Revisão e gestão de isenções de recomendação

No Microsoft Defender para a Cloud, você pode isentar recursos protegidos das recomendações de segurança do Defender para a Cloud. Este artigo descreve como rever, gerir e eliminar recursos isentos.

Analisar recursos isentos no portal

Quando você isenta um recurso, ele não solicita recomendações de segurança. Você pode revisar e gerenciar recursos isentos no portal do Defender para a Cloud.

Revise os recursos dispensados na página de recomendações

1. Inicie sessão no portal Azure.

2. Vá paraRecomendações do >.

3. Selecione Status da recomendação.

4. Selecione Isento.

5. Selecione Aplicar.

   

6. Selecione um recurso para revisá-lo.

Revisar recursos isentos na página Inventário

1. Inicie sessão no portal Azure.

2. Vá para Defender para a Cloud>Inventory.

3. Selecione Adicionar filtro.

   

4. Selecione Contém isenções.

5. Selecione Sim.

6. Selecione OK.

Rever recursos isentos com o Azure Resource Graph

O Azure Resource Graph (ARG) fornece acesso instantâneo a informações de recursos em seus ambientes de nuvem com recursos robustos de filtragem, agrupamento e classificação. Você pode consultar informações de forma rápida e fácil usando Kusto Query Language (KQL).

Para ver todas as recomendações que têm regras de isenção:

1. Inicie sessão no portal Azure.

2. Vá paraRecomendações do >.

3. Selecione Abrir consulta.

4. Insira a seguinte consulta.

5. Selecione Executar consulta.

   securityresources
   | where type == "microsoft.security/assessments"
   // Get recommendations in useful format
   | project
   ['TenantID'] = tenantId,
   ['SubscriptionID'] = subscriptionId,
   ['AssessmentID'] = name,
   ['DisplayName'] = properties.displayName,
   ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
   ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
   ['ResourceGroup'] = resourceGroup,
   ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
   ['StatusCode'] = properties.status.code,
   ['StatusDescription'] = properties.status.description,
   ['PolicyDefID'] = properties.metadata.policyDefinitionId,
   ['Description'] = properties.metadata.description,
   ['RecomType'] = properties.metadata.assessmentType,
   ['Remediation'] = properties.metadata.remediationDescription,
   ['Severity'] = properties.metadata.severity,
   ['Link'] = properties.links.azurePortal
   | where StatusDescription contains "Exempt"    
   

Para visualizar todas as isenções de políticas para uma subscrição específica, execute a seguinte consulta no Azure Resource Graph Explorer:

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"

Eliminar uma isenção

Para eliminar uma isenção, precisa da permissão Microsoft.Authorization/policyExemptions/delete no âmbito onde a isenção foi criada.

Se receber um erro de "Não conseguiu eliminar a(s) isenção(ões)" ou uma isenção eliminada reaparece:

• Verifique as permissões. Verifique se tem permissões de eliminação no âmbito onde a isenção foi criada, não apenas ao nível da subscrição.

• Verifique o estado de isenção. Execute a seguinte consulta no Explorador do Azure Resource Graph para encontrar exceções:

  policyresources
  | where type == "microsoft.authorization/policyexemptions"
  | where subscriptionId == "<your-subscription-id>"
  

• Trate das isenções para órfãos. Se uma isenção não tiver uma atribuição de política associada, tente adicionar uma atribuição primeiro e depois apague a isenção. Também pode usar o CLI do Azure ou o PowerShell para eliminar a isenção:

  Remove-AzPolicyExemption -Name "<exemption-name>" -Scope "<scope>"
  

• Espera pela sincronização. As alterações ao portal podem demorar até 30 minutos para se refletir. Se a isenção voltar a aparecer, o problema pode estar relacionado com a sincronização do backend. Contacte o suporte se o problema persistir.

Compreenda o impacto na pontuação de segurança

O tipo de isenção que seleciona determina como a pontuação segura é afetada:

Resolver uma isenção que não atualize o estado da recomendação

Depois de criar uma isenção, o estado da recomendação pode não ser atualizado ou pode continuar a mostrar-se desfavorável. O Defender para a Cloud avalia os recursos periodicamente, normalmente a cada 12-24 horas. Aguarde até 24 horas para que a isenção produza efeitos.

Caso a recomendação ainda sinalize os recursos como estando não saudáveis após 24 horas:

• Verificar o âmbito da isenção. Garanta que a isenção cobre os recursos específicos que se revelam como pouco saudáveis. Verifique se a isenção está no nível correto de âmbito (grupo de gestão, subscrição ou recurso).

• Verifique permissões ao nível dos recursos. Atribuições de funções com âmbito de subscrição podem não fornecer acesso suficiente para gerir isenções em recursos individuais. Verifique se o seu papel no RBAC cobre o nível de recursos ou grupo de recursos para o recurso específico que pretende isentar.

• Verifique o tipo de isenção. As isenções excluem recursos do cálculo da pontuação de segurança, mas os recursos podem ainda aparecer nas recomendações. As isenções mitigadas devem indicar que os recursos são saudáveis.

• Verifique se a recomendação avalia a política de isenção. Algumas recomendações baseiam-se em múltiplas políticas. Certifique-se de que isentou a política subjacente correta.

• Garantir que a isenção foi criada pelo Defender para a Cloud. Isenções criadas no Azure Policy em vez do Defender para a Cloud podem não integrar-se totalmente.

  1. Vá paraRecomendações do >.

  2. Selecione Isentar.

• Verifique se há conflitos de iniciativa. Se a mesma recomendação existir em várias iniciativas, poderá precisar de uma isenção separada para cada iniciativa. Iniciativas recém-atribuídas poderão sobrepor-se a isenções existentes.

• Recrie a isenção. Apague e recrie a isenção usando o Defender para a Cloud. Espere até 24 horas para reavaliação.

Resolver erros de permissões ao nível do grupo de gestão

Pode criar isenções ao nível da subscrição, mas pode receber erros de permissão ao nível do grupo de gestão. Uma mensagem de erro comum é: "... não tem permissão para realizar ação(s) no(s) âmbito(s) ligado(s) ou o(s) âmbito(s) ligado(s) são(s) inválidos."

Para resolver erros de permissões ao nível do grupo de gestão:

• Atribuir permissões ao nível do grupo de gestão. As permissões ao nível da subscrição não se aplicam a níveis superiores.

  1. Vá ao Grupo de Gestão>Controlo de Acesso (IAM).

  2. Atribuir o cargo de Administrador de Segurança ou o papel apropriado ao nível do grupo de gestão.

• Verifique o âmbito da atribuição de funções. As funções personalizadas devem ser atribuídas ao nível do grupo de gestão, e não apenas ao nível da subscrição. Utilize a CLI do Azure para verificar:

  az role assignment list --scope "/providers/Microsoft.Management/managementGroups/<mg-name>"
  

• Verifique o âmbito da atribuição de políticas. Se a apólice for atribuída ao nível do grupo de gestão, a isenção deve ser criada aí. Verifique a localização da atribuição de políticas no Azure Policy.

Encontre isenções que não estejam visíveis no portal

Se as isenções anteriormente visíveis deixarem de aparecer, ou se não conseguir encontrar onde estão listadas:

• Verifica a vista de isenções centralizadas. A partir de janeiro de 2026, as isenções são geridas a partir de uma localização central.

  1. Vá a Defender para a Cloud>Configurações de ambiente>Caixas de isenções, ou vá a Azure Policy>Isenções.

• Verifique o âmbito e os filtros. As isenções são visíveis no âmbito onde foram criadas. Verifique se está a visualizar a subscrição ou o grupo de gestão corretos.

• Verifique as permissões. Assegura-te de que tens a permissão Microsoft.Authorization/policyExemptions/read no nível correto do escopo.

Resolver isenções duplicadas ou conflitantes

Múltiplas isenções no mesmo recurso para a mesma recomendação podem causar comportamentos inesperados, como tipos de isenções conflitantes ou estados que não são atualizados corretamente. Mantenha uma única isenção autorizada por recomendação e combinação de recursos.

Identificar isenções por duplicados

Execute a seguinte consulta no Azure Resource Graph Explorer para encontrar recursos com múltiplas exceções:

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"
| summarize ExemptionCount = count(), ExemptionNames = make_list(name) by tostring(properties.policyAssignmentId), tostring(properties.resourceSelectors)
| where ExemptionCount > 1

Limpar isenções duplicadas

1. Inicie sessão no portal Azure.

2. Aceda a Defender para a Cloud>Definições de ambiente>Isenções.

3. Filtrar pela subscrição ou grupo de recursos afetado.

4. Revise as exceções sobrepostas.

5. Revise todas as isenções.

6. Elimine as isenções extra.

Para eliminar isenções duplicadas em massa com o PowerShell:

# List all exemptions for a specific policy assignment
$exemptions = Get-AzPolicyExemption -PolicyAssignmentIdFilter "<policy-assignment-id>"

# Review and remove duplicates (keep the first, remove the rest)
$exemptions | Select-Object -Skip 1 | ForEach-Object {
    Remove-AzPolicyExemption -Id $_.Id -Force
}

Receba uma notificação quando os usuários criarem isenções

Para controlar como os usuários isentam recursos de recomendações, criamos um modelo do Azure Resource Manager (modelo ARM). O modelo implanta um manual de aplicativo lógico e todas as conexões de API necessárias para notificá-lo quando uma isenção é criada.

• Saiba mais sobre o manual lendo a postagem do blog Como acompanhar as isenções de recursos no Microsoft Defender para a Cloud.
• Localize o modelo ARM no repositório do Microsoft Defender para a Cloud GitHub.
• Use esse processo automatizado para implantar todos os componentes.

Próximo passo