All excluded objects should have a fallback include in another policy.

Kodėl tai svarbu

Kai iš sąlyginės prieigos politikos pašalinate naudotojus ar grupes, neužtikrinę, kad jie būtų aiškiai įtraukti į kitą politiką, sukuriate saugumo spragas. Šiose pašalintose grupėse esantys užpuolikai arba pažeisti naudotojai gali apeiti kritinius apsaugos mechanizmus. IT administratoriai turėtų reguliariai peržiūrėti pašalinimus, kad išvengtų netyčinių aklųjų zonų prieigos gynyboje.

Ką tikrina "Aether365"

Šis patikrinimas nustato objektus (naudotojus, grupes arba vaidmenis), kurie yra pašalinti iš sąlyginės prieigos politikos, bet nėra aiškiai įtraukti į jokią kitą politiką. Jis rodomas "Aether365" valdymo skydelyje po "microsoft-365" patikrinimų kategorija kaip ID AE.1036.

Kaip ištaisyti

1. Peržiūrėkite kiekvieną sąlyginės prieigos politiką "Microsoft 365 Defender" portale arba "Azure AD".
2. Kiekvienai politikai su pašalinimais pažymėkite pašalintus naudotojus, grupes arba vaidmenis.
3. Įsitikinkite, kad atskira sąlyginės prieigos politika aiškiai įtraukia tuos pašalintus objektus ir taiko tuos pačius arba lygiaverčius apsaugos mechanizmus.
4. Jei nėra atsarginės politikos, sukurkite tokią, kuri įtrauktų pašalintus objektus ir nustatytų atitinkamus prieigos reikalavimus.
5. Išbandykite naują politiką naudodami "What If" įrankį arba tik ataskaitos režimą prieš ją įgalindami.

Atitiktis

• Kita: Šis patikrinimas atitinka principą, kad sąlyginės prieigos politikose neturi būti neapimtų pašalinimų, kaip rekomenduojama "Microsoft" saugumo geriausios praktikos. Jis nėra susietas su konkrečia atitikties sistema.

Susiję ištekliai

• Conditional Access: Naudotojų ar grupių pašalinimas
• Sąlyginės prieigos politikos kūrimo vadovas