Überprüfen und Verwalten von Empfehlungsfreistellungen

In Microsoft Defender für Cloud können Sie geschützte Ressourcen von Defender for Cloud-Sicherheitsempfehlungen ausschließen. In diesem Artikel wird beschrieben, wie Sie ausgenommene Ressourcen überprüfen, verwalten und löschen.

Überprüfung der ausgenommenen Ressourcen im Portal

Wenn Sie eine Ressource ausnehmen, werden keine Sicherheitsempfehlungen angezeigt. Sie können ausgenommene Ressourcen im Defender for Cloud-Portal überprüfen und verwalten.

Überprüfen Sie ausgenommene Ressourcen auf der Empfehlungen-Seite

1. Melden Sie sich beim Azure-Portal an.

2. Wechseln Sie zu Defender für Cloud>.

3. Wählen Sie den Empfehlungsstatus aus.

4. Wählen Sie "Ausgenommen" aus.

5. Wählen Sie Anwenden.

   

6. Wählen Sie eine Ressource aus, um sie zu überprüfen.

Überprüfen von ausgenommenen Ressourcen auf der Seite "Inventar"

1. Melden Sie sich beim Azure-Portal an.

2. Wechseln Sie zu Defender for Cloud>Inventory.

3. Wählen Sie Filter hinzufügen aus.

   

4. Wählen Sie Enthält Ausnahmen.

5. Wählen Sie Ja aus.

6. Wählen Sie OK aus.

Überprüfen von ausgenommenen Ressourcen mit Azure Resource Graph

Azure Resource Graph (ARG) bietet sofortigen Zugriff auf Ressourceninformationen in Ihren Cloudumgebungen mit robusten Filter-, Gruppierungs- und Sortierfunktionen. Mithilfe der Kusto Query Language (KQL) können Sie Informationen schnell und einfach abfragen.

Um alle Empfehlungen mit Ausnahmeberegeln anzuzeigen:

1. Melden Sie sich beim Azure-Portal an.

2. Wechseln Sie zu Defender für Cloud>.

3. Klicken Sie auf Abfrage öffnen.

4. Geben Sie die folgende Abfrage ein.

5. Wählen Sie "Abfrage ausführen" aus.

   securityresources
   | where type == "microsoft.security/assessments"
   // Get recommendations in useful format
   | project
   ['TenantID'] = tenantId,
   ['SubscriptionID'] = subscriptionId,
   ['AssessmentID'] = name,
   ['DisplayName'] = properties.displayName,
   ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
   ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
   ['ResourceGroup'] = resourceGroup,
   ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
   ['StatusCode'] = properties.status.code,
   ['StatusDescription'] = properties.status.description,
   ['PolicyDefID'] = properties.metadata.policyDefinitionId,
   ['Description'] = properties.metadata.description,
   ['RecomType'] = properties.metadata.assessmentType,
   ['Remediation'] = properties.metadata.remediationDescription,
   ['Severity'] = properties.metadata.severity,
   ['Link'] = properties.links.azurePortal
   | where StatusDescription contains "Exempt"    
   

Um alle Richtlinienausnahmen für ein bestimmtes Abonnement anzuzeigen, führen Sie die folgende Abfrage im Azure Resource Graph Explorer aus:

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"

Löschen einer Ausnahme

Um eine Ausnahme zu löschen, benötigen Sie die Berechtigung Microsoft.Authorization/policyExemptions/delete im Bereich, in dem die Ausnahme erstellt wurde.

Wenn Sie den Fehler "Fehler beim Löschen der Ausnahme(n)" erhalten oder eine gelöschte Ausnahme erneut angezeigt wird:

• Prüfen Sie die Berechtigungen. Stellen Sie sicher, dass Sie über Löschberechtigungen im Bereich verfügen, in dem die Ausnahme erstellt wurde, nicht nur auf Abonnementebene.

• Überprüfen Sie den Ausnahmestatus. Führen Sie die folgende Abfrage im Azure Resource Graph Explorer aus, um Ausnahmen zu finden:

  policyresources
  | where type == "microsoft.authorization/policyexemptions"
  | where subscriptionId == "<your-subscription-id>"
  

• Behandeln verwaister Ausnahmen. Wenn eine Ausnahme keine zugeordnete Richtlinienzuweisung aufweist, versuchen Sie zuerst, eine Zuordnung hinzuzufügen, und löschen Sie dann die Ausnahme. Sie können auch Azure CLI oder PowerShell verwenden, um die Ausnahme zu löschen:

  Remove-AzPolicyExemption -Name "<exemption-name>" -Scope "<scope>"
  

• Warten Sie auf die Synchronisierung. Änderungen im Portal können bis zu 30 Minuten dauern, bis sie sichtbar werden. Wenn die Ausnahme wieder auftritt, kann das Problem mit der Back-End-Synchronisierung zusammenhängen. Wenden Sie sich an den Support, wenn das Problem weiterhin besteht.

Verstehen der Auswirkungen auf die Sicherheitsbewertung

Der von Ihnen ausgewählte Ausnahmetyp bestimmt, wie die Sicherheitsbewertung betroffen ist:

Auflösen einer Ausnahme, die den Empfehlungsstatus nicht aktualisiert

Nachdem Sie eine Ausnahme erstellt haben, wird der Empfehlungsstatus möglicherweise nicht aktualisiert oder zeigt weiterhin ungeregelte Zustände an. Defender for Cloud wertet Ressourcen regelmäßig aus, in der Regel alle 12-24 Stunden. Warten Sie bis zu 24 Stunden ab, bis die Ausnahme in Kraft tritt.

Wenn die Empfehlung auch nach 24 Stunden noch Ressourcen als ungesund indiziert:

• Überprüfen Sie den Ausnahmeumfang. Stellen Sie sicher, dass die Ausnahme die spezifischen Ressourcen abdeckt, die als nicht funktionsfähig angezeigt werden. Überprüfen Sie, ob sich die Ausnahme auf der richtigen Ebene befindet (Verwaltungsgruppe, Abonnement oder Ressource).

• Überprüfen Sie Berechtigungen auf Ressourcenebene. Abonnementbezogene Rollenzuweisungen bieten möglicherweise keinen ausreichenden Zugriff auf die Verwaltung von Ausnahmen für einzelne Ressourcen. Stellen Sie sicher, dass Ihre RBAC-Rolle die Ressourcen- oder Ressourcengruppenebene für die bestimmte Ressource abdeckt, die Sie ausschließen möchten.

• Überprüfen Sie die Ausnahmeart. Ausnahmen von Verzichtserklärungen führen dazu, dass Ressourcen nicht in die Sicherheitsbewertung einfließen, die Ressourcen könnten jedoch weiterhin in Empfehlungen erscheinen. Gemilderte Ausnahmen sollten Ressourcen als gesund anzeigen.

• Überprüfen Sie, ob die Empfehlung die ausgenommene Richtlinie auswertet. Einige Empfehlungen basieren auf mehreren Richtlinien. Vergewissern Sie sich, dass Sie die richtige zugrundeliegende Richtlinie ausgenommen haben.

• Stellen Sie sicher, dass die Ausnahme von Defender for Cloud erstellt wurde. Ausnahmen, die in Azure Policy erstellt wurden, anstelle von Defender for Cloud sind möglicherweise nicht vollständig integriert.

  1. Wechseln Sie zu Defender für Cloud>.

  2. Wählen Sie Ausgenommen aus.

• Suchen Sie nach Initiativkonflikten. Wenn in mehreren Initiativen dieselbe Empfehlung vorliegt, benötigen Sie möglicherweise eine separate Ausnahme für jede Initiative. Neu zugewiesene Initiativen können vorhandene Ausnahmen außer Kraft setzen.

• Erstellen Sie die Ausnahme neu. Löschen Sie die Ausnahme, und erstellen Sie sie erneut, indem Sie Defender for Cloud verwenden. Bitte bis zu 24 Stunden für die erneute Überprüfung einplanen.

Beheben von Berechtigungsfehlern auf Verwaltungsgruppenebene

Sie können Ausnahmen auf Abonnementebene erstellen, aber Berechtigungsfehler auf Verwaltungsgruppenebene erhalten. Eine häufige Fehlermeldung lautet: "... verfügt nicht über die Berechtigung zum Ausführen von Aktionen für die verknüpften Bereiche oder die verknüpften Bereiche sind ungültig."

So beheben Sie Berechtigungsfehler auf Verwaltungsgruppenebene:

• Weisen Sie Berechtigungen auf Verwaltungsgruppenebene zu. Berechtigungen auf Abonnementebene erben nicht nach oben.

  1. Wechseln Sie zur Verwaltungsgruppe>Zugriffssteuerung (IAM).

  2. Weisen Sie Sicherheitsadministrator oder die entsprechende Rolle auf Verwaltungsgruppenebene zu.

• Überprüfen sie den Rollenzuweisungsbereich. Benutzerdefinierte Rollen müssen auf Verwaltungsgruppenebene zugewiesen werden, nicht nur auf Abonnementebene. Verifizieren Sie dies mit der Azure CLI:

  az role assignment list --scope "/providers/Microsoft.Management/managementGroups/<mg-name>"
  

• Überprüfen Sie den Richtlinienzuweisungsbereich. Wenn die Richtlinie auf Verwaltungsgruppenebene zugewiesen ist, muss dort die Ausnahme erstellt werden. Verifizieren Sie den Ort der Richtlinienzuweisung in Azure Policy.

Suchen von Ausnahmen, die im Portal nicht sichtbar sind

Wenn zuvor sichtbare Ausnahmen nicht mehr angezeigt werden, oder sie können nicht feststellen, wo Ausnahmen aufgeführt sind:

• Überprüfen Sie die Ansicht für zentralisierte Ausnahmen. Ab Januar 2026 werden Ausnahmen von einem zentralen Ort aus verwaltet.

  1. Wechseln Sie zu Defender for Cloud>Environment-Einstellungen>Exemptionsfeld, oder wechseln Sie zu Azure Policy>Exemptions.

• Überprüfen Sie den Umfang und die Filter. Die Ausnahmen sind in dem Bereich sichtbar, in dem sie erstellt wurden. Überprüfen Sie, ob Sie die richtige Abonnement- oder Verwaltungsgruppe anzeigen.

• Prüfen Sie die Berechtigungen. Stellen Sie sicher, dass Sie über Microsoft.Authorization/policyExemptions/read Berechtigungen auf der korrekten Bereichsebene verfügen.

Beheben doppelter oder widersprüchlicher Ausnahmen

Mehrere Ausnahmen für dieselbe Ressource für dieselbe Empfehlung können zu unerwartetem Verhalten führen, z. B. widersprüchliche Ausnahmetypen oder Status, die nicht ordnungsgemäß aktualisiert werden. Beibehalten einer einzigen autoritativen Ausnahme pro Empfehlung und Ressourcenkombination.

Identifizieren doppelter Ausnahmen

Führen Sie die folgende Abfrage in Azure Resource Graph Explorer aus, um Ressourcen mit mehreren Ausnahmen zu finden:

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"
| summarize ExemptionCount = count(), ExemptionNames = make_list(name) by tostring(properties.policyAssignmentId), tostring(properties.resourceSelectors)
| where ExemptionCount > 1

Bereinigen doppelter Ausnahmen

1. Melden Sie sich beim Azure-Portal an.

2. Gehen Sie zu Defender for Cloud>Umgebungseinstellungen>Ausnahmen.

3. Filtern Sie nach dem betroffenen Abonnement oder der Ressourcengruppe.

4. Überprüfen Sie die überlappenden Ausnahmen.

5. Überprüfen Sie alle Ausnahmen.

6. Löschen Sie die zusätzlichen Ausnahmen.

So löschen Sie doppelte Ausnahmen in Massen mit PowerShell:

# List all exemptions for a specific policy assignment
$exemptions = Get-AzPolicyExemption -PolicyAssignmentIdFilter "<policy-assignment-id>"

# Review and remove duplicates (keep the first, remove the rest)
$exemptions | Select-Object -Skip 1 | ForEach-Object {
    Remove-AzPolicyExemption -Id $_.Id -Force
}

Erhalten einer Benachrichtigung, wenn Benutzer Ausnahmen erstellen

Um nachzuverfolgen, wie Benutzer Ressourcen von Empfehlungen ausgenommen haben, haben wir eine Azure Resource Manager-Vorlage (ARM-Vorlage) erstellt. Die Vorlage stellt ein Logik-App-Playbook und alle erforderlichen API-Verbindungen bereit, um Sie zu benachrichtigen, wenn eine Ausnahme erstellt wird.

• Erfahren Sie mehr über das Playbook, indem Sie den Blogbeitrag lesen , wie Sie Ressourcenfreistellungen in Microsoft Defender für Cloud nachverfolgen können.
• Suchen Sie die ARM-Vorlage im Microsoft Defender für Cloud GitHub-Repository.
• Verwenden Sie diesen automatisierten Prozess , um alle Komponenten bereitzustellen.

Nächster Schritt