Aether365

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Deutsch

English
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Exchange Application Access Policies should be configured

Warum dies wichtig ist

Ohne Anwendungszugriffsrichtlinien kann jede Anwendung mit Exchange Online-Berechtigungen auf alle Postfächer in Ihrer Organisation zugreifen, unabhängig von Benutzerrollen oder Bedarf. Dies birgt ein erhebliches Risiko der Datenoffenlegung, da eine einzelne kompromittierte App-Anmeldeinformation zu einer massiven Exfiltration sensibler E-Mail-Daten führen könnte. Indem Sie den App-Zugriff über Verteilergruppen auf autorisierte Mitglieder beschränken, setzen Sie das Prinzip der geringsten Privilegien durch und reduzieren Ihre Angriffsfläche.

Was Aether365 prüft

Aether365 scannt Ihre Exchange Online-Umgebung, um zu überprüfen, ob Anwendungszugriffsrichtlinien für registrierte Anwendungen mit Exchange-Berechtigungen konfiguriert sind. Diese Prüfung erscheint in Ihrem Aether365-Dashboard unter der microsoft-365-Servicekategorie und meldet alle Anwendungen, denen ein definierter Richtlinienbereich fehlt.

So beheben Sie das Problem

  1. Stellen Sie eine Verbindung zu Exchange Online mit PowerShell her:

    powershell
    Connect-ExchangeOnline

  2. Identifizieren Sie Ihre für die Richtlinie erforderlichen Anwendungsregistrierungsdetails:

    • App-ID (aus der Azure AD-App-Registrierung)
    • Eine Namenskonvention für Ihre Sicherheitsgruppe, z. B. "AAP_" gefolgt von der App-ID
    • Eine Beschreibung für die Richtlinie

  3. Erstellen Sie eine E-Mail-aktivierte Sicherheitsgruppe zur Definition des Richtlinienbereichs und blenden Sie sie dann aus der globalen Adressliste aus:

    powershell
    $DGroup = New-DistributionGroup -Name $GroupName -Type Security
Start-Sleep -Seconds 5
Set-DistributionGroup -Identity $DGroup.WindowsEmailAddress -HiddenFromAddressListsEnabled $true

  4. Verwenden Sie das Cmdlet New-ApplicationAccessPolicy zum Erstellen der Richtlinie, wobei Sie die App-ID, die Sicherheitsgruppe als Bereich und RestrictAccess als Zugriffsrecht angeben.

  5. Fügen Sie autorisierte Benutzer mit Add-DistributionGroupMember zur Sicherheitsgruppe hinzu.

  6. Überprüfen Sie die Richtlinie mit Get-ApplicationAccessPolicy und testen Sie dann den Zugriff für einen bestimmten Benutzer mit Test-ApplicationAccessPolicy.

Compliance

  • Framework: Sonstiges
  • Schweregrad: Mittel
  • Diese Prüfung unterstützt die Einhaltung bewährter Methoden für Identitätssicherheit, ist jedoch an keinen spezifischen Compliance-Rahmen gebunden.

Verwandte Ressourcen

Microsoft references

War diese Seite hilfreich?

© 2026 Aether365. All rights reserved.