All excluded objects should have a fallback include in another policy.
Bunun Neden Önemli Olduğu
Bir conditional access politikasından kullanıcıları veya grupları, başka bir politika tarafından açıkça kapsandıklarından emin olmadan hariç tuttuğunuzda güvenlik açıkları oluşturursunuz. Bu hariç tutulan gruplardaki saldırganlar veya ele geçirilmiş hesaplar kritik kontrolleri atlayabilir. BT yöneticileri, erişim savunmalarında kasıtsız kör noktalar oluşmasını önlemek için hariç tutmaları düzenli olarak gözden geçirmelidir.
Aether365 Ne Kontrol Eder
Bu kontrol, bir conditional access politikasından hariç tutulan ancak başka bir politikada açıkça yer almayan nesneleri (kullanıcılar, gruplar veya roller) tanımlar. Aether365 panosunda microsoft-365 kontrolleri kategorisi altında AE.1036 kimliğiyle görünür.
Nasıl Düzeltilir
- Microsoft 365 Defender portalı veya Azure AD'deki her conditional access politikasını inceleyin.
- Hariç tutmaları olan her politika için hariç tutulan kullanıcıları, grupları veya rolleri not alın.
- Ayrı bir conditional access politikasının bu hariç tutulan nesneleri açıkça içerdiğini ve aynı veya eşdeğer kontrolleri uyguladığını doğrulayın.
- Yedek politika yoksa, hariç tutulan nesneleri içeren ve uygun erişim gereksinimlerini zorunlu kılan bir tane oluşturun.
- Yeni politikayı etkinleştirmeden önce What If aracını veya yalnızca rapor modunu kullanarak test edin.
Uyumluluk
- Diğer: Bu kontrol, Microsoft güvenlik en iyi uygulamaları tarafından önerildiği şekilde conditional access politikalarında kapsanmayan hariç tutma olmaması ilkesiyle uyumludur. Belirli bir uyumluluk çerçevesine bağlı değildir.
İlgili Kaynaklar
- Conditional Access: Kullanıcıları veya grupları hariç tutma
- Conditional Access politika tasarım kılavuzu