Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In Microsoft Defender voor Cloud kunt u beveiligde resources uitsluiten van aanbevelingen voor Defender voor Cloud-beveiliging. In dit artikel wordt beschreven hoe u uitgesloten resources controleert, beheert en verwijdert.
Uitgesloten resources bekijken in de portal
Wanneer u een resource vrijstelt, worden er geen beveiligingsaanbevelingen gegeven. U kunt uitgesloten resources bekijken en beheren in de Defender voor Cloud-portal.
Tip
Vanaf januari 2026 worden vrijstellingen vanaf een centrale locatie beheerd. Ga naar Defender voor Cloud>Omgevingsinstellingen>Uitzonderingen, of ga naar Azure Policy>Uitzonderingen. Als u eerder zichtbare uitzonderingen niet kunt vinden, controleert u of u het juiste abonnements- of beheergroepbereik bekijkt en controleert u of u Microsoft.Authorization/policyExemptions/read machtiging hebt.
Vrijgestelde resources bekijken op de pagina Aanbevelingen
Meld u aan bij het Azure-portaal.
Ga naar Defender voor Cloud>Recommendations.
Selecteer de aanbevelingsstatus.
Selecteer Uitgesloten.
Selecteer de optie Toepassen.
Selecteer een bron om deze te beoordelen.
Vrijgestelde resources bekijken op de pagina inventaris
Meld u aan bij het Azure-portaal.
Ga naar Defender voor Cloud>Inventory.
Selecteer Filter toevoegen.
Selecteer Bevat uitzonderingen.
Selecteer Ja.
Kies OK.
Uitgesloten resources controleren met Azure Resource Graph
Azure Resource Graph (ARG) biedt directe toegang tot resourcegegevens in uw cloudomgevingen met robuuste filter-, groeperings- en sorteermogelijkheden. U kunt snel en eenvoudig query's uitvoeren op gegevens met behulp van Kusto Query Language (KQL).
Alle aanbevelingen met uitzonderingsregels weergeven:
Meld u aan bij het Azure-portaal.
Ga naar Defender voor Cloud>Recommendations.
Selecteer Query openen.
Voer de volgende query in.
Selecteer Query uitvoeren.
securityresources | where type == "microsoft.security/assessments" // Get recommendations in useful format | project ['TenantID'] = tenantId, ['SubscriptionID'] = subscriptionId, ['AssessmentID'] = name, ['DisplayName'] = properties.displayName, ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]), ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]), ['ResourceGroup'] = resourceGroup, ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink), ['StatusCode'] = properties.status.code, ['StatusDescription'] = properties.status.description, ['PolicyDefID'] = properties.metadata.policyDefinitionId, ['Description'] = properties.metadata.description, ['RecomType'] = properties.metadata.assessmentType, ['Remediation'] = properties.metadata.remediationDescription, ['Severity'] = properties.metadata.severity, ['Link'] = properties.links.azurePortal | where StatusDescription contains "Exempt"
Als u alle beleidsvrijstellingen voor een specifiek abonnement wilt weergeven, voert u de volgende query uit in Azure Resource Graph Explorer:
policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"
Een uitzondering verwijderen
Als u een uitzondering wilt verwijderen, hebt u de machtiging Microsoft.Authorization/policyExemptions/delete nodig voor het bereik waarin de uitzondering is gemaakt.
Important
Wanneer u een uitzondering verwijdert, Defender voor Cloud de eerder uitgesloten resources opnieuw evalueert. Resources die niet voldoen aan de aanbevelingsvereisten, keren terug naar de status Niet in orde , waardoor uw beveiligingsscore kan worden verlaagd. Het kan maximaal 24 uur duren voordat de herevaluatie is voltooid.
Als u de foutmelding 'Kan de uitzondering(en) niet verwijderen' krijgt of als een verwijderde uitzondering opnieuw wordt weergegeven:
Controleer de machtigingen. Controleer of u machtigingen voor verwijderen hebt voor het bereik waar de uitzondering is gemaakt, niet alleen op abonnementsniveau.
Controleer de uitzonderingsstatus. Voer de volgende query uit in Azure Resource Graph Explorer om vrijstellingen te vinden:
policyresources | where type == "microsoft.authorization/policyexemptions" | where subscriptionId == "<your-subscription-id>"Verweesde uitzonderingen verwerken. Als aan een uitzondering geen beleidstoewijzing is gekoppeld, voegt u eerst een toewijzing toe en verwijdert u de uitzondering. U kunt ook Azure CLI of PowerShell gebruiken om de uitzondering te verwijderen:
Remove-AzPolicyExemption -Name "<exemption-name>" -Scope "<scope>"Wacht op synchronisatie. Het kan tot 30 minuten duren voordat portalwijzigingen worden weergegeven. Als de uitzondering opnieuw wordt weergegeven, kan het probleem te maken hebben met back-endsynchronisatie. Neem contact op met de ondersteuning als het probleem zich blijft voordoen.
Inzicht in de impact van de beveiligingsscore
Het uitzonderingstype dat u selecteert, bepaalt hoe de beveiligingsscore wordt beïnvloed:
| Scenario | De impact van de beveiligingsscore |
|---|---|
| Type vrijstelling: beperkt | Vrijgestelde bronnen tellen als gezond. Score neemt toe. |
| Type vrijstelling: vrijstelling | Vrijgestelde resources worden uitgesloten van de berekening. Neutraal effect. |
| Voorbeeldaanbevelingen | Geen invloed op de beveiligingsscore, ongeacht de status. |
| Reeds toegepaste regel uitschakelen | De bevindingen worden uitgesloten van evaluatie. Score kan toenemen. |
Een uitzondering oplossen die de aanbevelingsstatus niet bijwerkt
Nadat u een uitzondering hebt gemaakt, wordt de aanbevelingsstatus mogelijk niet bijgewerkt of blijft deze mogelijk een ongezonde status aangeven. Defender voor Cloud resources periodiek evalueert, meestal om de 12-24 uur. Het duurt maximaal 24 uur voordat de vrijstelling van kracht wordt.
Als de aanbeveling na 24 uur nog steeds resources als beschadigd weergeeft:
Controleer het uitzonderingsbereik. Zorg ervoor dat de uitzondering betrekking heeft op de specifieke resources die als ongezond worden weergegeven. Controleer of de uitzondering zich op het juiste bereikniveau bevindt (beheergroep, abonnement of resource).
Controleer machtigingen op resourceniveau. Roltoewijzingen met abonnementsbereik bieden mogelijk onvoldoende toegang om uitzonderingen voor afzonderlijke resources te beheren. Controleer of uw RBAC-rol betrekking heeft op het niveau van de resource of resourcegroep voor de specifieke resource die u wilt uitsluiten.
Controleer het uitzonderingstype. Vrijstellingen sluiten bronnen uit van de berekening van de beveiligingsscore, maar toch kunnen bronnen nog steeds worden weergegeven in aanbevelingen. Bij afgezwakte uitzonderingen moeten resources als gezond worden weergegeven.
Controleer of de aanbeveling het uitgesloten beleid evalueert. Sommige aanbevelingen zijn gebaseerd op meerdere beleidsregels. Zorg ervoor dat u het juiste onderliggende beleid hebt vrijgesteld.
Zorg ervoor dat de uitzondering is gecreëerd vanuit Defender voor Cloud. Uitzonderingen die zijn gemaakt in Azure Policy in plaats van Defender voor Cloud mogelijk niet volledig kunnen worden geïntegreerd.
Ga naar Defender voor Cloud>Recommendations.
Selecteer Vrijstelling.
Controleer op initiatiefconflicten. Als dezelfde aanbeveling bestaat in meerdere initiatieven, hebt u mogelijk een afzonderlijke uitzondering nodig voor elk initiatief. Nieuwe initiatieven kunnen bestaande uitzonderingen overrulen.
Maak de uitzondering opnieuw. Verwijder en maak de uitzondering opnieuw met behulp van Defender voor Cloud. Wacht maximaal 24 uur voor herwaardering.
Machtigingsfouten op beheergroepsniveau oplossen
U kunt uitzonderingen maken op abonnementsniveau, maar machtigingsfouten ontvangen op het niveau van de beheergroep. Een veelvoorkomend foutbericht is: '... is niet gemachtigd om actie(s) uit te voeren op de gekoppelde scope(s) of de gekoppelde scope(s) zijn ongeldig."
Machtigingsfouten op het niveau van de beheergroep oplossen:
Wijs machtigingen toe op het niveau van de beheergroep. Machtigingen op abonnementsniveau erven niet naar boven.
Ga naar Toegangsbeheer voor beheergroepen>(IAM).
Wijs beveiligingsbeheerder of de juiste rol toe op het niveau van de beheergroep.
Controleer het bereik van roltoewijzing. Aangepaste rollen moeten worden toegewezen op het niveau van de beheergroep, niet alleen op abonnementsniveau. Gebruik Azure CLI om het volgende te controleren:
az role assignment list --scope "/providers/Microsoft.Management/managementGroups/<mg-name>"Controleer het bereik van beleidstoewijzing. Als het beleid is toegewezen op het niveau van de beheergroep, moet de uitzondering daar worden gemaakt. Controleer de locatie van de beleidstoewijzing in Azure Policy.
Uitzonderingen zoeken die niet zichtbaar zijn in de portal
Als eerder zichtbare uitzonderingen niet meer worden weergegeven of als u niet kunt vinden waar uitzonderingen worden vermeld:
Controleer de weergave voor gecentraliseerde uitzonderingen. Vanaf januari 2026 worden vrijstellingen vanaf een centrale locatie beheerd.
- Ga naar Defender voor Cloud>Omgevingsinstellingen>Uitzonderingen, of ga naar Azure Policy>Uitzonderingen.
Controleer het bereik en de filters. Vrijstellingen zijn zichtbaar binnen de scope waarin ze zijn aangemaakt. Controleer of u het juiste abonnement of de juiste beheergroep bekijkt.
Controleer de machtigingen. Zorg ervoor dat u
Microsoft.Authorization/policyExemptions/readtoestemming hebt op het juiste niveau van reikwijdte.
Dubbele of conflicterende uitzonderingen oplossen
Meerdere uitzonderingen op dezelfde resource voor dezelfde aanbeveling kunnen onverwacht gedrag veroorzaken, zoals conflicterende uitzonderingstypen of statussen die niet correct worden bijgewerkt. Behoud één gezaghebbende uitzondering per aanbeveling en resourcecombinatie.
Dubbele uitzonderingen identificeren
Voer de volgende query uit in Azure Resource Graph Explorer om resources met meerdere uitzonderingen te vinden:
policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"
| summarize ExemptionCount = count(), ExemptionNames = make_list(name) by tostring(properties.policyAssignmentId), tostring(properties.resourceSelectors)
| where ExemptionCount > 1
Dubbele uitzonderingen opschonen
Meld u aan bij het Azure-portaal.
Ga naar Defender voor Cloud>Omgevingsinstellingen>Uitzonderingen.
Filter op het betrokken abonnement of de betrokken resourcegroep.
Bekijk de overlappende uitzonderingen.
Bekijk alle uitzonderingen.
Verwijder de extra uitzonderingen.
Dubbele uitzonderingen bulksgewijs verwijderen met PowerShell:
# List all exemptions for a specific policy assignment
$exemptions = Get-AzPolicyExemption -PolicyAssignmentIdFilter "<policy-assignment-id>"
# Review and remove duplicates (keep the first, remove the rest)
$exemptions | Select-Object -Skip 1 | ForEach-Object {
Remove-AzPolicyExemption -Id $_.Id -Force
}
Important
Nadat u dubbele uitzonderingen hebt opgeschoond, kunt u maximaal 24 uur toestaan dat Defender voor Cloud de betrokken resources opnieuw evalueert. Als de aanbevelingsstatus niet wordt bijgewerkt, controleert u of de resterende uitzondering het juiste bereik en het juiste type heeft.
Een melding ontvangen wanneer gebruikers uitzonderingen maken
Om bij te houden hoe gebruikers resources uitsluiten van aanbevelingen, hebben we een ARM-sjabloon (Azure Resource Manager) gemaakt. De sjabloon implementeert een playbook voor logische apps en alle benodigde API-verbindingen om u op de hoogte te stellen wanneer er een uitzondering wordt gemaakt.
- Voor meer informatie over het playbook, leest u het blogbericht Hoe u het bijhouden van bronuitzonderingen in Microsoft Defender voor Cloud beheert.
- Zoek de ARM-sjabloon in de GitHub-opslagplaats van Microsoft Defender voor Cloud.
- Gebruik dit geautomatiseerde proces om alle onderdelen te implementeren.