All excluded objects should have a fallback include in another policy.
Miért fontos ez
Amikor kizár felhasználókat vagy csoportokat egy feltételes hozzáférési házirendből anélkül, hogy biztosítaná, hogy egy másik házirend kifejezetten lefedje őket, biztonsági réseket hoz létre. A kizárt csoportokban lévő támadók vagy feltört fiókok megkerülhetik a kritikus védekező intézkedéseket. Az informatikai rendszergazdáknak rendszeresen felül kell vizsgálniuk a kizárásokat, hogy elkerüljék a véletlen vakfoltokat a hozzáférési védelemben.
Mit ellenőriz az Aether365
Ez az ellenőrzés azonosítja azokat az objektumokat (felhasználókat, csoportokat vagy szerepköröket), amelyek ki vannak zárva egy feltételes hozzáférési házirendből, de más házirend kifejezetten nem foglalja magában őket. Az Aether365 irányítópulton a microsoft-365 ellenőrzések kategóriában jelenik meg AE.1036 azonosítóval.
Javítás menete
- Tekintse át az egyes feltételes hozzáférési házirendeket a Microsoft 365 Defender portálon vagy az Azure AD-ben.
- Minden olyan házirendnél, amely kizárásokat tartalmaz, jegyezze fel a kizárt felhasználókat, csoportokat vagy szerepköröket.
- Ellenőrizze, hogy egy külön feltételes hozzáférési házirend kifejezetten tartalmazza ezeket a kizárt objektumokat, és ugyanazokat vagy azzal egyenértékű védekező intézkedéseket alkalmazza.
- Ha nem létezik tartalék házirend, hozzon létre egyet, amely tartalmazza a kizárt objektumokat, és megfelelő hozzáférési követelményeket ír elő.
- Tesztelje az új házirendet a What If eszközzel vagy csak-jelentés módban, mielőtt engedélyezné.
Megfelelőség
- Egyéb: Ez az ellenőrzés összhangban van a feltételes hozzáférési házirendek fedetlen kizárásainak elkerülésére vonatkozó elvvel, amelyet a Microsoft biztonsági ajánlásai javasolnak. Nem kötődik konkrét megfelelőségi keretrendszerhez.
Kapcsolódó források
- Conditional Access: Felhasználók vagy csoportok kizárása
- Conditional Access házirend tervezési útmutató