Sign-in risk and user risk conditions should be configured in separate Conditional Access policies
Dlaczego to jest ważne
Łączenie warunków ryzyka związanego z logowaniem i ryzyka użytkownika w jednej polityce Conditional Access tworzy martwe pole w zakresie bezpieczeństwa. Administratorzy IT tracą precyzyjną kontrolę nad reakcjami opartymi na ryzyku, co może prowadzić do nieprawidłowego stosowania zabezpieczeń dla logowań wysokiego ryzyka w porównaniu z naruszonymi kontami użytkowników. Taka błędna konfiguracja może skutkować albo zbyt liberalnym dostępem do niebezpiecznych scenariuszy, albo niepotrzebnymi utrudnieniami dla uprawnionych użytkowników.
Co sprawdza Aether365
To skanowanie weryfikuje, czy Twoje polityki Conditional Access nie konfigurują jednocześnie warunków ryzyka logowania i ryzyka użytkownika w tej samej polityce. Pojawia się ono w panelu Aether365 w kategorii kontroli microsoft-365.
Jak to naprawić
- Zaloguj się do Microsoft Entra admin center (https://entra.microsoft.com) z uprawnieniami administratora Conditional Access.
- Przejdź do Protection > Conditional Access > Policies.
- Przejrzyj każdą politykę, która zawiera zarówno warunki ryzyka użytkownika, jak i ryzyka logowania.
- Dla każdej połączonej polityki utwórz dwie oddzielne polityki: jedną dla ryzyka logowania i jedną dla ryzyka użytkownika.
- Skonfiguruj każdą nową politykę z odpowiednimi kontrolami przyznawania dostępu i warunkami sesji dla konkretnego typu ryzyka.
- Usuń lub wyłącz oryginalną połączoną politykę po potwierdzeniu, że nowe rozdzielone polityki działają zgodnie z oczekiwaniami.
Zgodność
- Ramy: Inne (nie określono CIS, EIDSCA, CISA)
- Ta kontrola jest zgodna z najlepszymi praktykami Microsoft dotyczącymi projektowania polityk Conditional Access.