Aether365

Română

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Slovenčina
Slovenščina
Svenska
Українська

Română

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Slovenčina
Slovenščina
Svenska
Українська

Appearance

Exchange Application Access Policies should be configured

De ce este important

Fără politici de acces pentru aplicații, orice aplicație căreia i s-au acordat permisiuni Exchange Online poate accesa toate căsuțele poștale din organizația dumneavoastră, indiferent de rolurile utilizatorilor sau de necesități. Acest lucru creează un risc semnificativ de expunere a datelor, deoarece o singură acreditare compromisă a aplicației ar putea duce la exfiltrarea masivă a datelor sensibile din e-mailuri. Prin restricționarea accesului aplicațiilor doar la membrii autorizați prin grupuri de distribuție, respectați principiul privilegiilor minime și reduceți suprafața de atac.

Ce verifică Aether365

Aether365 scanează mediul Exchange Online pentru a verifica dacă politiciile de acces pentru aplicații sunt configurate pentru aplicațiile înregistrate care au permisiuni Exchange. Această verificare apare în tabloul de bord Aether365 sub categoria de servicii microsoft-365 și raportează orice aplicații care nu au un domeniu de politică definit.

Cum să remediați

  1. Conectați-vă la Exchange Online utilizând PowerShell:

    powershell
    Connect-ExchangeOnline

  2. Identificați detaliile înregistrării aplicației necesare pentru politică:

    • ID-ul aplicației (din înregistrarea aplicației Azure AD)
    • O convenție de denumire pentru grupul de securitate, de exemplu "AAP_" urmat de ID-ul aplicației
    • O descriere pentru politică

  3. Creați un grup de securitate activat pentru e-mail pentru a defini domeniul politicii, apoi ascundeți-l din lista globală de adrese:

    powershell
    $DGroup = New-DistributionGroup -Name $GroupName -Type Security
Start-Sleep -Seconds 5
Set-DistributionGroup -Identity $DGroup.WindowsEmailAddress -HiddenFromAddressListsEnabled $true

  4. Utilizați cmdlet-ul New-ApplicationAccessPolicy pentru a crea politica, specificând ID-ul aplicației, grupul de securitate ca domeniu și RestrictAccess ca drept de acces.

  5. Adăugați utilizatorii autorizați în grupul de securitate utilizând Add-DistributionGroupMember.

  6. Verificați politica cu Get-ApplicationAccessPolicy, apoi testați accesul pentru un anumit utilizator cu Test-ApplicationAccessPolicy.

Conformitate

  • Cadru: Altul
  • Severitate: Medie
  • Această verificare contribuie la alinierea cu cele mai bune practici de securitate a identității, dar nu este legată de un cadru de conformitate specific.

Resurse conexe

Microsoft references

Ți-a fost utilă această pagină?

© 2026 Aether365. All rights reserved.