Aether365

Dansk

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Dansk

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Exchange Application Access Policies should be configured

Hvorfor dette er vigtigt

Uden politikker for app-adgang kan alle programmer, der har fået tildelt Exchange Online-rettigheder, få adgang til alle postkasser i din organisation, uanset brugerroller eller behov. Dette skaber en betydelig risiko for dataeksponering, da en enkelt kompromitteret app-legitimationsoplysning kan føre til masseeksfiltrering af følsomme e-maildata. Ved at begrænse app-adgang til kun autoriserede medlemmer via distributionsgrupper, håndhæver du princippet om mindste rettigheder og reducerer din angrebsflade.

Hvad Aether365 kontrollerer

Aether365 scanner dit Exchange Online-miljø for at bekræfte, at politikker for app-adgang er konfigureret for registrerede programmer med Exchange-rettigheder. Denne kontrol vises i dit Aether365-dashboard under microsoft-365 servicekategorien og rapporterer alle programmer, der mangler en defineret politikafgrænsning.

Sådan løser du det

  1. Opret forbindelse til Exchange Online via PowerShell:

    powershell
    Connect-ExchangeOnline

  2. Identificer de oplysninger, der er nødvendige for din app-registrering til politikken:

    • App-id (fra Azure AD app registration)
    • En navnekonvention for din sikkerhedsgruppe, f.eks. "AAP_" efterfulgt af app-id'et
    • En beskrivelse for politikken

  3. Opret en mail-aktiveret sikkerhedsgruppe for at definere politikafgrænsningen, og skjul den derefter fra den globale adresseliste:

    powershell
    $DGroup = New-DistributionGroup -Name $GroupName -Type Security
Start-Sleep -Seconds 5
Set-DistributionGroup -Identity $DGroup.WindowsEmailAddress -HiddenFromAddressListsEnabled $true

  4. Brug cmdlet'en New-ApplicationAccessPolicy til at oprette politikken, og angiv app-id'et, sikkerhedsgruppen som afgrænsning og RestrictAccess som adgangsret.

  5. Tilføj autoriserede brugere til sikkerhedsgruppen ved hjælp af Add-DistributionGroupMember.

  6. Bekræft politikken med Get-ApplicationAccessPolicy, og test derefter adgangen for en bestemt bruger med Test-ApplicationAccessPolicy.

Overholdelse

  • Framework: Other
  • Alvorlighed: Medium
  • Denne kontrol hjælper med at tilpasse sig bedste praksis for identitetssikkerhed, men er ikke bundet til et specifikt overholdelsesframework.

Relaterede ressourcer

Microsoft references

Var denne side nyttig?

© 2026 Aether365. All rights reserved.