 업데이트되지 않습니다. 현재 값은 차이가 14일(+/-5일)을 초과해야만 업데이트됩니다.Tenable에서는 사용한 적 없는 장치를 정기적으로 검토하고, 사용 중지하거나 삭제하도록 권장합니다. 이러한 장치를 식별한 뒤에는 다음과 같은 작업을 수행합니다.
Microsoft에서 방법: Microsoft Entra ID에서 오래된 장치 관리에 관한 가이드를 발행했습니다. 이 가이드를 보면 장치의 조인 유형을 기준으로(예: Microsoft Entra 등록됨, Microsoft Entra 조인됨 등) 오래된 장치를 관리하는 방법을 알 수 있습니다. 장치를 삭제하기 전에 이 가이드를 검토하는 것이 좋습니다.
이름: 사용한 적 없는 장치
코드명: NEVER-USED-DEVICE
심각도: Low
유형: Microsoft Entra ID Indicator of Exposure