All excluded objects should have a fallback include in another policy.

Warum das wichtig ist

Wenn Sie Benutzer oder Gruppen von einer Konditionalen Zugriffsrichtlinie ausschließen, ohne sicherzustellen, dass sie explizit durch eine andere Richtlinie abgedeckt werden, schaffen Sie Sicherheitslücken. Angreifer oder kompromittierte Konten in diesen ausgeschlossenen Gruppen können kritische Kontrollen umgehen. IT-Administratoren sollten Ausschlüsse regelmäßig überprüfen, um unbeabsichtigte blinde Flecken in ihren Zugriffsschutzmaßnahmen zu vermeiden.

Was Aether365 prüft

Diese Prüfung identifiziert Objekte (Benutzer, Gruppen oder Rollen), die aus einer Konditionalen Zugriffsrichtlinie ausgeschlossen sind, aber nicht explizit in einer anderen Richtlinie enthalten sind. Sie erscheint im Aether365-Dashboard unter der Kategorie microsoft-365-Prüfungen mit der ID AE.1036.

Behebung des Problems

1. Überprüfen Sie jede Konditionale Zugriffsrichtlinie im Microsoft 365 Defender-Portal oder Azure AD.
2. Notieren Sie sich bei jeder Richtlinie mit Ausschlüssen die ausgeschlossenen Benutzer, Gruppen oder Rollen.
3. Stellen Sie sicher, dass eine separate Konditionale Zugriffsrichtlinie diese ausgeschlossenen Objekte explizit einschließt und dieselben oder gleichwertige Kontrollen anwendet.
4. Wenn keine Ersatzrichtlinie existiert, erstellen Sie eine, die die ausgeschlossenen Objekte einschließt und angemessene Zugriffsanforderungen durchsetzt.
5. Testen Sie die neue Richtlinie mit dem Was-wäre-wenn-Tool oder im reinen Berichtsmodus, bevor Sie sie aktivieren.

Compliance

• Sonstiges: Diese Prüfung entspricht dem Prinzip der ungedeckten Ausschlüsse in Konditionalen Zugriffsrichtlinien, wie es von Microsofts Sicherheitsbest Practices empfohlen wird. Sie ist an keinen spezifischen Compliance-Rahmen gebunden.

Verwandte Ressourcen

• Conditional Access: Benutzer oder Gruppen ausschließen
• Leitfaden zum Entwurf von Konditionalen Zugriffsrichtlinien