All excluded objects should have a fallback include in another policy.
Miksi tällä on merkitystä
Kun jätät käyttäjiä tai ryhmiä ehdotetun käytön hallinnan (Conditional Access) käytännön ulkopuolelle varmistamatta, että toinen käytäntö kattaa heidät nimenomaisesti, luot tietoturva-aukkoja. Hyökkääjät tai vaarantuneet tilit näiden ulkopuolelle jätettyjen ryhmien sisällä voivat ohittaa kriittisiä suojauksia. IT-järjestelmänvalvojien tulisi tarkistaa poikkeukset säännöllisesti välttääkseen tahattomia sokeita pisteitä käyttöoikeuksien puolustuksessa.
Mitä Aether365 tarkistaa
Tämä tarkistus tunnistaa objektit (käyttäjät, ryhmät tai roolit), jotka on jätetty ehdotetun käytön hallinnan käytännön ulkopuolelle, mutta joita ei ole erikseen sisällytetty mihinkään muuhun käytäntöön. Se näkyy Aether365-hallintapaneelissa microsoft-365-tarkistuskategoriassa tunnuksella AE.1036.
Korjaaminen
- Tarkista jokainen ehdotetun käytön hallinnan käytäntö joko Microsoft 365 Defender -portaalissa tai Azure AD:ssa.
- Merkitse jokaisen poikkeuksia sisältävän käytännön kohdalla ylös käyttäjät, ryhmät tai roolit, jotka on jätetty ulkopuolelle.
- Varmista, että erillinen ehdotetun käytön hallinnan käytäntö sisältää nämä ulkopuolelle jätetyt objektit nimenomaisesti ja soveltaa samoja tai vastaavia suojauksia.
- Jos korvaavaa käytäntöä ei ole, luo yksi, joka sisältää ulkopuolelle jätetyt objektit ja asettaa asianmukaiset käyttövaatimukset.
- Testaa uusi käytäntö What If -työkalulla tai report-only-tilassa ennen käyttöönottoa.
Vaatimustenmukaisuus
- Muu: Tämä tarkistus noudattaa periaatetta, jonka mukaan ehdotetun käytön hallinnan käytännöissä ei ole katettuja poikkeuksia, kuten Microsoftin tietoturvan parhaat käytännöt suosittelevat. Se ei ole sidottu tiettyyn vaatimustenmukaisuuskehykseen.