Aether365

Polski

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Polski

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Exchange Application Access Policies should be configured

Dlaczego to jest ważne

Bez zasad dostępu do aplikacji każda aplikacja, która otrzymała uprawnienia Exchange Online, może uzyskać dostęp do wszystkich skrzynek pocztowych w Twojej organizacji, niezależnie od ról użytkowników lub ich potrzeb. Tworzy to znaczące ryzyko narażenia danych, ponieważ jedno naruszone poświadczenie aplikacji może doprowadzić do masowej eksfiltracji poufnych danych e-mail. Ograniczając dostęp aplikacji tylko do autoryzowanych członków za pomocą grup dystrybucyjnych, egzekwujesz zasadę najmniejszych uprawnień i zmniejszasz powierzchnię ataku.

Co sprawdza Aether365

Aether365 skanuje środowisko Exchange Online w celu weryfikacji, czy zasady dostępu do aplikacji są skonfigurowane dla zarejestrowanych aplikacji z uprawnieniami Exchange. To sprawdzenie pojawia się na kokpicie Aether365 w kategorii usługi microsoft-365 i zgłasza wszystkie aplikacje, które nie mają zdefiniowanego zakresu zasad.

Jak naprawić

  1. Połącz się z Exchange Online przy użyciu programu PowerShell:

    powershell
    Connect-ExchangeOnline

  2. Zidentyfikuj szczegóły rejestracji aplikacji potrzebne do utworzenia zasad:

    • Identyfikator aplikacji (z rejestracji aplikacji w Azure AD)
    • Konwencję nazewnictwa dla grupy zabezpieczeń, na przykład "AAP_" po którym następuje Identyfikator aplikacji
    • Opis dla zasad

  3. Utwórz grupę zabezpieczeń z obsługą poczty do zdefiniowania zakresu zasad, a następnie ukryj ją z globalnej listy adresowej:

    powershell
    $DGroup = New-DistributionGroup -Name $GroupName -Type Security
Start-Sleep -Seconds 5
Set-DistributionGroup -Identity $DGroup.WindowsEmailAddress -HiddenFromAddressListsEnabled $true

  4. Użyj polecenia New-ApplicationAccessPolicy, aby utworzyć zasady, określając Identyfikator aplikacji, grupę zabezpieczeń jako zakres oraz RestrictAccess jako prawo dostępu.

  5. Dodaj autoryzowanych użytkowników do grupy zabezpieczeń za pomocą Add-DistributionGroupMember.

  6. Zweryfikuj zasady za pomocą Get-ApplicationAccessPolicy, a następnie przetestuj dostęp dla konkretnego użytkownika za pomocą Test-ApplicationAccessPolicy.

Zgodność

  • Ramy: Inne
  • Waga: Średnia
  • To sprawdzenie pomaga dostosować się do najlepszych praktyk zabezpieczeń tożsamości, ale nie jest powiązane z konkretnymi ramami zgodności.

Powiązane zasoby

Microsoft references

Czy ta strona była pomocna?

© 2026 Aether365. All rights reserved.