All excluded objects should have a fallback include in another policy.

Por Que Isso é Importante

Quando você exclui usuários ou grupos de uma política de acesso condicional sem garantir que eles estejam explicitamente cobertos por outra política, você cria falhas de segurança. Atacantes ou contas comprometidas nesses grupos excluídos podem contornar controles críticos. Os administradores de TI devem revisar as exclusões regularmente para evitar pontos cegos não intencionais em suas defesas de acesso.

O Que o Aether365 Verifica

Esta verificação identifica objetos (usuários, grupos ou funções) que estão excluídos de uma política de acesso condicional, mas não estão explicitamente incluídos em nenhuma outra política. Ela aparece no painel do Aether365 na categoria de verificações microsoft-365 como ID AE.1036.

Como Corrigir

1. Revise cada política de acesso condicional no portal Microsoft 365 Defender ou no Azure AD.
2. Para cada política com exclusões, anote os usuários, grupos ou funções excluídos.
3. Verifique se uma política de acesso condicional separada inclui explicitamente esses objetos excluídos e aplica os mesmos controles ou equivalentes.
4. Se nenhuma política de fallback existir, crie uma que inclua os objetos excluídos e aplique requisitos de acesso apropriados.
5. Teste a nova política usando a ferramenta What If ou o modo somente relatório antes de ativá-la.

Conformidade

• Outros: Esta verificação está alinhada ao princípio de não ter exclusões descobertas em políticas de acesso condicional, conforme recomendado pelas práticas recomendadas de segurança da Microsoft. Ela não está vinculada a uma estrutura de conformidade específica.

Recursos Relacionados

• Conditional Access: Excluding users or groups
• Conditional Access policy design guide