Revisión y administración de exenciones de recomendaciones

En Microsoft Defender para la nube, puede excluir los recursos protegidos de las recomendaciones de seguridad de Defender for Cloud. En este artículo se describe cómo revisar, administrar y eliminar recursos exentos.

Revisión de los recursos exentos en el portal

Al eximir un recurso, no genera recomendaciones de seguridad. Puede revisar y administrar recursos exentos en el portal de Defender for Cloud.

Revisión de los recursos exentos en la página Recomendaciones

1. Inicie sesión en Azure Portal.

2. Vaya aRecomendaciones de >.

3. Seleccione Estado de recomendación.

4. Seleccione Exento.

5. Seleccione Aplicar.

   

6. Seleccione un recurso para revisarlo.

Revisión de los recursos exentos en la página Inventario

1. Inicie sesión en Azure Portal.

2. Vaya aInventario de >.

3. Seleccione Agregar filtro.

   

4. Seleccione Contains exemptions (Contiene exenciones).

5. Seleccione Sí.

6. Selecciona Aceptar.

Revisión de recursos exentos con Azure Resource Graph

Azure Resource Graph (ARG) proporciona acceso instantáneo a la información de recursos en los entornos de nube con sólidas funcionalidades de filtrado, agrupación y ordenación. Puede consultar información de forma rápida y sencilla mediante el lenguaje de consulta kusto (KQL).

Para ver todas las recomendaciones que tienen reglas de exención:

1. Inicie sesión en Azure Portal.

2. Vaya aRecomendaciones de >.

3. Seleccione Abrir consulta.

4. Escriba la siguiente consulta.

5. Seleccione Ejecutar consulta.

   securityresources
   | where type == "microsoft.security/assessments"
   // Get recommendations in useful format
   | project
   ['TenantID'] = tenantId,
   ['SubscriptionID'] = subscriptionId,
   ['AssessmentID'] = name,
   ['DisplayName'] = properties.displayName,
   ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
   ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
   ['ResourceGroup'] = resourceGroup,
   ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
   ['StatusCode'] = properties.status.code,
   ['StatusDescription'] = properties.status.description,
   ['PolicyDefID'] = properties.metadata.policyDefinitionId,
   ['Description'] = properties.metadata.description,
   ['RecomType'] = properties.metadata.assessmentType,
   ['Remediation'] = properties.metadata.remediationDescription,
   ['Severity'] = properties.metadata.severity,
   ['Link'] = properties.links.azurePortal
   | where StatusDescription contains "Exempt"    
   

Para ver todas las exenciones de directiva de una suscripción específica, ejecute la siguiente consulta en Azure Resource Graph Explorer:

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"

Eliminación de una exención

Para eliminar una exención, necesita el permiso Microsoft.Authorization/policyExemptions/delete en el ámbito en el que se creó la exención.

Si recibe un error "No se pudieron eliminar las exenciones" o vuelve a aparecer una exención eliminada:

• Compruebe los permisos. Compruebe que tiene permisos de eliminación en el ámbito en el que se creó la exención, no solo en el nivel de suscripción.

• Compruebe el estado de exención. Ejecute la consulta siguiente en el Explorador de Azure Resource Graph para buscar exenciones:

  policyresources
  | where type == "microsoft.authorization/policyexemptions"
  | where subscriptionId == "<your-subscription-id>"
  

• Controle las exenciones huérfanas. Si una exención no tiene ninguna asignación de directiva asociada, intente agregar primero una asignación y, a continuación, elimine la exención. También puede usar CLI de Azure o PowerShell para eliminar la exención:

  Remove-AzPolicyExemption -Name "<exemption-name>" -Scope "<scope>"
  

• Espere a la sincronización. Los cambios del portal pueden tardar hasta 30 minutos en reflejarse. Si vuelve a aparecer la exención, el problema podría estar relacionado con la sincronización de back-end. Póngase en contacto con el soporte técnico si el problema persiste.

Comprender el impacto de la puntuación segura

El tipo de exención que seleccione determina cómo se ve afectada la puntuación de seguridad:

Resolución de una exención que no actualiza el estado de la recomendación

Después de crear una exención, es posible que el estado de la recomendación no se actualice o que siga mostrando un estado no saludable. Defender for Cloud evalúa los recursos periódicamente, normalmente cada 12-24 horas. Espere hasta 24 horas para que la exención surta efecto.

Si la recomendación sigue mostrando los recursos como no saludables después de 24 horas:

• Compruebe el ámbito de exención. Asegúrese de que la exención cubra los recursos específicos que se muestran como no saludables. Compruebe si la exención está en el nivel de ámbito correcto (grupo de administración, suscripción o recurso).

• Compruebe los permisos de nivel de recurso. Es posible que las asignaciones de roles limitadas al ámbito de suscripción no proporcionen acceso suficiente para administrar exenciones en recursos individuales. Compruebe que el rol RBAC cubre el nivel de recurso o grupo de recursos para el recurso específico que desea excluir.

• Compruebe el tipo de exención. Las exenciones excluyen a los recursos del cálculo de la puntuación de seguridad, pero los recursos aún pueden aparecer en las recomendaciones. Las exenciones mitigadas deben mostrar los recursos como saludables.

• Verifique que la recomendación evalúa la política exenta. Algunas recomendaciones se basan en varias directivas. Asegúrese de que exime la directiva subyacente correcta.

• Asegúrese de que la exención se creó a partir de Defender for Cloud. Es posible que las exenciones creadas en Azure Policy en lugar de Defender for Cloud no se integren completamente.

  1. Vaya aRecomendaciones de >.

  2. Seleccione Exento.

• Compruebe si hay conflictos de iniciativa. Si existe la misma recomendación en varias iniciativas, es posible que necesite una exención independiente para cada iniciativa. Las iniciativas recién asignadas podrían invalidar las exenciones existentes.

• Vuelva a crear la exención. Elimine y vuelva a crear la exención mediante Defender for Cloud. Permitir hasta 24 horas para la reevaluación.

Resolución de errores de permisos en el nivel de grupo de administración

Puede crear exenciones en el nivel de suscripción, pero puede recibir errores de permisos en el nivel de grupo de administración. Un mensaje de error común es: "... no tiene permiso para realizar acciones en los ámbitos vinculados o los ámbitos vinculados no son válidos".

Para resolver errores de permisos en el nivel de grupo de administración:

• Asigne permisos en el nivel de grupo de administración. Los permisos de nivel de suscripción no se heredan a niveles superiores.

  1. Vaya a Grupo de administración>Control de acceso (IAM).

  2. Asigne el administrador de seguridad o el rol adecuado en el nivel de grupo de administración.

• Compruebe el ámbito de asignación de roles. Los roles personalizados deben asignarse en el nivel de grupo de administración, no solo en el nivel de suscripción. Use la CLI de Azure para comprobar lo siguiente:

  az role assignment list --scope "/providers/Microsoft.Management/managementGroups/<mg-name>"
  

• Revise el ámbito de asignación de la política. Si se asigna la política al nivel de grupo de administración, la exención debe crearse en ese nivel. Verifique la ubicación de la asignación de directivas en Azure Policies.

Búsqueda de exenciones que no están visibles en el portal

Si las exenciones visibles anteriormente ya no aparecen o no puede encontrar dónde se muestran las exenciones:

• Compruebe la vista de exenciones centralizadas. A partir de enero de 2026, las exenciones se administran desde una ubicación central.

  1. Vaya a Defender for Cloud>Configuración del entorno>Exenciones, o vaya a Azure Policy>Exenciones.

• Compruebe el ámbito y los filtros. Las exenciones están visibles en el ámbito en el que se crearon. Compruebe si está viendo la suscripción o el grupo de administración correctos.

• Compruebe los permisos. Asegúrese de que dispone del permiso Microsoft.Authorization/policyExemptions/read en el nivel de ámbito correcto.

Resolución de exenciones duplicadas o en conflicto

Varias exenciones en el mismo recurso para la misma recomendación pueden provocar un comportamiento inesperado, como tipos de exención en conflicto o estados que no se actualizan correctamente. Mantenga una única exención autoritativa por recomendación y combinación de recursos.

Identificación de exenciones duplicadas

Ejecute la siguiente consulta en Azure Resource Graph Explorer para buscar recursos con varias exenciones:

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"
| summarize ExemptionCount = count(), ExemptionNames = make_list(name) by tostring(properties.policyAssignmentId), tostring(properties.resourceSelectors)
| where ExemptionCount > 1

Limpieza de exenciones duplicadas

1. Inicie sesión en Azure Portal.

2. Vaya a Defender for Cloud>Configuración del entorno>Exenciones.

3. Filtre por la suscripción o el grupo de recursos afectados.

4. Revise las exenciones superpuestas.

5. Revise todas las exenciones.

6. Elimine las exenciones adicionales.

Para eliminar exenciones duplicadas de forma masiva con PowerShell:

# List all exemptions for a specific policy assignment
$exemptions = Get-AzPolicyExemption -PolicyAssignmentIdFilter "<policy-assignment-id>"

# Review and remove duplicates (keep the first, remove the rest)
$exemptions | Select-Object -Skip 1 | ForEach-Object {
    Remove-AzPolicyExemption -Id $_.Id -Force
}

Obtener una notificación cuando los usuarios creen exenciones

Para realizar un seguimiento de cómo los usuarios eximen los recursos de las recomendaciones, hemos creado una plantilla de Azure Resource Manager (plantilla de ARM). La plantilla implementa un cuaderno de estrategias de aplicación lógica y todas las conexiones de API necesarias para notificarle cuándo se crea una exención.

• Para obtener más información sobre el cuaderno de estrategias, lea la entrada de blog How to keep track of Resource Exemptions in Microsoft Defender para la nube (Cómo realizar un seguimiento de las exenciones de recursos en Microsoft Defender para la nube).
• Busque la plantilla de ARM en el repositorio de GitHub de Microsoft Defender para la nube.
• Use este proceso automatizado para implementar todos los componentes.

Paso siguiente