Glemte ressurskontoer er en av de mest oversette identitetsrisikoene i Microsoft Entra ID. De glir ofte under radaren fordi de er ulisensierte, lite synlige kontoer som svekker sikkerhet og samsvar.

Når det gjelder sikkerhet i Entra ID, fokuserer mange organisasjoner på prosjekter som Conditional Access, automatisering av identitetslivssyklusen og administrasjon av privilegert tilgang.

Men noen ganger kommer de største gevinstene fra enkle grep.
En av de mest lavthengende fruktene er:

Ressurskontoer som er aktivert for pålogging.

Delte mailbokser, møterom- og utstyrsmailbokser i Microsoft 365 gjør samarbeid enkelt. Men brukerobjektene bak dem i Entra ID blir ofte værende aktive, og det skaper en lite synlig sikkerhetsrisiko som de fleste organisasjoner fortsatt overser.

I nesten alle organisasjoner ser vi at ressurskontoer blir stående åpne og glemt. Det er en liten detalj, men en som gjør stor forskjell når den først blir ryddet opp i.

Hva er ressurskontoer i Microsoft Entra ID?

Når du oppretter en delt mailboks eller et møterom i Microsoft 365, opprettes et brukerobjekt automatisk i Entra ID.

Disse ressurskontoene er ment å bli brukt via delegering, ikke ved at noen logger inn direkte.

De tilhører ikke en person, de trenger vanligvis ikke lisenser, og de dukker sjelden opp i daglige administrasjonsdashbord. Det gjør dem lette å glemme, og ofte blir de værende med pålogging fortsatt aktivert.

Hvorfor man glemmer å blokkere pålogging for delte mailbokser og møterom

Selv modne IT-miljøer overser disse kontoene. Det er ikke uaktsomhet; det er slik Microsoft 365 oppretter dem.

• Standardinnstillinger: Avhengig av hvordan de er opprettet, kan ressurskontoer starte med pålogging aktivert.

• Skjult av design: De blander seg med vanlige brukerkontoer og dukker ofte ikke opp i lisens- eller kostnadsrapporter.

• Ingen tydelig eier: Ingen "eier" et møterom eller en delt mailboks, så ingen føler ansvar for det.

• Frykt for å bryte tilgang: Noen antar at blokkering av pålogging vil stoppe delegering. Det vil det ikke. Delegering fortsetter å fungere.

• Policy blindspots: Livssyklusautomasjon hopper ofte over disse kontoene fordi de er ulisensierte eller systemgenererte.

Resultatet er hundrevis av umerkelige, aktive kontoer i store leietakere, som stille sitter der med svake beskyttelser.

Hvorfor aktiverte ressurskontoer skaper en sikkerhetsrisiko

Å la pålogging stå aktivert på ressurskontoer åpner en overraskende stor angrepsflate i Entra ID.

Disse kontoene har vanligvis:

• Ingen MFA registrert

• Bruker systemgenererte eller aldri-endrede passord

• Er utenfor Conditional access og overvåkingspolicyer
  
  

For en angriper er denne kombinasjonen rent gull. Ressurskontoer er litete synlige, lite prioriterte og sjelden beskyttet, noe som gjør dem til ideelle mål for password spray og credential stuffing-angrep.

Når de er kompromittert, kan angripere gjøre mer enn bare å lese e-poster. De kan:

• Utgi seg for interne brukere for å sende overbevisende phishing-meldinger i organisasjonen din

• Bruke postboksen som et utgangspunkt for laterale bevegelser, eskalere privilegier eller samle intern informasjon

• Utnytte MFA registreringssårbarheter, registrere sine egne MFA-metoder og opprettholde langsiktig tilgang som ser legitim ut

Fordi disse kontoene genererer liten aktivitet og sjelden utløser varsler, kan ondsinnede pålogginger forbli umerket i flere måneder. Det er en av disse stille, vedvarende risikoene som ikke vises i rapporter før noen ser nærmere.

Risikoene er godt beskrevet flere steder. “Scared Mailbox”-artikkelen fra Cyberdom gir en utmerket gjennomgang av hvordan delte mailbokser, ofte antatt ufarlige, kan bli verdifulle inngangspunkter for angripere når påloggingen står åpen.

MFA-dekning og samsvarspåvirkning

Å la ressurskontoer være aktive påvirker mer enn bare risiko. Det påvirker også MFA-dekningsgraden din, en viktig samsvarsmåling i de fleste organisasjoner.

Fordi disse kontoene mangler MFA, senker de din totale MFA-adopteringsprosent, noe som får miljøet ditt til å virke mindre sikkert i dashbord og rapporter.

Og hvis tenanten din ikke begrenser sikkerhetsinfo-registrering, er det en enda større fare.
Den første personen som logger inn med riktig passord, enten legitim eller ikke, vil bli bedt om å registrere MFA.

På det tidspunktet kan du ikke si om den registrerte MFA'en tilhører en administrator eller en angriper. Når den først er registrert, ser kontoen sikker ut i dashbord, men kan allerede være kompromittert.

Et lite konfigurasjonshull. Et stort problem som venter på å skje.

Hvordan fikse og forhindre glemte ressurskontoer i Entra ID

Microsoft anbefaler å blokkere pålogginger for møterom, utstyr og delte mailbokser.

En strukturert tilnærming gjør det enkelt å fikse og forhindre.

1. Blokker pålogging for ubrukte ressurskontoer
   Start med å identifisere alle ressurskontoer som ikke har logget inn nylig.
   Bruk PowerShell eller en annen rapporteringsmetode for å liste dem, deretter blokker pålogging for hver konto som ikke trenger det.
   Dette reduserer umiddelbart din angrepsflate og forbedrer MFA-dekningen.
   
   

2. Sikre kontoene som må forbli aktive
   Noen ressurskontoer, som Teams-møterom, trenger pålogging.
   Sikre dem riktig:

   • Håndhev sterke, unike passord

   • Bruk Betinget tilgang som begrenser pålogginger til betrodde enheter, nettverk eller steder

   • Følg Microsoft veiledning for Teams-rom, som anbefaler enhetsbaserte kontroller og ikke bruker interaktiv MFA for selve romkontoen

   • Overvåk deres pålogginger gjennom Entra ID påloggingslogger
     
     

3. Forbedre din prosesser
   Forhindre at problemet gjentar seg ved å forbedre hvordan ressurskontoer opprettes.
   Blokker pålogging som standard når nye ressurs-inbokser opprettes, med mindre det er et klart forretningsbehov.
   Dette kan automatiseres gjennom policy, skripting eller administrative maler.

Skript for avanserte brukere

Hvis du foretrekker en praktisk metode, har Office 365 IT Pros en utmerket artikkel som viser hvordan du kan identifisere delte mailbokser med aktive pålogginger ved hjelp av PowerShell. Den går gjennom kartlegging av delte mailbokser til deres Entra ID-kontoer, sjekker nylige pålogginger og deaktiverer ubrukte.

Hvordan Bsure forenkler det

Hvis du ønsker å hoppe over manuell skripting for å finne de inaktive ressurskontoene, gjør Bsure Insights prosessen rask og tydeligere.

User Purpose-filteret viser umiddelbart alle delte postbokser, rom og utstyrskontoer i hele tenanten din. Du kan se hvilke kontoer som er aktive, inaktive eller mangler MFA-dekning, og ta grep med bare noen få klikk.

Ingen skript. Ingen eksporter. Bare synlighet og kontroll.

Liten innsats. Stor innvirkning.
Oppdag og sikre glemte ressurskontoer med Bsure Insights. Den raskeste veien til bedre identitetshygiene.

Glemte ressurskontoer er en av de enkleste identitetsrisikoene å eliminere. Å bruke noen minutter på å blokkere pålogging forsterker sikkerheten og forbedrer MFA-dekningen umiddelbart.

Anbefalt lesning

• Finding Shared Mailboxes with User Sign-ins (Office 365 IT Pros)

• Scared Mailbox: The Risks with Shared Mailboxes (Cyberdom)

• Microsoft Learn: Block Sign-in for Shared Mailboxes

• Microsoft Learn: Conditional Access for Teams Rooms