Aether365

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Português

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Română
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Exchange Application Access Policies should be configured

Por Que Isso É Importante

Sem políticas de acesso a aplicativos, qualquer aplicativo com permissões do Exchange Online pode acessar todas as caixas de correio da sua organização, independentemente das funções ou necessidades dos usuários. Isso cria um risco significativo de exposição de dados, pois uma única credencial de aplicativo comprometida pode levar à exfiltração em massa de dados de e-mail confidenciais. Ao restringir o acesso do aplicativo apenas a membros autorizados por meio de grupos de distribuição, você aplica o princípio do privilégio mínimo e reduz sua superfície de ataque.

O Que o Aether365 Verifica

O Aether365 verifica seu ambiente do Exchange Online para confirmar se as políticas de acesso a aplicativos estão configuradas para aplicativos registrados com permissões do Exchange. Essa verificação aparece no painel do Aether365 sob a categoria de serviço microsoft-365 e relata quaisquer aplicativos sem um escopo de política definido.

Como Corrigir

  1. Conecte-se ao Exchange Online usando o PowerShell:

    powershell
    Connect-ExchangeOnline

  2. Identifique os detalhes do registro do seu aplicativo necessários para a política:

    • ID do aplicativo (do registro do aplicativo no Azure AD)
    • Uma convenção de nomenclatura para seu grupo de segurança, como "AAP_" seguido pelo ID do aplicativo
    • Uma descrição para a política

  3. Crie um grupo de segurança habilitado para e-mail para definir o escopo da política e oculte-o da lista de endereços global:

    powershell
    $DGroup = New-DistributionGroup -Name $GroupName -Type Security
Start-Sleep -Seconds 5
Set-DistributionGroup -Identity $DGroup.WindowsEmailAddress -HiddenFromAddressListsEnabled $true

  4. Use o cmdlet New-ApplicationAccessPolicy para criar a política, especificando o ID do aplicativo, o grupo de segurança como escopo e RestrictAccess como direito de acesso.

  5. Adicione usuários autorizados ao grupo de segurança usando Add-DistributionGroupMember.

  6. Verifique a política com Get-ApplicationAccessPolicy e, em seguida, teste o acesso para um usuário específico com Test-ApplicationAccessPolicy.

Conformidade

  • Framework: Outro
  • Severidade: Média
  • Esta verificação ajuda a se alinhar com as melhores práticas de segurança de identidade, mas não está vinculada a um framework de conformidade específico.

Recursos Relacionados

Microsoft references

Esta página foi útil?

© 2026 Aether365. All rights reserved.