All excluded objects should have a fallback include in another policy.
Perché è Importante
Quando si escludono utenti o gruppi da un criterio di accesso condizionato senza assicurarsi che siano coperti esplicitamente da un altro criterio, si creano falle di sicurezza. Attaccanti o account compromessi appartenenti a questi gruppi esclusi potrebbero aggirare i controlli critici. Gli amministratori IT dovrebbero rivedere regolarmente le esclusioni per evitare punti ciechi involontari nelle loro difese di accesso.
Cosa Controlla Aether365
Questo controllo identifica oggetti (utenti, gruppi o ruoli) che sono esclusi da un criterio di accesso condizionato ma non sono esplicitamente inclusi in nessun altro criterio. Appare nella dashboard di Aether365 sotto la categoria di controlli microsoft-365 con ID AE.1036.
Come Risolvere
- Esaminare ogni criterio di accesso condizionato nel portale di Microsoft 365 Defender o in Azure AD.
- Per ogni criterio con esclusioni, annotare gli utenti, i gruppi o i ruoli esclusi.
- Verificare che un criterio di accesso condizionato separato includa esplicitamente tali oggetti esclusi e applichi gli stessi controlli o controlli equivalenti.
- Se non esiste un criterio di fallback, crearne uno che includa gli oggetti esclusi e applichi i requisiti di accesso appropriati.
- Testare il nuovo criterio utilizzando lo strumento What If o la modalità solo report prima di abilitarlo.
Conformità
- Altro: Questo controllo è in linea con il principio di non avere esclusioni scoperte nei criteri di accesso condizionato, come raccomandato dalle best practice di sicurezza Microsoft. Non è legato a uno specifico framework di conformità.
Risorse Correlate
- Accesso condizionato: esclusione di utenti o gruppi
- Guida alla progettazione dei criteri di accesso condizionato