Aether365

Français

English
Deutsch
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Français

English
Deutsch
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Exchange Application Access Policies should be configured

Pourquoi c'est important

Sans stratégies d'accès aux applications, toute application disposant d'autorisations Exchange Online peut accéder à toutes les boîtes aux lettres de votre organisation, quel que soit le rôle ou le besoin de l'utilisateur. Cela crée un risque important d'exposition des données, car une seule information d'identification d'application compromise pourrait entraîner l'exfiltration massive de données de messagerie sensibles. En limitant l'accès des applications aux seuls membres autorisés via des groupes de distribution, vous appliquez le principe du moindre privilège et réduisez votre surface d'attaque.

Ce que Aether365 vérifie

Aether365 analyse votre environnement Exchange Online pour s'assurer que les stratégies d'accès aux applications sont configurées pour les applications enregistrées disposant d'autorisations Exchange. Cette vérification apparaît dans votre tableau de bord Aether365 sous la catégorie de service microsoft-365 et signale toute application manquant d'un périmètre de stratégie défini.

Comment corriger

  1. Connectez-vous à Exchange Online à l'aide de PowerShell :

    powershell
    Connect-ExchangeOnline

  2. Identifiez les détails d'enregistrement de votre application nécessaires à la stratégie :

    • ID d'application (à partir de l'enregistrement d'application Azure AD)
    • Une convention de nommage pour votre groupe de sécurité, telle que "AAP_" suivie de l'ID d'application
    • Une description pour la stratégie

  3. Créez un groupe de sécurité compatible avec la messagerie pour définir le périmètre de la stratégie, puis masquez-le de la liste d'adresses globale :

    powershell
    $DGroup = New-DistributionGroup -Name $GroupName -Type Security
Start-Sleep -Seconds 5
Set-DistributionGroup -Identity $DGroup.WindowsEmailAddress -HiddenFromAddressListsEnabled $true

  4. Utilisez l'applet de commande New-ApplicationAccessPolicy pour créer la stratégie, en spécifiant l'ID d'application, le groupe de sécurité comme périmètre et RestrictAccess comme droit d'accès.

  5. Ajoutez les utilisateurs autorisés au groupe de sécurité à l'aide d'Add-DistributionGroupMember.

  6. Vérifiez la stratégie avec Get-ApplicationAccessPolicy, puis testez l'accès pour un utilisateur spécifique avec Test-ApplicationAccessPolicy.

Conformité

  • Cadre : Autre
  • Gravité : Moyenne
  • Cette vérification contribue à s'aligner sur les meilleures pratiques de sécurité des identités, mais n'est liée à aucun cadre de conformité spécifique.

Ressources associées

Microsoft references

Cette page vous a-t-elle été utile ?

© 2026 Aether365. All rights reserved.