Aether365

Italiano

English
Deutsch
Français
Español
Nederlands
Türkçe
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Italiano

English
Deutsch
Français
Español
Nederlands
Türkçe
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Exchange Application Access Policies should be configured

Perché è Importante

Senza criteri di accesso alle applicazioni, qualsiasi applicazione a cui siano concesse autorizzazioni di Exchange Online può accedere a tutte le cassette postali della tua organizzazione, indipendentemente dai ruoli utente o dalle necessità effettive. Ciò crea un rischio significativo di esposizione dei dati, poiché la compromissione di una singola credenziale applicativa potrebbe portare all'esfiltrazione massiva di dati di posta elettronica sensibili. Limitando l'accesso delle applicazioni solo ai membri autorizzati tramite gruppi di distribuzione, implementi il principio del privilegio minimo e riduci la superficie d'attacco.

Cosa Controlla Aether365

Aether365 analizza il tuo ambiente Exchange Online per verificare che i criteri di accesso alle applicazioni siano configurati per le applicazioni registrate con autorizzazioni di Exchange. Questo controllo appare nella dashboard di Aether365 sotto la categoria di servizio microsoft-365 e segnala eventuali applicazioni prive di un ambito di criterio definito.

Come Risolvere

  1. Connettiti a Exchange Online utilizzando PowerShell:

    powershell
    Connect-ExchangeOnline

  2. Identifica i dettagli della registrazione dell'applicazione necessari per il criterio:

    • ID applicazione (dalla registrazione dell'app in Azure AD)
    • Una convenzione di denominazione per il gruppo di sicurezza, ad esempio "AAP_" seguito dall'ID applicazione
    • Una descrizione per il criterio

  3. Crea un gruppo di sicurezza abilitato alla posta per definire l'ambito del criterio, quindi nascondilo dall'elenco degli indirizzi globale:

    powershell
    $DGroup = New-DistributionGroup -Name $GroupName -Type Security
Start-Sleep -Seconds 5
Set-DistributionGroup -Identity $DGroup.WindowsEmailAddress -HiddenFromAddressListsEnabled $true

  4. Utilizza il cmdlet New-ApplicationAccessPolicy per creare il criterio, specificando l'ID applicazione, il gruppo di sicurezza come ambito e RestrictAccess come diritto di accesso.

  5. Aggiungi gli utenti autorizzati al gruppo di sicurezza utilizzando Add-DistributionGroupMember.

  6. Verifica il criterio con Get-ApplicationAccessPolicy, quindi testa l'accesso per un utente specifico con Test-ApplicationAccessPolicy.

Conformità

  • Framework: Altro
  • Gravità: Media
  • Questo controllo aiuta ad allinearsi alle migliori pratiche di sicurezza delle identità, ma non è legato a uno specifico framework di conformità.

Risorse Correlate

Microsoft references

Questa pagina ti è stata utile?

© 2026 Aether365. All rights reserved.