All excluded objects should have a fallback include in another policy.

Γιατί είναι Σημαντικό

Όταν εξαιρείτε χρήστες ή ομάδες από μια πολιτική πρόσβασης υπό όρους χωρίς να διασφαλίζετε ότι καλύπτονται ρητά από άλλη πολιτική, δημιουργείτε κενά ασφάλειας. Οι επιτιθέμενοι ή παραβιασμένοι λογαριασμοί σε αυτές τις εξαιρούμενες ομάδες μπορεί να παρακάμπτουν κρίσιμους ελέγχους. Οι διαχειριστές IT θα πρέπει να εξετάζουν τακτικά τις εξαιρέσεις για να αποφεύγουν ακούσια τυφλά σημεία στις άμυνες πρόσβασής τους.

Τι Ελέγχει το Aether365

Αυτός ο έλεγχος εντοπίζει αντικείμενα (χρήστες, ομάδες ή ρόλους) που εξαιρούνται από μια πολιτική πρόσβασης υπό όρους αλλά δεν περιλαμβάνονται ρητά σε καμία άλλη πολιτική. Εμφανίζεται στον πίνακα ελέγχου Aether365 κάτω από την κατηγορία ελέγχων microsoft-365 με αναγνωριστικό AE.1036.

Πώς να το Διορθώσετε

1. Εξετάστε κάθε πολιτική πρόσβασης υπό όρους στην πύλη Microsoft 365 Defender ή στο Azure AD.
2. Για κάθε πολιτική με εξαιρέσεις, σημειώστε τους εξαιρούμενους χρήστες, ομάδες ή ρόλους.
3. Επαληθεύστε ότι μια ξεχωριστή πολιτική πρόσβασης υπό όρους περιλαμβάνει ρητά αυτά τα εξαιρούμενα αντικείμενα και εφαρμόζει τους ίδιους ή ισοδύναμους ελέγχους.
4. Εάν δεν υπάρχει πολιτική εναλλακτικής, δημιουργήστε μία που να περιλαμβάνει τα εξαιρούμενα αντικείμενα και να επιβάλλει κατάλληλες απαιτήσεις πρόσβασης.
5. Δοκιμάστε τη νέα πολιτική χρησιμοποιώντας το εργαλείο What If ή τη λειτουργία report-only πριν την ενεργοποιήσετε.

Συμμόρφωση

• Άλλο: Αυτός ο έλεγχος ευθυγραμμίζεται με την αρχή των μη καλυμμένων εξαιρέσεων σε πολιτικές πρόσβασης υπό όρους, όπως συνιστάται από τις βέλτιστες πρακτικές ασφάλειας της Microsoft. Δεν συνδέεται με συγκεκριμένο πλαίσιο συμμόρφωσης.

Σχετικοί Πόροι

• Conditional Access: Excluding users or groups
• Conditional Access policy design guide