All excluded objects should have a fallback include in another policy.

Proč na tom záleží

Když vyloučíte uživatele nebo skupiny z podmíněného přístupu, aniž byste zajistili, že jsou výslovně pokryti jinou zásadou, vytváříte bezpečnostní mezery. Útočníci nebo kompromitované účty v těchto vyloučených skupinách mohou obejít kritické kontroly. Správci IT by měli pravidelně kontrolovat vyloučení, aby předešli neúmyslným slepým místům ve své obraně přístupu.

Co Aether365 kontroluje

Tato kontrola identifikuje objekty (uživatele, skupiny nebo role), které jsou vyloučeny z podmíněného přístupu, ale nejsou výslovně zahrnuty v žádné jiné zásadě. V dashboardu Aether365 se zobrazuje pod kategorií kontrol microsoft-365 jako ID AE.1036.

Jak opravit

1. Zkontrolujte každou zásadu podmíněného přístupu na portálu Microsoft 365 Defender nebo v Azure AD.
2. U každé zásady s vyloučeními si poznamenejte vyloučené uživatele, skupiny nebo role.
3. Ověřte, že samostatná zásada podmíněného přístupu výslovně zahrnuje tyto vyloučené objekty a uplatňuje stejné nebo ekvivalentní kontroly.
4. Pokud neexistuje záložní zásada, vytvořte takovou, která zahrnuje vyloučené objekty a vynucuje odpovídající požadavky na přístup.
5. Otestujte novou zásadu pomocí nástroje What If nebo režimu pouze pro hlášení před jejím povolením.

Shoda s předpisy

• Jiné: Tato kontrola je v souladu s principem neodkrytých vyloučení v zásadách podmíněného přístupu, jak doporučují bezpečnostní osvědčené postupy Microsoftu. Není vázána na konkrétní rámec shody.

Související zdroje

• Podmíněný přístup: Vyloučení uživatelů nebo skupin
• Průvodce návrhem zásad podmíněného přístupu