Sign-in risk and user risk conditions should be configured in separate Conditional Access policies
Чому це важливо
Поєднання умов ризику входу та ризику користувача в одній політиці умовного доступу створює "сліпу зону" безпеки. ІТ-адміністратори втрачають детальний контроль над реагуванням на ризики, що може призвести до неправильного застосування захисту для входів із високим ризиком порівняно зі скомпрометованими обліковими записами користувачів. Така неправильна конфігурація може спричинити або надто ліберальний доступ для небезпечних сценаріїв, або зайві незручності для легітимних користувачів.
Що перевіряє Aether365
Це сканування перевіряє, чи ваші політики умовного доступу не налаштовують одночасно умови ризику входу та ризику користувача в одній політиці. Воно відображається на панелі керування Aether365 у категорії перевірок microsoft-365.
Як виправити
- Увійдіть до Microsoft Entra admin center (https://entra.microsoft.com) із правами адміністратора умовного доступу.
- Перейдіть до Protection > Conditional Access > Policies.
- Перегляньте кожну політику, яка містить одночасно умови ризику користувача та ризику входу.
- Для кожної об'єднаної політики створіть дві окремі політики: одну для ризику входу, іншу для ризику користувача.
- Налаштуйте кожну нову політику з відповідними елементами керування доступом та умовами сеансу для конкретного типу ризику.
- Видаліть або вимкніть оригінальну об'єднану політику після підтвердження, що нові розділені політики працюють як очікувалося.
Відповідність стандартам
- Фреймворк: Інше (CIS, EIDSCA, CISA не вказано)
- Ця перевірка відповідає найкращим практикам безпеки Microsoft для проектування політик умовного доступу.