All excluded objects should have a fallback include in another policy.
Zakaj je to pomembno
Ko izključite uporabnike ali skupine iz pravilnika pogojnega dostopa, ne da bi zagotovili, da so izrecno zajeti v drugem pravilniku, ustvarite varnostne vrzeli. Napadalci ali ogroženi računi v teh izključenih skupinah lahko zaobidejo kritične kontrole. Skrbniki IT bi morali redno pregledovati izključitve, da se izognejo nenamernim slepim pegam v svoji obrambi dostopa.
Kaj preverja Aether365
To preverjanje identificira objekte (uporabnike, skupine ali vloge), ki so izključeni iz pravilnika pogojnega dostopa, vendar niso izrecno vključeni v noben drug pravilnik. Pojavi se na nadzorni plošči Aether365 pod kategorijo microsoft-365 preverjanj kot ID AE.1036.
Kako odpraviti
- Preglejte vsak pravilnik pogojnega dostopa v portalu Microsoft 365 Defender ali Azure AD.
- Za vsak pravilnik z izključitvami zabeležite izključene uporabnike, skupine ali vloge.
- Preverite, da ločen pravilnik pogojnega dostopa izrecno vključuje te izključene objekte in uporablja enake ali enakovredne kontrole.
- Če rezervni pravilnik ne obstaja, ustvarite takega, ki vključuje izključene objekte in uveljavlja ustrezne zahteve za dostop.
- Testirajte novi pravilnik z orodjem What If ali načinom samo za poročanje, preden ga omogočite.
Skladnost
- Drugo: To preverjanje je usklajeno z načelom nepokritih izključitev v pravilnikih pogojnega dostopa, kot priporočajo Microsoftove varnostne najboljše prakse. Ni povezano s posebnim okvirom skladnosti.