All excluded objects should have a fallback include in another policy.
Чому це важливо
Коли ви виключаєте окремих користувачів або групи з політики умовного доступу, не забезпечивши їх явне покриття іншою політикою, ви створюєте прогалини в безпеці. Зловмисники або скомпрометовані облікові записи в цих виключених групах можуть оминати критичні засоби контролю. ІТ-адміністраторам слід регулярно переглядати винятки, щоб уникнути ненавмисних сліпих зон у своїх системах захисту доступу.
Що перевіряє Aether365
Ця перевірка виявляє об'єкти (користувачів, групи або ролі), які виключені з політики умовного доступу, але не включені явно в жодну іншу політику. Вона відображається на панелі керування Aether365 у категорії перевірок microsoft-365 під ідентифікатором AE.1036.
Як виправити
- Перегляньте кожну політику умовного доступу на порталі Microsoft 365 Defender або Azure AD.
- Для кожної політики з винятками занотуйте виключених користувачів, групи або ролі.
- Переконайтеся, що окрема політика умовного доступу явно включає ці виключені об'єкти та застосовує ті самі або еквівалентні засоби контролю.
- Якщо резервної політики не існує, створіть таку, яка включатиме виключені об'єкти та впроваджуватиме відповідні вимоги до доступу.
- Протестуйте нову політику за допомогою інструмента What If або в режимі лише звітування, перш ніж увімкнути її.
Відповідність нормативним вимогам
- Інші: Ця перевірка відповідає принципу відсутності непокритих винятків у політиках умовного доступу, що рекомендується найкращими практиками безпеки Microsoft. Вона не прив'язана до конкретної нормативної бази.