Overslaan naar inhoud
Nederlands
  • Er zijn geen suggesties want het zoekveld is leeg.

Waarom de read-only app Exchange.ManageAsApp aanvraagt

Tijdens onboarding-stap 1 geeft u consent aan de [ATTIC] M365 RO app. Deze app heeft uitsluitend application permissions met leesrechten, met één schijnbare uitzondering: Exchange.ManageAsApp.

De naam van deze permissie suggereert schrijfrechten, en het consent-scherm legt de reikwijdte niet uit. Dit artikel legt uit waarom de permissie wordt aangevraagd, waarom Attic hiermee géén schrijfrechten krijgt op uw Exchange Online omgeving, en hoe u dit zelf kunt verifiëren.

Reden

Exchange Online biedt geen granulaire read-only application permissions zoals Microsoft Graph dat doet. Er bestaat geen Exchange.Read.All waarvoor een app consent kan krijgen. In plaats daarvan biedt Microsoft één permissie, Exchange.ManageAsApp, die precies één ding doet: een application toestaan te authenticeren bij Exchange Online PowerShell zonder ingelogde gebruiker.

Exchange.ManageAsApp verleent authenticatie, geen autorisatie. Op zichzelf geeft de permissie een app geen toegang tot mailboxen, policies of configuratiegegevens. Het is de sleutel tot de deur, niet de toestemming om iets in de kamer aan te raken.

Wat de app daadwerkelijk mag doen, wordt volledig bepaald door de Entra ID directory roles die in onboarding-stap 2 aan de service principal worden toegewezen. Attic wijst uitsluitend reader-rollen toe:

  • Global Reader — leest alle tenant configuration en settings
  • Security Reader — leest security-gerelateerde data zoals alerts, incidents en policies
  • Teams Reader — leest Microsoft Teams configuration en settings

Omdat Global Reader een read-only rol is, is elke Exchange Online cmdlet die de app via Exchange.ManageAsApp kan bereiken een lees-cmdlet. Get-Mailbox, Get-OrganizationConfig en Get-TransportRule slagen. Set-Mailbox, New-TransportRule en alle andere schrijf-cmdlets worden door Exchange Online zelf geweigerd, omdat de service principal geen rol heeft die dit toestaat.

Dit is geen interpretatie van Attic. Microsoft beschrijft hetzelfde mechanisme in de eigen documentatie over app-only authentication:

The application object provisioned inside Microsoft Entra ID has a Directory Role assigned to it, which is returned in the access token. The session's role based access control (RBAC) is configured using the directory role information that's available in the token.

In datzelfde artikel staat onder Option 1: Assign Microsoft Entra roles to the application een overzicht van de directory roles die Microsoft ondersteunt voor app-only toegang tot Exchange Online PowerShell. Global Reader staat in die lijst, naast privileged rollen zoals Exchange Administrator en Global Administrator. De sessie krijgt de rechten van de toegewezen rol, en niet meer dan dat. Attic gebruikt de reader-rol uit die lijst; de rollen met schrijfrechten zijn juist de rollen die Attic niet toewijst.

Dit is ook de reden dat de permissie niet zomaar weggelaten kan worden. Zonder Exchange.ManageAsApp kan Attic geen verbinding maken met Exchange Online, en stoppen alle Exchange-gerelateerde checks (mail flow, anti-phishing configuratie, mailbox forwarding, audit settings) met werken.

Reikwijdte

De effectieve toegang is de doorsnede van de permissie en de rol:

Onderdeel Wat het doet Wat het niet doet
Exchange.ManageAsApp Staat app-only authenticatie bij Exchange Online PowerShell toe Geeft op zichzelf geen toegang tot data of cmdlets
Global Reader rol Geeft leestoegang tot tenant- en Exchange-configuratie Staat geen write-, create- of delete-operaties toe

Het resultaat is read-only. Om de app schrijfrechten te geven zou een andere directory role toegewezen moeten worden, zoals Exchange Administrator. Dat doet Attic niet bij read-only onboarding.

Zelf verifiëren

U kunt de reikwijdte in uw eigen tenant controleren zonder contact op te nemen met Attic:

  1. Log in op het Microsoft Entra admin center.
  2. Ga naar Identity > Applications > Enterprise applications.
  3. Zoek [ATTIC] M365 RO en open de app.
  4. Bekijk onder Security > Permissions de verleende application permissions. Alle vermeldingen zijn leespermissies, aangevuld met Exchange.ManageAsApp.
  5. Controleer onder Roles and administrators dat uitsluitend Global Reader, Security Reader en Teams Reader zijn toegewezen.

Staat er een andere rol dan een reader-rol vermeld, dan is de app niet langer read-only. Neem in dat geval contact op met Attic.

Impact

  • Attic kan uw Exchange Online configuratie uitlezen en hierover rapporteren.
  • Attic kan via deze app geen mailboxen, mail flow rules of Exchange policies wijzigen.
  • Het verwijderen van Exchange.ManageAsApp schakelt alle Exchange Online checks uit. Het maakt de overige permissies niet veiliger, omdat die al read-only zijn.

Meer informatie