All excluded objects should have a fallback include in another policy.
Miks see on oluline
Kui välistate kasutajaid või rühmi tingimusliku juurdepääsu poliitikast ilma, et tagate nende selgesõnalist katmist teise poliitikaga, tekitate turvalünki. Ründajad või ohustatud kontod nendes välistatud rühmades võivad mööda hiilida kriitilistest juhtnööridest. IT-administraatorid peaksid regulaarselt üle vaatama välistusi, et vältida tahtmatuid pimealasid oma juurdepääsukaitse meetmetes.
Mida Aether365 kontrollib
See kontroll tuvastab objektid (kasutajad, rühmad või rollid), mis on välistatud tingimusliku juurdepääsu poliitikast, kuid mida ei ole selgesõnaliselt kaasatud ühtegi teise poliitikasse. See kuvatakse Aether365 töölaual kategoorias microsoft-365 kontrollid ID-ga AE.1036.
Kuidas parandada
- Vaadake üle iga tingimusliku juurdepääsu poliitika Microsoft 365 Defender portaalis või Azure AD-s.
- Iga välistustega poliitika puhul märkige üles välistatud kasutajad, rühmad või rollid.
- Veenduge, et eraldi tingimusliku juurdepääsu poliitika hõlmab selgesõnaliselt neid välistatud objekte ja rakendab samu või samaväärseid juhtnööre.
- Kui varupoliitikat pole, looge uus, mis hõlmab välistatud objekte ja kehtestab asjakohased juurdepääsunõuded.
- Testige uut poliitikat tööriistaga "What If" või ainult aruandlusrežiimis, enne kui selle lubate.
Vastavus
- Muu: See kontroll on kooskõlas põhimõttega, et tingimusliku juurdepääsu poliitikates ei tohi olla katmata välistusi, nagu soovitavad Microsoft turvalisuse head tavad. See ei ole seotud konkreetse vastavusraamistikuga.
Seotud ressursid
- Tingimuslik juurdepääs: Kasutajate või rühmade välistamine
- Tingimusliku juurdepääsu poliitika kavandamise juhend