Examiner et gérer les exemptions de recommandation

Dans Microsoft Defender pour cloud, vous pouvez exempter les ressources protégées des recommandations de sécurité Defender pour cloud. Cet article explique comment passer en revue, gérer et supprimer des ressources exemptées.

Passer en revue les ressources exemptées dans le portail

Lorsque vous exemptez une ressource, elle n’invite pas les recommandations de sécurité. Vous pouvez consulter et gérer les ressources exemptées dans le portail Defender pour cloud.

Passer en revue les ressources exemptées sur la page Recommandations

1. Connectez-vous au portail Azure.

2. Accédez à Defender pour le Cloud>Recommandations.

3. Sélectionnez l'état de recommandation.

4. Sélectionnez Exempt.

5. Sélectionnez Appliquer.

   

6. Sélectionnez une ressource pour l’examiner.

Passer en revue les ressources exemptées sur la page Inventaire

1. Connectez-vous au portail Azure.

2. , Accédez à Defender pour le Cloud>Inventaire.

3. Sélectionnez Ajouter un filtre.

   

4. Sélectionnez Contient des exemptions.

5. Sélectionnez Oui.

6. Cliquez sur OK.

Passer en revue les ressources exemptées avec Azure Resource Graph

Azure Resource Graph (ARG) fournit un accès instantané aux informations de ressources dans vos environnements cloud avec des fonctionnalités de filtrage, de regroupement et de tri robustes. Vous pouvez rapidement et facilement interroger des informations à l’aide du langage de requête Kusto (KQL).

Pour afficher toutes les recommandations qui ont des règles d’exemption :

1. Connectez-vous au portail Azure.

2. Accédez à Defender pour le Cloud>Recommandations.

3. Sélectionnez Ouvrir une requête.

4. Entrez la requête suivante.

5. Sélectionnez Exécuter la requête.

   securityresources
   | where type == "microsoft.security/assessments"
   // Get recommendations in useful format
   | project
   ['TenantID'] = tenantId,
   ['SubscriptionID'] = subscriptionId,
   ['AssessmentID'] = name,
   ['DisplayName'] = properties.displayName,
   ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
   ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
   ['ResourceGroup'] = resourceGroup,
   ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
   ['StatusCode'] = properties.status.code,
   ['StatusDescription'] = properties.status.description,
   ['PolicyDefID'] = properties.metadata.policyDefinitionId,
   ['Description'] = properties.metadata.description,
   ['RecomType'] = properties.metadata.assessmentType,
   ['Remediation'] = properties.metadata.remediationDescription,
   ['Severity'] = properties.metadata.severity,
   ['Link'] = properties.links.azurePortal
   | where StatusDescription contains "Exempt"    
   

Pour afficher toutes les exemptions de stratégie pour un abonnement spécifique, exécutez la requête suivante dans Azure Resource Graph Explorer :

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"

Supprimer une exemption

Pour supprimer une exemption, vous avez besoin de l’autorisation Microsoft.Authorization/policyExemptions/delete dans l’étendue où l’exemption a été créée.

Si vous recevez une erreur « Échec de suppression de la ou des exemptions » ou si une exemption supprimée réapparaît :

• Vérifiez les autorisations. Vérifiez que vous disposez d’autorisations de suppression dans l’étendue où l’exemption a été créée, pas seulement au niveau de l’abonnement.

• Vérifiez l’état d’exemption. Exécutez la requête suivante dans Azure Resource Graph Explorer pour rechercher des exemptions :

  policyresources
  | where type == "microsoft.authorization/policyexemptions"
  | where subscriptionId == "<your-subscription-id>"
  

• Gérer les exemptions orphelines. Si une exemption n’a aucune attribution de stratégie associée, essayez d’ajouter une affectation en premier, puis supprimez l’exemption. Vous pouvez également utiliser Azure CLI ou PowerShell pour supprimer l’exemption :

  Remove-AzPolicyExemption -Name "<exemption-name>" -Scope "<scope>"
  

• Attendez la synchronisation. Les modifications du portail peuvent prendre jusqu’à 30 minutes pour être visibles. Si l’exemption réapparaît, le problème peut être lié à la synchronisation back-end. Contactez le support technique si le problème persiste.

Comprendre l’impact du score de sécurisation

Le type d’exemption que vous sélectionnez détermine la façon dont le score de sécurisation est affecté :

Résoudre une exemption qui ne met pas à jour l’état de la recommandation

Une fois que vous avez créé une exemption, il se peut que le statut de la recommandation ne soit pas mis à jour ou qu’il indique toujours un problème. Defender for Cloud évalue régulièrement les ressources, généralement toutes les 12 à 24 heures. Attendez jusqu’à 24 heures pour que l’exemption prenne effet.

Si la recommandation affiche toujours les ressources comme non saines après 24 heures :

• Vérifiez l’étendue de l’exemption. Vérifiez que l’exemption couvre les ressources spécifiques qui s’affichent comme non saines. Vérifiez si l’exemption est au niveau d’étendue approprié (groupe d’administration, abonnement ou ressource).

• Vérifiez les autorisations au niveau des ressources. Les attributions de rôles délimitées à l’abonnement peuvent ne pas fournir un accès suffisant pour gérer les exemptions sur des ressources individuelles. Vérifiez que votre rôle RBAC couvre le niveau de ressource ou de groupe de ressources pour la ressource spécifique que vous souhaitez exempter.

• Vérifiez le type d’exemption. Les exemptions d’exemption excluent les ressources du calcul du score sécurisé, mais les ressources peuvent toujours s’afficher dans les recommandations. Les exemptions atténuées doivent montrer que les ressources sont saines.

• Vérifiez que la recommandation évalue la stratégie exemptée. Certaines recommandations sont basées sur plusieurs stratégies. Veillez à exempter la politique sous-jacente correcte.

• Vérifiez que l’exemption a été créée à partir de Defender for Cloud. Les exemptions créées dans Azure Policy au lieu de Defender for Cloud peuvent ne pas être entièrement intégrées.

  1. Accédez à Defender pour le Cloud>Recommandations.

  2. Sélectionnez Exempt.

• Recherchez les conflits d’initiative. Si la même recommandation existe dans plusieurs initiatives, vous devrez peut-être disposer d’une exemption distincte pour chaque initiative. Les initiatives nouvellement affectées peuvent remplacer les exemptions existantes.

• Recréez l’exemption. Supprimez et recréez l’exemption à l’aide de Defender for Cloud. Autorisez jusqu’à 24 heures pour la réévaluation.

Résoudre les erreurs d’autorisation au niveau du groupe d’administration

Vous pouvez créer des exemptions au niveau de l’abonnement, mais recevoir des erreurs d’autorisation au niveau du groupe d’administration. Un message d’erreur courant est le suivant : « ... n’a pas l’autorisation d’effectuer des actions sur la ou les étendues liées ou les étendues liées ne sont pas valides. »

Pour résoudre les erreurs d’autorisation au niveau du groupe d’administration :

• Attribuez des autorisations au niveau du groupe d’administration. Les autorisations au niveau de l’abonnement n’héritent pas vers le haut.

  1. Accédez à Groupe de gestion>Contrôle d'accès (IAM).

  2. Attribuez un administrateur de sécurité ou le rôle approprié au niveau du groupe d’administration.

• Vérifiez l’étendue de l’attribution de rôle. Les rôles personnalisés doivent être attribués au niveau du groupe d’administration, non seulement au niveau de l’abonnement. Utilisez Azure CLI pour vérifier :

  az role assignment list --scope "/providers/Microsoft.Management/managementGroups/<mg-name>"
  

• Vérifiez l’étendue de l’attribution de stratégie. Si la stratégie est affectée au niveau du groupe d’administration, l’exemption doit être créée ici. Vérifiez l’emplacement de l’affectation de stratégie dans Azure Policy.

Rechercher des exemptions qui ne sont pas visibles dans le portail

Si les exemptions précédemment visibles ne s’affichent plus ou si vous ne trouvez pas où les exemptions sont répertoriées :

• Vérifiez l’affichage des exemptions centralisées. Depuis janvier 2026, les exemptions sont gérées à partir d’un emplacement central.

  1. Accédez à Defender for Cloud>Environment settings>Exemptions box, ou accédez à Azure Policy>Exemptions.

• Vérifiez l’étendue et les filtres. Les exemptions sont visibles dans l’étendue où elles ont été créées. Vérifiez si vous affichez l’abonnement ou le groupe de gestion approprié.

• Vérifiez les autorisations. Vérifiez que vous disposez d’une autorisation Microsoft.Authorization/policyExemptions/read au niveau d’étendue approprié.

Résoudre les exemptions en double ou en conflit

Plusieurs exemptions sur la même ressource pour la même recommandation peuvent entraîner un comportement inattendu, tel que les types d’exemption en conflit ou les états qui ne sont pas mis à jour correctement. Conservez une exemption unique faisant autorité par recommandation et combinaison de ressources.

Identifier les exemptions dupliquées

Exécutez la requête suivante dans Azure Resource Graph Explorer pour rechercher des ressources avec plusieurs exemptions :

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"
| summarize ExemptionCount = count(), ExemptionNames = make_list(name) by tostring(properties.policyAssignmentId), tostring(properties.resourceSelectors)
| where ExemptionCount > 1

Nettoyer les exemptions dupliquées

1. Connectez-vous au portail Azure.

2. Accédez à Defender for Cloud>Paramètres d’environnement>Exemptions.

3. Filtrez par l’abonnement ou le groupe de ressources concerné.

4. Passez en revue les exemptions qui se chevauchent.

5. Passez en revue toutes les exemptions.

6. Supprimez les exemptions supplémentaires.

Pour supprimer des exemptions en double en bloc avec PowerShell :

# List all exemptions for a specific policy assignment
$exemptions = Get-AzPolicyExemption -PolicyAssignmentIdFilter "<policy-assignment-id>"

# Review and remove duplicates (keep the first, remove the rest)
$exemptions | Select-Object -Skip 1 | ForEach-Object {
    Remove-AzPolicyExemption -Id $_.Id -Force
}

Obtenir une notification lorsque les utilisateurs créent des exemptions

Pour suivre la façon dont les utilisateurs ont exempté les ressources des recommandations, nous avons créé un modèle Azure Resource Manager (modèle ARM). Le modèle déploie un playbook d’application logique et toutes les connexions d’API nécessaires pour vous avertir lorsqu’une exemption est créée.

• Pour en savoir plus sur le guide, consultez ’article de blog intitulé Comment effectuer le suivi des exemptions de ressources dans Microsoft Defender pour le cloud.
• Recherchez le modèle ARM dans le référentiel GitHub Microsoft Defender pour cloud.
• Utilisez ce processus automatisé pour déployer tous les composants.

Étape suivante