Aether365

Čeština

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Čeština

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Exchange Application Access Policies should be configured

Proč na tom záleží

Bez pravidel přístupu k aplikacím může každá aplikace, které byla udělena oprávnění Exchange Online, přistupovat ke všem poštovním schránkám ve vaší organizaci bez ohledu na role nebo potřeby uživatelů. To vytváří značné riziko úniku dat, protože jediný kompromitovaný přihlašovací údaj aplikace by mohl vést k hromadné exfiltraci citlivých e-mailových dat. Omezením přístupu aplikací pouze na autorizované členy prostřednictvím distribučních skupin prosazujete princip nejnižších oprávnění a snižujete svou útočnou plochu.

Co Aether365 kontroluje

Aether365 prohledává vaše prostředí Exchange Online a ověřuje, zda jsou pro registrované aplikace s oprávněními Exchange nakonfigurována pravidla přístupu k aplikacím. Tato kontrola se zobrazí na vašem dashboardu Aether365 v kategorii služeb microsoft-365 a hlásí všechny aplikace, kterým chybí definovaný rozsah pravidel.

Jak to opravit

  1. Připojte se k Exchange Online pomocí PowerShellu:

    powershell
    Connect-ExchangeOnline

  2. Zjistěte podrobnosti o registraci své aplikace potřebné pro pravidlo:

    • ID aplikace (z registrace aplikace v Azure AD)
    • Zásadu pojmenování pro vaši bezpečnostní skupinu, například "AAP_" následované ID aplikace
    • Popis pro pravidlo

  3. Vytvořte e-mailovou povolenou bezpečnostní skupinu pro definování rozsahu pravidel a poté ji skryjte z globálního adresáře:

    powershell
    $DGroup = New-DistributionGroup -Name $GroupName -Type Security
Start-Sleep -Seconds 5
Set-DistributionGroup -Identity $DGroup.WindowsEmailAddress -HiddenFromAddressListsEnabled $true

  4. Použijte rutinu New-ApplicationAccessPolicy k vytvoření pravidla, kde zadáte ID aplikace, bezpečnostní skupinu jako rozsah a RestrictAccess jako právo přístupu.

  5. Přidejte autorizované uživatele do bezpečnostní skupiny pomocí Add-DistributionGroupMember.

  6. Ověřte pravidlo pomocí Get-ApplicationAccessPolicy a poté otestujte přístup pro konkrétního uživatele pomocí Test-ApplicationAccessPolicy.

Soulad s předpisy

  • Rámec: Jiné
  • Závažnost: Střední
  • Tato kontrola pomáhá sladit se s osvědčenými postupy identity bezpečnosti, ale není vázána na konkrétní rámec souladu s předpisy.

Související zdroje

Microsoft references

Byla tato stránka užitečná?

© 2026 Aether365. All rights reserved.