Examinar e gerenciar isenções de recomendação

No Microsoft Defender para Nuvem, você pode isentar recursos protegidos das recomendações de segurança do Defender para Nuvem. Este artigo descreve como examinar, gerenciar e excluir recursos isentos.

Revisar recursos isentos no portal

Quando você isenta um recurso, ele não solicita recomendações de segurança. Você pode examinar e gerenciar recursos isentos no portal do Defender para Nuvem.

Examinar os recursos isentos na página Recomendações

1. Entre no portal do Azure.

2. Vá paraRecomendações do >.

3. Selecione o Status da recomendação.

4. Selecione Isento.

5. Escolha Aplicar.

   

6. Selecione um recurso para revisá-lo.

Examinar os recursos isentos na página Inventário

1. Entre no portal do Azure.

2. Vá para Defender para Nuvem>Inventário.

3. Selecione Adicionar filtro.

   

4. Selecionar Contém isenções.

5. Selecione Sim na barra superior.

6. Selecione OK.

Revisar os recursos isentos com o Azure Resource Graph

O ARG (Azure Resource Graph) fornece acesso instantâneo a informações de recursos nos seus ambientes de nuvem com funcionalidades robustas de filtragem, agrupamento e classificação. Você pode consultar informações com rapidez e facilidade usando KQL (Linguagem de Consulta Kusto).

Para exibir todas as recomendações que têm regras de isenção:

1. Entre no portal do Azure.

2. Vá paraRecomendações do >.

3. Selecione Abrir consulta.

4. Insira a consulta a seguir.

5. Selecione Executar consulta.

   securityresources
   | where type == "microsoft.security/assessments"
   // Get recommendations in useful format
   | project
   ['TenantID'] = tenantId,
   ['SubscriptionID'] = subscriptionId,
   ['AssessmentID'] = name,
   ['DisplayName'] = properties.displayName,
   ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
   ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
   ['ResourceGroup'] = resourceGroup,
   ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
   ['StatusCode'] = properties.status.code,
   ['StatusDescription'] = properties.status.description,
   ['PolicyDefID'] = properties.metadata.policyDefinitionId,
   ['Description'] = properties.metadata.description,
   ['RecomType'] = properties.metadata.assessmentType,
   ['Remediation'] = properties.metadata.remediationDescription,
   ['Severity'] = properties.metadata.severity,
   ['Link'] = properties.links.azurePortal
   | where StatusDescription contains "Exempt"    
   

Para exibir todas as isenções de política para uma assinatura específica, execute a seguinte consulta no Azure Resource Graph Explorer:

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"

Excluir uma isenção

Para excluir uma isenção, você precisa da permissão Microsoft.Authorization/policyExemptions/delete no escopo em que a isenção foi criada.

Se você receber um erro "Falha ao excluir as isenções" ou uma isenção excluída reaparecer:

• Verifique as permissões. Verifique se você tem permissões de exclusão no escopo em que a isenção foi criada, não apenas no nível da assinatura.

• Verifique o estado de isenção. Execute a seguinte consulta no Azure Resource Graph Explorer para encontrar isenções:

  policyresources
  | where type == "microsoft.authorization/policyexemptions"
  | where subscriptionId == "<your-subscription-id>"
  

• Lidar com isenções órfãs. Se uma isenção não tiver nenhuma atribuição de política associada, tente adicionar uma atribuição primeiro e exclua a isenção. Você também pode usar CLI do Azure ou PowerShell para excluir a isenção:

  Remove-AzPolicyExemption -Name "<exemption-name>" -Scope "<scope>"
  

• Aguarde a sincronização. As alterações no portal podem levar até 30 minutos para refletir. Se a isenção reaparecer, o problema poderá estar relacionado à sincronização de back-end. Entre em contato com o suporte se o problema persistir.

Entender o impacto da pontuação de segurança

O tipo de isenção selecionado determina como a pontuação segura é afetada:

Resolver uma isenção que não atualiza o status da recomendação

Depois de criar uma isenção, o status da recomendação pode não ser atualizado ou ainda pode aparecer como não íntegro. Defender para Nuvem avalia os recursos periodicamente, normalmente a cada 12 a 24 horas. Espere até 24 horas para que a isenção entre em vigor.

Se a recomendação ainda mostrar recursos como não íntegros após 24 horas:

• Verifique o escopo da isenção. Garanta que a isenção cubra os recursos específicos que aparecem como não íntegros. Verifique se a isenção está no nível de escopo correto (grupo de gerenciamento, assinatura ou recurso).

• Verifique as permissões no nível do recurso. As atribuições de função com escopo de assinatura podem não fornecer acesso suficiente para gerenciar isenções em recursos individuais. Verifique se a função RBAC abrange o nível de recurso ou grupo de recursos do recurso específico que você deseja isentar.

• Verifique o tipo de isenção. Exceções de isenção excluem recursos do cálculo de pontuação de segurança, no entanto, os recursos ainda podem aparecer em recomendações. As isenções atenuadas devem mostrar os recursos como saudáveis.

• Verifique se a recomendação avalia a política isenta. Algumas recomendações são baseadas em várias políticas. Certifique-se de que você isentou a apólice correta subjacente.

• Verifique se a isenção foi criada a partir do Defender para Nuvem. As isenções criadas em Azure Policy em vez de Defender para Nuvem podem não ser totalmente integradas.

  1. Vá paraRecomendações do >.

  2. Escolha Isentar.

• Verifique se há conflitos de iniciativa. Se a mesma recomendação existir em várias iniciativas, talvez seja necessário uma isenção separada para cada iniciativa. Iniciativas recém-atribuídas podem substituir as isenções existentes.

• Recrie a isenção. Exclua e recrie a isenção usando Defender para Nuvem. Permita até 24 horas para reavaliação.

Resolver erros de permissão no nível do grupo de gerenciamento

Você pode criar isenções no nível da assinatura, mas receber erros de permissão no nível do grupo de gerenciamento. Uma mensagem de erro comum é: "... não tem permissão para executar ações nos escopos vinculados ou os escopos vinculados são inválidos."

Para resolver erros de permissão no nível do grupo de gerenciamento:

• Atribua permissões no nível do grupo de gerenciamento. As permissões no nível da assinatura não herdam para cima.

  1. Acesse o grupo de gerenciamento>Controle de Acesso (IAM).

  2. Atribua o Administrador de Segurança ou a função apropriada no nível do grupo de gerenciamento.

• Verifique o escopo da atribuição de função. As funções personalizadas devem ser atribuídas no nível do grupo de gerenciamento, não apenas no nível da assinatura. Use a CLI do Azure para verificar:

  az role assignment list --scope "/providers/Microsoft.Management/managementGroups/<mg-name>"
  

• Verifique o escopo da atribuição de política. Se a política for atribuída no nível do grupo de gerenciamento, a isenção deverá ser criada lá. Verifique o local de atribuição de política no Azure Policy.

Localizar isenções que não estão visíveis no portal

Se as isenções visíveis anteriormente não aparecerem mais ou não for possível encontrar onde as isenções estão listadas:

• Verifique a visualização centralizada de isenções. A partir de janeiro de 2026, as isenções são gerenciadas a partir de uma localização central.

  1. Vá para Defender para Nuvem>Environment settings>Exemptions box, ou vá para Azure Policy>Exemptions.

• Verifique o escopo e os filtros. As isenções são visíveis no escopo em que foram criadas. Verifique se você está exibindo a assinatura ou o grupo de gerenciamento correto.

• Verifique as permissões. Verifique se você tem permissão Microsoft.Authorization/policyExemptions/read no nível de escopo correto.

Resolver isenções duplicadas ou conflitantes

Várias isenções no mesmo recurso para a mesma recomendação podem causar comportamento inesperado, como tipos de isenção conflitantes ou status que não são atualizados corretamente. Mantenha uma única isenção autoritativa por recomendação e combinação de recursos.

Identificar isenções duplicadas

Execute a seguinte consulta no Azure Resource Graph Explorer para localizar recursos com várias isenções:

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"
| summarize ExemptionCount = count(), ExemptionNames = make_list(name) by tostring(properties.policyAssignmentId), tostring(properties.resourceSelectors)
| where ExemptionCount > 1

Limpar isenções duplicadas

1. Entre no portal do Azure.

2. Acesse Defender para Nuvem>Configurações de ambiente>Isenções.

3. Filtrar pela assinatura ou grupo de recursos afetado.

4. Revisar as isenções sobrepostas.

5. Examine todas as isenções.

6. Exclua as isenções extras.

Para excluir isenções duplicadas em massa com o PowerShell:

# List all exemptions for a specific policy assignment
$exemptions = Get-AzPolicyExemption -PolicyAssignmentIdFilter "<policy-assignment-id>"

# Review and remove duplicates (keep the first, remove the rest)
$exemptions | Select-Object -Skip 1 | ForEach-Object {
    Remove-AzPolicyExemption -Id $_.Id -Force
}

Receber uma notificação quando os usuários criarem isenções

Para acompanhar como os usuários isentam recursos das recomendações, criamos um modelo do ARM (Azure Resource Manager). O modelo implanta um guia estratégico de aplicativo lógico e todas as conexões de API necessárias para notificá-lo quando uma isenção for criada.

• Saiba mais sobre o guia estratégico lendo a postagem no blog Como acompanhar as Isenções de Recursos no Microsoft Defender para Nuvem.
• Localize o modelo do ARM no repositório GitHub do Microsoft Defender para Nuvem.
• Use esse processo automatizado para implantar todos os componentes.

Próxima etapa