Sign-in risk and user risk conditions should be configured in separate Conditional Access policies
Waarom dit van belang is
Het combineren van zowel aanmeldrisico- als gebruikersrisicovoorwaarden in één beleid voor voorwaardelijke toegang zorgt voor een beveiligingsblindvlek. IT-beheerders verliezen gedetailleerde controle over risicogebaseerde reacties, waardoor bescherming voor risicovolle aanmeldingen mogelijk verkeerd wordt toegepast ten opzichte van gecompromitteerde gebruikersaccounts. Deze verkeerde configuratie kan leiden tot te ruime toegang voor gevaarlijke scenario's of onnodige frictie voor legitieme gebruikers.
Wat Aether365 controleert
Deze scan verifieert dat uw beleidsregels voor voorwaardelijke toegang niet zowel aanmeldrisico- als gebruikersrisicovoorwaarden in hetzelfde beleid configureren. Het verschijnt in het Aether365-dashboard onder de categorie microsoft-365-controles.
Hoe het op te lossen
- Meld u aan bij het Microsoft Entra admin center (https://entra.microsoft.com) met beheerdersrechten voor voorwaardelijke toegang.
- Navigeer naar Protection > Conditional Access > Policies.
- Controleer elk beleid dat zowel gebruikersrisico- als aanmeldrisicovoorwaarden bevat.
- Maak voor elk gecombineerd beleid twee afzonderlijke beleidsregels: één voor aanmeldrisico en één voor gebruikersrisico.
- Configureer elk nieuw beleid met de juiste toegangsbeheercontroles en sessievoorwaarden voor het specifieke risicotype.
- Verwijder of schakel het oorspronkelijke gecombineerde beleid uit nadat u hebt bevestigd dat de nieuwe gesplitste beleidsregels naar behoren werken.
Naleving
- Kader: Overig (CIS, EIDSCA, CISA niet gespecificeerd)
- Deze controle sluit aan bij Microsoft-beveiligingsbest practices voor het ontwerp van beleid voor voorwaardelijke toegang.