Aether365

Українська

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska

Українська

English
Deutsch
Français
Español
Nederlands
Türkçe
Italiano
Ελληνικά
Polski
Български
Čeština
Dansk
Eesti
Suomi
Magyar
Lietuvių
Latviešu
Norsk bokmål
Português
Română
Slovenčina
Slovenščina
Svenska

Appearance

Exchange Application Access Policies should be configured

Чому це важливо

Без політик доступу до застосунків будь-який застосунок, якому надано дозволи Exchange Online, може отримувати доступ до всіх поштових скриньок вашої організації незалежно від ролей користувачів або потреб. Це створює значний ризик витоку даних, оскільки єдиний скомпрометований обліковий запис застосунку може призвести до масового викрадення конфіденційних даних електронної пошти. Обмежуючи доступ застосунків лише авторизованими учасниками через групи розсилки, ви реалізуєте принцип найменших привілеїв і зменшуєте поверхню атаки.

Що перевіряє Aether365

Aether365 сканує ваше середовище Exchange Online, щоб переконатися, що політики доступу до застосунків налаштовані для зареєстрованих застосунків із дозволами Exchange. Ця перевірка відображається на панелі керування Aether365 у категорії служби microsoft-365 та повідомляє про будь-які застосунки, які не мають визначеної області дії політики.

Як виправити

  1. Підключіться до Exchange Online за допомогою PowerShell:

    powershell
    Connect-ExchangeOnline

  2. Визначте дані реєстрації застосунку, необхідні для політики:

    • Ідентифікатор застосунку (з реєстрації застосунку Azure AD)
    • Узгоджене ім'я для групи безпеки, наприклад "AAP_" з наступним ідентифікатором застосунку
    • Опис політики

  3. Створіть групу безпеки з підтримкою пошти для визначення області дії політики, потім приховайте її з глобального списку адрес:

    powershell
    $DGroup = New-DistributionGroup -Name $GroupName -Type Security
Start-Sleep -Seconds 5
Set-DistributionGroup -Identity $DGroup.WindowsEmailAddress -HiddenFromAddressListsEnabled $true

  4. Використовуйте командлет New-ApplicationAccessPolicy для створення політики, вказавши ідентифікатор застосунку, групу безпеки як область дії та RestrictAccess як право доступу.

  5. Додайте авторизованих користувачів до групи безпеки за допомогою Add-DistributionGroupMember.

  6. Перевірте політику за допомогою Get-ApplicationAccessPolicy, потім перевірте доступ для конкретного користувача за допомогою Test-ApplicationAccessPolicy.

Відповідність

  • Структура: Інше
  • Серйозність: Середня
  • Ця перевірка допомагає дотримуватися найкращих практик безпеки ідентифікації, але не прив'язана до конкретної структури відповідності.

Пов'язані ресурси

Microsoft references

Ця сторінка була корисною?

© 2026 Aether365. All rights reserved.