All excluded objects should have a fallback include in another policy.
Prečo je to dôležité
Keď z podmienenej politiky prístupu vylúčite používateľov alebo skupiny bez toho, aby ste sa uistili, že sú explicitne pokrytí inou politikou, vytvárate bezpečnostné medzery. Útočníci alebo napadnuté účty v týchto vylúčených skupinách môžu obísť kritické kontroly. Správcovia IT by mali pravidelne kontrolovať vylúčenia, aby predišli neúmyselným slepým miestam v obrane prístupu.
Čo kontroluje Aether365
Táto kontrola identifikuje objekty (používateľov, skupiny alebo roly), ktoré sú vylúčené z politiky podmieneného prístupu, ale nie sú explicitne zahrnuté v žiadnej inej politike. V dashboarde Aether365 sa zobrazuje v kategórii kontrol microsoft-365 pod identifikátorom AE.1036.
Ako to opraviť
- Skontrolujte každú politiku podmieneného prístupu na portáli Microsoft 365 Defender alebo v službe Azure AD.
- Pri každej politike s vylúčeniami si poznačte vylúčených používateľov, skupiny alebo roly.
- Overte, či samostatná politika podmieneného prístupu explicitne zahŕňa tieto vylúčené objekty a uplatňuje rovnaké alebo ekvivalentné kontroly.
- Ak neexistuje záložná politika, vytvorte takú, ktorá zahŕňa vylúčené objekty a vynucuje príslušné požiadavky na prístup.
- Otestujte novú politiku pomocou nástroja What If alebo režimu iba na hlásenie pred jej aktiváciou.
Súlad s predpismi
- Iné: Táto kontrola je v súlade so zásadou nepokrytých vylúčení v politikách podmieneného prístupu, ako odporúčajú bezpečnostné osvedčené postupy spoločnosti Microsoft. Nie je viazaná na konkrétny rámec zhody.
Súvisiace zdroje
- Conditional Access: Vylúčenie používateľov alebo skupín
- Príručka návrhu politiky podmieneného prístupu