All excluded objects should have a fallback include in another policy.

Por qué es importante

Cuando excluyes usuarios o grupos de una política de acceso condicional sin asegurarte de que otra política los cubra explícitamente, creas brechas de seguridad. Los atacantes o cuentas comprometidas en estos grupos excluidos pueden eludir controles críticos. Los administradores de TI deben revisar las exclusiones periódicamente para evitar puntos ciegos no intencionados en sus defensas de acceso.

Qué comprueba Aether365

Esta comprobación identifica objetos (usuarios, grupos o roles) que están excluidos de una política de acceso condicional pero no están incluidos explícitamente en ninguna otra política. Aparece en el panel de Aether365 bajo la categoría de comprobaciones de microsoft-365 con el ID AE.1036.

Cómo solucionarlo

1. Revisa cada política de acceso condicional en el portal de Microsoft 365 Defender o en Azure AD.
2. Para cada política con exclusiones, anota los usuarios, grupos o roles excluidos.
3. Verifica que una política de acceso condicional independiente incluya explícitamente esos objetos excluidos y aplique los mismos controles o equivalentes.
4. Si no existe una política de respaldo, crea una que incluya los objetos excluidos y aplique requisitos de acceso adecuados.
5. Prueba la nueva política con la herramienta What If o en modo solo informe antes de activarla.

Cumplimiento normativo

• Otros: Esta comprobación se alinea con el principio de exclusiones sin cobertura en las políticas de acceso condicional, según lo recomendado por las prácticas recomendadas de seguridad de Microsoft. No está vinculada a un marco normativo específico.

Recursos relacionados

• Conditional Access: Excluding users or groups
• Conditional Access policy design guide