Granska och hantera rekommendationsundantag

I Microsoft Defender för molnet kan du undanta skyddade resurser från Säkerhetsrekommendationer för Defender för molnet. Den här artikeln beskriver hur du granskar, hanterar och tar bort undantagna resurser.

Granska undantagna resurser i portalen

När du undantar en resurs utlöses inte säkerhetsrekommendationer. Du kan granska och hantera undantagna resurser i Defender för molnet-portalen.

Granska undantagna resurser på sidan Rekommendationer

1. Logga in på Azure-portalen.

2. Gå till Defender för Cloud>Rekommendationer.

3. Välj Rekommendationsstatus.

4. Välj Undantagen.

5. Välj Använd.

   

6. Välj en resurs för att granska den.

Granska undantagna resurser på sidan Inventering

1. Logga in på Azure-portalen.

2. Gå till Defender för molntjänster>Molninventarium.

3. Välj Lägg till filter.

   

4. Välj Innehåller undantag.

5. Välj Ja.

6. Välj OK.

Granska undantagna resurser med Azure Resource Graph

Azure Resource Graph (ARG) ger omedelbar åtkomst till resursinformation i dina molnmiljöer med robusta funktioner för filtrering, gruppering och sortering. Du kan snabbt och enkelt fråga efter information med hjälp av Kusto Query Language (KQL).

Så här visar du alla rekommendationer som har undantagsregler:

1. Logga in på Azure-portalen.

2. Gå till Defender för Cloud>Rekommendationer.

3. Välj Öppna fråga.

4. Ange följande fråga.

5. Välj Kör fråga.

   securityresources
   | where type == "microsoft.security/assessments"
   // Get recommendations in useful format
   | project
   ['TenantID'] = tenantId,
   ['SubscriptionID'] = subscriptionId,
   ['AssessmentID'] = name,
   ['DisplayName'] = properties.displayName,
   ['ResourceType'] = tolower(split(properties.resourceDetails.Id,"/").[7]),
   ['ResourceName'] = tolower(split(properties.resourceDetails.Id,"/").[8]),
   ['ResourceGroup'] = resourceGroup,
   ['ContainsNestedRecom'] = tostring(properties.additionalData.subAssessmentsLink),
   ['StatusCode'] = properties.status.code,
   ['StatusDescription'] = properties.status.description,
   ['PolicyDefID'] = properties.metadata.policyDefinitionId,
   ['Description'] = properties.metadata.description,
   ['RecomType'] = properties.metadata.assessmentType,
   ['Remediation'] = properties.metadata.remediationDescription,
   ['Severity'] = properties.metadata.severity,
   ['Link'] = properties.links.azurePortal
   | where StatusDescription contains "Exempt"    
   

Om du vill visa alla principundantag för en viss prenumeration kör du följande fråga i Azure Resource Graph Explorer:

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"

Ta bort ett undantag

Om du vill ta bort ett undantag behöver du behörigheten Microsoft.Authorization/policyExemptions/delete i omfånget där undantaget skapades.

Om du får felet "Det gick inte att ta bort undantagen" eller om ett borttaget undantag visas igen:

• Kontrollera behörigheter. Kontrollera att du har borttagningsbehörigheter i omfånget där undantaget skapades, inte bara på prenumerationsnivå.

• Kontrollera undantagstillståndet. Kör följande fråga i Azure Resource Graph Explorer för att hitta undantag:

  policyresources
  | where type == "microsoft.authorization/policyexemptions"
  | where subscriptionId == "<your-subscription-id>"
  

• Hantera föräldralösa undantag. Om ett undantag inte har någon associerad principtilldelning kan du prova att lägga till en tilldelning först och sedan ta bort undantaget. Du kan också använda Azure CLI eller PowerShell för att ta bort undantaget:

  Remove-AzPolicyExemption -Name "<exemption-name>" -Scope "<scope>"
  

• Vänta på synkronisering. Det kan ta upp till 30 minuter att reflektera portaländringar. Om undantaget visas igen kan problemet vara relaterat till serverdelssynkronisering. Kontakta supporten om problemet kvarstår.

Förstå säkerhetspoängpåverkan

Den undantagstyp som du väljer avgör hur säker poäng påverkas:

Lösa ett undantag som inte uppdaterar rekommendationsstatusen

När du har skapat ett undantag kanske rekommendationsstatusen inte uppdateras eller fortfarande visar ohälsosamt. Defender för molnet utvärderar resurser regelbundet, vanligtvis var 12–24:e timme. Tillåt upp till 24 timmar för att undantaget ska träda i kraft.

Om rekommendationen fortfarande visar systemresurser som ohälsosamma efter 24 timmar:

• Verifiera undantagsomfånget. Se till att undantaget omfattar de specifika resurser som visas som ohälsosamma. Kontrollera om undantaget är på rätt omfångsnivå (hanteringsgrupp, prenumeration eller resurs).

• Kontrollera behörigheter på resursnivå. Rolltilldelningar med prenumerationsomfång kanske inte ger tillräcklig åtkomst för att hantera undantag för enskilda resurser. Kontrollera att RBAC-rollen täcker resurs- eller resursgruppsnivån för den specifika resurs som du vill undanta.

• Kontrollera undantagstypen. Undantagsundantag exkluderar resurser från beräkningen av säker poäng, men resurserna kan fortfarande visas i rekommendationer. Mildrade undantag bör visa resurser som felfria.

• Kontrollera att rekommendationen utvärderar den undantagna principen. Vissa rekommendationer baseras på flera principer. Se till att du har undantagit rätt underliggande policy.

• Kontrollera att undantaget skapades från Defender för molnet. Undantag som skapats i Azure Policy i stället för Defender för molnet kanske inte helt integreras.

  1. Gå till Defender för Cloud>Rekommendationer.

  2. Välj Undanta.

• Sök efter initiativkonflikter. Om samma rekommendation finns i flera initiativ kan du behöva ett separat undantag för varje initiativ. Nyligen tilldelade initiativ kan åsidosätta befintliga undantag.

• Återskapa undantaget. Ta bort och återskapa undantaget med hjälp av Defender för molnet. Tillåt upp till 24 timmar för omvärdering.

Lösa behörighetsfel på hanteringsgruppsnivå

Du kan skapa undantag på prenumerationsnivå men få behörighetsfel på hanteringsgruppsnivå. Ett vanligt felmeddelande är: "... har inte behörighet att utföra åtgärder på de länkade omfången eller de länkade omfången är ogiltiga."

Så här löser du behörighetsfel på hanteringsgruppsnivå:

• Tilldela behörigheter på hanteringsgruppsnivå. Behörigheter på prenumerationsnivå ärver inte uppåt.

  1. Gå till Åtkomstkontroll för hanteringsgrupp>(IAM).

  2. Tilldela säkerhetsadministratör eller lämplig roll på hanteringsgruppsnivå.

• Kontrollera rolltilldelningsomfånget. Anpassade roller måste tilldelas på hanteringsgruppsnivå, inte bara på prenumerationsnivå. Använd Azure CLI för att verifiera:

  az role assignment list --scope "/providers/Microsoft.Management/managementGroups/<mg-name>"
  

• Kontrollera principtilldelningens omfång. Om policyn tilldelas på nivån för hanteringsgruppen måste undantaget skapas där. Verifiera platsen för principtilldelning i Azure Policy.

Hitta undantag som inte visas i portalen

Om tidigare synliga undantag inte längre visas, eller om du inte kan hitta var undantag visas:

• Kontrollera vyn för centraliserade undantag. Från och med januari 2026 hanteras undantag från en central plats.

  1. Gå till Defender för molnet>Environment settings>Exemptions box, eller gå till Azure Policy>Exemptions.

• Kontrollera omfång och filter. Undantag visas i omfånget där de skapades. Kontrollera om du visar rätt prenumeration eller hanteringsgrupp.

• Kontrollera behörigheter. Kontrollera att du har behörigheten Microsoft.Authorization/policyExemptions/read på rätt omfångsnivå.

Lösa duplicerade eller motstridiga undantag

Flera undantag för samma resurs för samma rekommendation kan orsaka oväntat beteende, till exempel motstridiga undantagstyper eller statusar som inte uppdateras korrekt. Underhåll ett enda auktoritativt undantag per rekommendation och resurskombination.

Identifiera duplicerade undantag

Kör följande fråga i Azure Resource Graph Explorer för att hitta resurser med flera undantag:

policyresources
| where type == "microsoft.authorization/policyexemptions"
| where subscriptionId == "<your-subscription-id>"
| summarize ExemptionCount = count(), ExemptionNames = make_list(name) by tostring(properties.policyAssignmentId), tostring(properties.resourceSelectors)
| where ExemptionCount > 1

Rensa duplicerade undantag

1. Logga in på Azure-portalen.

2. Gå till Defender för molnet>Miljöinställningar>Undantag.

3. Filtrera efter den berörda prenumerationen eller resursgruppen.

4. Granska de överlappande undantagen.

5. Granska alla undantag.

6. Ta bort de extra undantagen.

Så här tar du bort duplicerade undantag i grupp med PowerShell:

# List all exemptions for a specific policy assignment
$exemptions = Get-AzPolicyExemption -PolicyAssignmentIdFilter "<policy-assignment-id>"

# Review and remove duplicates (keep the first, remove the rest)
$exemptions | Select-Object -Skip 1 | ForEach-Object {
    Remove-AzPolicyExemption -Id $_.Id -Force
}

Få ett meddelande när användare skapar undantag

För att hålla reda på hur användare undantar resurser från rekommendationer skapade vi en Azure Resource Manager-mall (ARM-mall). Mallen distribuerar en logikappsspelbok och alla nödvändiga API-anslutningar för att meddela dig när ett undantag skapas.

• Läs mer om spelboken genom att läsa blogginlägget Så här håller du reda på resursundantag i Microsoft Defender för molnet.
• Leta upp ARM-mallen på GitHub-lagringsplatsen för Microsoft Defender för molnet.
• Använd den här automatiserade processen för att distribuera alla komponenter.

Nästa steg