All excluded objects should have a fallback include in another policy.

De ce este important

Atunci când excludeți utilizatori sau grupuri dintr-o politică de acces condiționat fără a vă asigura că aceștia sunt acoperiți în mod explicit de o altă politică, creați breșe de securitate. Atacatorii sau conturile compromise din aceste grupuri excluse pot ocoli controalele critice. Administratorii IT ar trebui să revizuiască periodic excluderile pentru a evita punctele moarte neintenționate în apărarea accesului.

Ce verifică Aether365

Această verificare identifică obiecte (utilizatori, grupuri sau roluri) care sunt excluse dintr-o politică de acces condiționat, dar nu sunt incluse în mod explicit în nicio altă politică. Apare în tabloul de bord Aether365, în categoria verificărilor Microsoft-365, cu ID-ul AE.1036.

Cum se remediază

1. Revizuiți fiecare politică de acces condiționat din portalul Microsoft 365 Defender sau Azure AD.
2. Pentru fiecare politică cu excluderi, notați utilizatorii, grupurile sau rolurile excluse.
3. Verificați dacă o altă politică de acces condiționat include în mod explicit acele obiecte excluse și aplică aceleași controale sau controale echivalente.
4. Dacă nu există nicio politică de rezervă, creați una care să includă obiectele excluse și să impună cerințe de acces adecvate.
5. Testați noua politică utilizând instrumentul Ce-ar-fi-dacă (What If) sau modul numai-raportare înainte de a o activa.

Conformitate

• Altele: Această verificare se aliniază principiului excluderilor neacoperite în politicile de acces condiționat, conform recomandărilor de bune practici Microsoft. Nu este legată de un cadru specific de conformitate.

Resurse conexe

• Conditional Access: Excluding users or groups
• Conditional Access policy design guide