All excluded objects should have a fallback include in another policy.
Waarom Dit Belangrijk Is
Wanneer u gebruikers of groepen uitsluit van een voorwaardelijk toegangsbeleid zonder ervoor te zorgen dat ze expliciet worden gedekt door een ander beleid, creëert u beveiligingslekken. Aanvallers of gecompromitteerde accounts in deze uitgesloten groepen kunnen kritieke controles omzeilen. IT-beheerders moeten uitsluitingen regelmatig controleren om onbedoelde blinde vlekken in hun toegangsverdediging te voorkomen.
Wat Aether365 Controleert
Deze controle identificeert objecten (gebruikers, groepen of rollen) die zijn uitgesloten van een voorwaardelijk toegangsbeleid, maar niet expliciet zijn opgenomen in een ander beleid. Het verschijnt in het Aether365-dashboard onder de categorie microsoft-365-controles als ID AE.1036.
Hoe Te Herstellen
- Controleer elk voorwaardelijk toegangsbeleid in de Microsoft 365 Defender portal of Azure AD.
- Noteer voor elk beleid met uitsluitingen de uitgesloten gebruikers, groepen of rollen.
- Verifieer dat een afzonderlijk voorwaardelijk toegangsbeleid die uitgesloten objecten expliciet opneemt en dezelfde of gelijkwaardige controles toepast.
- Als er geen terugvalbeleid bestaat, maak er dan een aan dat de uitgesloten objecten opneemt en passende toegangsvereisten afdwingt.
- Test het nieuwe beleid met de What If-tool of de alleen-rapportagemodus voordat u het inschakelt.
Naleving
- Overig: Deze controle sluit aan bij het principe van niet-gedekte uitsluitingen in voorwaardelijk toegangsbeleid, zoals aanbevolen door Microsoft beveiligingsbest practices. Het is niet gekoppeld aan een specifiek nalevingskader.
Gerelateerde Bronnen
- Conditional Access: Gebruikers of groepen uitsluiten
- Ontwerphandleiding voor Conditional Access-beleid