All excluded objects should have a fallback include in another policy.
Hvorfor Dette Er Viktig
Når du utelukker brukere eller grupper fra en Conditional Access-policy uten å sikre at de er eksplisitt dekket av en annen policy, skaper du sikkerhetshull. Angripere eller kompromitterte kontoer i disse utelukkede gruppene kan omgå kritiske kontroller. IT-administratorer bør gjennomgå utelukkelser regelmessig for å unngå utilsiktede blindsoner i tilgangsforsvaret.
Hva Aether365 Sjekker
Denne sjekken identifiserer objekter (brukere, grupper eller roller) som er utelukket fra en Conditional Access-policy, men som ikke er eksplisitt inkludert i noen annen policy. Den vises i Aether365-dashbordet under kategorien microsoft-365-sjekker som ID AE.1036.
Slik Løser Du Det
- Gå gjennom hver Conditional Access-policy i Microsoft 365 Defender-portalen eller Azure AD.
- For hver policy med utelukkelser, noter deg de utelukkede brukerne, gruppene eller rollene.
- Bekreft at en separat Conditional Access-policy eksplisitt inkluderer disse utelukkede objektene og anvender samme eller tilsvarende kontroller.
- Hvis ingen reservepolicy eksisterer, opprett en som inkluderer de utelukkede objektene og håndhever passende tilgangskrav.
- Test den nye policyen ved hjelp av What If-verktøyet eller rapportmodus før du aktiverer den.
Samsvar
- Annet: Denne sjekken er i tråd med prinsippet om ikke-avdekkede utelukkelser i Conditional Access-policyer, som anbefalt av Microsofts sikkerhetsbeste praksis. Den er ikke knyttet til et spesifikt samsvarsrammeverk.