All excluded objects should have a fallback include in another policy.
Hvorfor dette er vigtigt
Når du udelukker brugere eller grupper fra en betinget adgangspolitik uden at sikre, at de er eksplicit dækket af en anden politik, skaber du sikkerhedshuller. Angribere eller kompromitterede konti i disse udelukkede grupper kan omgå kritiske kontroller. IT-administratorer bør jævnligt gennemgå udelukkelser for at undgå utilsigtede blinde vinkler i deres adgangsforsvar.
Hvad Aether365 kontrollerer
Denne kontrol identificerer objekter (brugere, grupper eller roller), der er udelukket fra en betinget adgangspolitik, men som ikke er eksplicit inkluderet i nogen anden politik. Den vises i Aether365-dashboardet under kategorien microsoft-365-checks som ID AE.1036.
Sådan løser du det
- Gennemgå hver betinget adgangspolitik i Microsoft 365 Defender-portalen eller Azure AD.
- For hver politik med udelukkelser noteres de udelukkede brugere, grupper eller roller.
- Bekræft, at en separat betinget adgangspolitik eksplicit inkluderer disse udelukkede objekter og anvender samme eller tilsvarende kontroller.
- Hvis der ikke findes en reservepolitik, skal du oprette en, der inkluderer de udelukkede objekter og håndhæver passende adgangskrav.
- Test den nye politik ved hjælp af hvad-hvis-værktøjet eller rapporterings-tilstand, før du aktiverer den.
Overholdelse
- Andet: Denne kontrol er i overensstemmelse med princippet om uafdækkede udelukkelser i betingede adgangspolitikker, som anbefalet af Microsofts sikkerhedsbedste praksis. Den er ikke knyttet til en bestemt overholdelsesramme.