Problemet:
Ukontrollert tenant-tilgang
En MDM-administrert enhet med Azure Virtual Desktop-klient kan i dag koble til hvilken som helst Azure-tenant.
Hva er en Azure-tenant?
En Azure-tenant er en organisasjons dedikerte instans av Microsoft Entra ID (tidligere Azure AD). Alle Microsoft 365- og Azure-tjenester — inkludert AVD/WVD — er knyttet til en spesifikk tenant. Autentisering skjer via login.microsoftonline.com, som er delt infrastruktur for alle tenanter.
Angrepsvektoren
Administrert enhet med AVD-klient
│
│ Ingenting hindrer dette
│
├──► Din tenant (legitimt)
│ AVD-ressurser, bedriftsdata
│
└──► Rogue tenant (ukontrollert)
Angriper-kontrollert AVD
Kan brukes til datautfiltrering
Ingen synlighet for IT/sikkerhetsavdeling
Hvorfor er dette et problem?
En bruker eller et kompromittert system kan kopiere data fra bedriftens AVD til en angriper-kontrollert tenant via klipp-og-lim eller filoverføring i AVD-klienten.
Tilkoblinger til fremmede tenanter er ikke synlige i bedriftens logginfrastruktur. IT-avdelingen ser at AVD-klienten kjører, men ikke hvilken tenant den kobler til.
Angripere kan sette opp en tenant som ser identisk ut som bedriftens miljø og lure brukere til å autentisere og arbeide i det falske miljøet.
Regulatoriske krav (GDPR, NIS2) krever at organisasjoner har kontroll over hvor data behandles. Ukontrollert tenant-tilgang undergraver disse kontrollene.
Eksisterende begrensninger
Finnes, men krever at nettverksproxyen injiserer HTTP-headere i autentiseringsforespørslene. Fungerer ikke uten en kontrollert nettverksvei — som er akkurat det vi mangler.
Conditional Access kan kreve enhetssertifikat, men verifiserer ikke hvilken tenant enheten kobler til. En administrert enhet kan fremdeles nå fremmede tenanter.
Kjerneproblemet: Det finnes ingen OS-nivå mekanisme på macOS/iOS som tvinger AVD-klienttrafikk til å gå gjennom en kontrollert vei. Uten en slik mekanisme er Tenant Restrictions v2 ikke håndhevbar på klientnivå.