Glömda resurskonton är en av de mest förbisedda identitetsriskerna i Microsoft Entra ID. De passerar ofta under radarn eftersom de är olicensierade och lågprofilerade konton som gradvis försvagar både säkerhet och regelefterlevnad.

När det gäller säkerheten i Entra ID fokuserar många organisationer på projekt som Conditional Access, automatisering av identitetens livscykel och hantering av privilegierad åtkomst.

Men ibland kommer de största vinsterna från enkla åtgärder.
En av de mest förbisedda lågt hängande frukterna är denna:

Resurskonton som fortfarande har inloggning aktiverad.

Delade mailboxes, mötesrums- och utrustningsmailboxes i Microsoft 365 gör samarbetet smidigare.
Men användarobjekten bakom dem i Entra ID förblir ofta aktiva, vilket skapar en tyst men reell säkerhetsrisk som många organisationer fortfarande förbiser.

I nästan alla organisationer ser vi att resurskonton blir stående öppna och bortglömda. Det är en liten detalj, men en som gör stor skillnad när den väl åtgärdas.

Vad är resurskonton i Microsoft Entra ID?

När du skapar en delad mailbox eller ett mötesrum i Microsoft 365 skapas automatiskt ett användarobjekt i Entra ID.

Dessa resurskonton är avsedda att användas via delegering, inte genom direkt inloggning.

De tillhör ingen person, kräver vanligtvis ingen licens och syns sällan i dagliga administrationsvyer.
Det gör dem lätta att glömma – och ofta lämnas de med inloggning fortfarande aktiverad.

Varför man glömmer att blockera inloggning för delade mailboxes och mötesrum

Även mogna IT-miljöer förbiser dessa konton. Det beror inte på slarv, utan på hur Microsoft 365 skapar dem.

• Standardinställningar: Beroende på hur de skapas kan resurskonton börja med inloggning aktiverad.

• Dolda av design: De smälter in bland vanliga användarkonton och dyker ofta inte upp i licens- eller kostnadsrapporter.

• Oklart ägarskap: Ingen "äger" ett mötesrum eller en delad mailbox, så ansvaret hamnar lätt mellan stolarna.

• Rädsla för att bryta åtkomst: Vissa tror att blockering av inloggning stoppar delegerad åtkomst. Det gör det inte – delegering fortsätter att fungera.

• Policy-blindzoner: Automatiserade livscykelprocesser hoppar ofta över dessa konton eftersom de är olicensierade eller systemgenererade.

Resultatet är hundratals diskreta, aktiva konton i stora tenants, som tyst står kvar med svagt skydd.

Varför aktiverade resurskonton utgör en säkerhetsrisk

Att låta resurskonton stå kvar med aktiv inloggning öppnar en förvånansvärt stor attackyta i Entra ID.

Dessa konton har ofta:

• Ingen registrerad MFA

• Systemgenererade eller aldrig ändrade lösenord

• Ingen täckning av Conditional Access eller övervakningspolicyer
  
  

För en angripare är denna kombination guld värd. Resurskonton är lågt prioriterade, sällan övervakade och dåligt skyddade – vilket gör dem till perfekta mål för password spray- och credential stuffing-attacker.

När de väl har komprometterats kan angripare göra mer än att läsa e-post. De kan:

• Utge sig för interna användare och skicka övertygande phishing-meddelanden inom organisationen

• Använda mailboxes som en språngbräda för lateral rörelse, eskalera privilegier eller samla intern information

• Utnyttja sårbarheter i MFA-registrering genom att lägga till egna metoder och behålla långvarig åtkomst som ser legitim ut

Eftersom dessa konton sällan genererar aktivitet eller varningar kan skadliga inloggningar förbli oupptäckta i månader.
Det är en tyst och ihållande risk som sällan syns i rapporter förrän någon granskar närmare.

Flera säkerhetsexperter har beskrivit problemet. Artikeln “Scared Mailbox” från Cyberdom förklarar tydligt hur delade mailboxes, ofta betraktade som ofarliga, kan bli attraktiva ingångar för angripare när inloggning inte är blockerad.

MFA-täckning och efterlevnad

Att låta resurskonton vara aktiva handlar inte bara om risk – det påverkar även MFA-täckningsgraden, en viktig indikator för säkerhet och efterlevnad i de flesta organisationer.

Eftersom dessa konton saknar MFA sänker de den totala MFA-adoptionen, vilket får miljön att framstå som mindre säker i dashboards och rapporter.

Och om tenanten inte begränsar Security Info-registrering uppstår en ännu större risk:
Den första som loggar in med rätt användarnamn och lösenord – oavsett om det är en legitim användare eller en angripare – kommer att uppmanas att registrera MFA.

Vid det tillfället vet du inte om MFA tillhör en administratör eller en angripare.
När den väl har registrerats ser kontot säkert ut i rapporter, men kan redan vara komprometterat.

Ett litet konfigurationsfel. Ett stort problem som väntar på att hända.

Hur man åtgärdar och förebygger glömda resurskonton i Entra ID

Microsoft rekommenderar att blockera inloggning för mötesrum, utrustning och delade mailboxes.

En strukturerad metod gör det enkelt att åtgärda och förhindra.

1. Blockera inloggning för oanvända resurskonton
   Börja med att identifiera alla resurskonton som inte har loggat in nyligen.
   Använd PowerShell eller annan rapporteringsmetod för att lista dem och sedan blockera inloggning för varje konto som inte behöver det.
   Det minskar omedelbart din attackyta och förbättrar MFA-täckning.
   
   

2. Säkra kontona som måste förbli aktiva
   Vissa resurskonton, såsom Teams Mötesrum, behöver verkligen inloggning.
   Säkra dem ordentligt:

   • Tvinga starka, unika lösenord

   • Applicera villkorlig åtkomst som begränsar inloggningar till betrodda enheter, nätverk eller platser

   • Följ Microsofts anvisningar för Teams Rums, som rekommenderar enhetsbaserade kontroller och att inte använda interaktiv MFA för själva rums kontot

   • Övervaka deras inloggningar genom Entra ID inloggningsloggar
     
     

3. Förbättra din provisioneringsprocess
   Förhindra att problemet återkommer genom att förbättra hur resurskonton skapas.
   Blockera inloggning som standard när nya resursbrevlådor provisioneras, om det inte finns ett tydligt affärsbehov.
   Detta kan automatiseras genom policy, skript eller administrativa mallar.

Script för avancerade användare

Om du föredrar en praktisk metod, har Office 365 IT Pros en utmärkt artikel som visar hur man identifierar delade delade mailboxes med aktiva inloggningar med hjälp av PowerShell. Den beskriver hur du kopplar delade mailboxes till Entra ID-konton, kontrollerar senaste inloggningar och inaktiverar oanvända konton.

Hur Bsure förenklar processen

Om du vill slippa manuell skripting för att hitta inaktiva resurskonton gör Bsure Insights processen snabbare och tydligare.

User Purpose-filtret visar direkt alla delade mailboxes, rum och utrustningskonton i hela tenanten. Du kan se vilka konton som är aktiva, inaktiva eller saknar MFA-täckning – och agera med bara några få klick.

Inga skript. Inga exporter. Bara insyn och kontroll.

Låg insats. Hög inverkan.
Upptäck och säkra glömda resurskonton med Bsure Insights. Den snabbaste vägen till starkare identitetshygien.

Glömda resurskonton är en av de enklaste identitetsriskerna att eliminera. Genom att ta några minuter för att blockera inloggning stärks säkerheten och förbättras MFA-täckning omedelbart.

Rekommenderad läsning

• Finding Shared Mailboxes with User Sign-ins (Office 365 IT Pros)

• Scared Mailbox: The Risks with Shared Mailboxes (Cyberdom)

• Microsoft Learn: Block Sign-in for Shared Mailboxes

• Microsoft Learn: Conditional Access for Teams Rooms