Aether365

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Español

English
Deutsch
Français
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Exchange Application Access Policies should be configured

Por Que Es Importante

Sin políticas de acceso a aplicaciones, cualquier aplicación con permisos de Exchange Online puede acceder a todos los buzones de su organización, independientemente de los roles o necesidades del usuario. Esto genera un riesgo considerable de exposición de datos, ya que una sola credencial de aplicación comprometida podría provocar la exfiltración masiva de datos confidenciales de correo electrónico. Al restringir el acceso de las aplicaciones únicamente a miembros autorizados mediante grupos de distribución, aplica el principio de privilegio mínimo y reduce la superficie de ataque.

Que Verifica Aether365

Aether365 examina su entorno de Exchange Online para confirmar que las políticas de acceso a aplicaciones estén configuradas para las aplicaciones registradas con permisos de Exchange. Esta verificación aparece en su panel de control de Aether365 bajo la categoría de servicio microsoft-365 y reporta cualquier aplicación que carezca de un ámbito de política definido.

Como Solucionarlo

  1. Conéctese a Exchange Online mediante PowerShell:

    powershell
    Connect-ExchangeOnline

  2. Identifique los detalles de registro de su aplicación necesarios para la política:

    • ID de aplicación (del registro de aplicaciones de Azure AD)
    • Una convención de nomenclatura para su grupo de seguridad, como "AAP_" seguido del ID de aplicación
    • Una descripción para la política

  3. Cree un grupo de seguridad habilitado para correo para definir el ámbito de la política y, luego, ocúltelo de la lista global de direcciones:

    powershell
    $DGroup = New-DistributionGroup -Name $GroupName -Type Security
Start-Sleep -Seconds 5
Set-DistributionGroup -Identity $DGroup.WindowsEmailAddress -HiddenFromAddressListsEnabled $true

  4. Use el cmdlet New-ApplicationAccessPolicy para crear la política, especificando el ID de aplicación, el grupo de seguridad como ámbito y RestrictAccess como derecho de acceso.

  5. Agregue usuarios autorizados al grupo de seguridad mediante Add-DistributionGroupMember.

  6. Verifique la política con Get-ApplicationAccessPolicy y, luego, pruebe el acceso para un usuario específico con Test-ApplicationAccessPolicy.

Cumplimiento Normativo

  • Marco: Otro
  • Gravedad: Media
  • Esta verificación contribuye a alinearse con las prácticas recomendadas de seguridad de identidades, pero no esta vinculada a un marco normativo especifico.

Recursos Relacionados

Microsoft references

¿Te resultó útil esta página?

© 2026 Aether365. All rights reserved.