All excluded objects should have a fallback include in another policy.
Dlaczego to jest ważne
Wykluczanie użytkowników lub grup z zasad dostępu warunkowego bez zapewnienia, że są oni objęci inną zasadą, stwarza luki w zabezpieczeniach. Atakujący lub przejęte konta w tych wykluczonych grupach mogą ominąć krytyczne mechanizmy kontroli. Administratorzy IT powinni regularnie przeglądać wykluczenia, aby uniknąć niezamierzonych martwych punktów w zabezpieczeniach dostępu.
Co sprawdza Aether365
To sprawdzenie identyfikuje obiekty (użytkowników, grupy lub role), które są wykluczone z zasad dostępu warunkowego, ale nie są jawnie uwzględnione w żadnej innej zasadzie. Pojawia się w panelu Aether365 w kategorii sprawdzeń microsoft-365 jako identyfikator AE.1036.
Jak naprawić
- Przejrzyj każdą zasadę dostępu warunkowego w portalu Microsoft 365 Defender lub Azure AD.
- Dla każdej zasady zawierającej wykluczenia odnotuj wykluczonych użytkowników, grupy lub role.
- Sprawdź, czy oddzielna zasada dostępu warunkowego jawnie uwzględnia te wykluczone obiekty i stosuje te same lub równoważne mechanizmy kontroli.
- Jeśli nie istnieje żadna zapasowa zasada, utwórz taką, która uwzględnia wykluczone obiekty i wymusza odpowiednie wymagania dotyczące dostępu.
- Przetestuj nową zasadę za pomocą narzędzia What If lub trybu tylko do raportowania przed jej włączeniem.
Zgodność
- Inne: To sprawdzenie jest zgodne z zasadą braku nieobjętych wykluczeń w zasadach dostępu warunkowego, zalecaną przez najlepsze praktyki zabezpieczeń firmy Microsoft. Nie jest powiązane z konkretną strukturą zgodności.