Aether365

Nederlands

English
Deutsch
Français
Español
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Nederlands

English
Deutsch
Français
Español
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Exchange Application Access Policies should be configured

Waarom dit belangrijk is

Zonder toegangsbeleid voor applicaties kan elke toepassing die Exchange Online-machtigingen heeft gekregen, toegang krijgen tot alle postvakken in uw organisatie, ongeacht gebruikersrollen of noodzaak. Dit creëert een aanzienlijk risico op gegevensblootstelling, omdat één enkele gecompromitteerde app-credential kan leiden tot massale exfiltratie van gevoelige e-mailgegevens. Door app-toegang te beperken tot alleen geautoriseerde leden via distributiegroepen, past u het principe van minste privilege toe en verkleint u uw aanvalsoppervlak.

Wat Aether365 controleert

Aether365 scant uw Exchange Online-omgeving om te verifiëren dat toepassingsbeleid voor toegang is geconfigureerd voor geregistreerde toepassingen met Exchange-machtigingen. Deze controle verschijnt in uw Aether365-dashboard onder de categorie microsoft-365-service en rapporteert alle toepassingen die een gedefinieerde beleidsomvang missen.

Hoe u dit oplost

  1. Maak verbinding met Exchange Online via PowerShell:

    powershell
    Connect-ExchangeOnline

  2. Identificeer de details van uw applicatieregistratie die nodig zijn voor het beleid:

    • App-ID (van Azure AD-app-registratie)
    • Een naamgevingsconventie voor uw beveiligingsgroep, bijvoorbeeld "AAP_" gevolgd door de App-ID
    • Een beschrijving voor het beleid

  3. Maak een e-mailgeschakelde beveiligingsgroep om de beleidsomvang te definiëren en verberg deze vervolgens uit de globale adreslijst:

    powershell
    $DGroup = New-DistributionGroup -Name $GroupName -Type Security
Start-Sleep -Seconds 5
Set-DistributionGroup -Identity $DGroup.WindowsEmailAddress -HiddenFromAddressListsEnabled $true

  4. Gebruik de cmdlet New-ApplicationAccessPolicy om het beleid te maken, waarbij u de App-ID, de beveiligingsgroep als omvang en RestrictAccess als toegangsrecht opgeeft.

  5. Voeg geautoriseerde gebruikers toe aan de beveiligingsgroep met Add-DistributionGroupMember.

  6. Controleer het beleid met Get-ApplicationAccessPolicy en test vervolgens de toegang voor een specifieke gebruiker met Test-ApplicationAccessPolicy.

Naleving

  • Kader: Overig
  • Ernst: Gemiddeld
  • Deze controle helpt bij het afstemmen op best practices voor identiteitsbeveiliging, maar is niet gekoppeld aan een specifiek nalevingskader.

Gerelateerde bronnen

Microsoft references

Was deze pagina nuttig?

© 2026 Aether365. All rights reserved.