Configurar la suplantación
Aprenda a otorgar el rol de suplantación a una cuenta de servicio usando el Shell de administración de Exchange.
La suplantación permite que un llamador, como una aplicación de servicio, suplante una cuenta de usuario. El llamador puede realizar operaciones usando los permisos asociados a la cuenta de suplantación en lugar de los permisos asociados con la cuenta del llamador.
Exchange Online, Exchange Online como parte de Office 365 y las versiones de Exchange a partir de Exchange 2013 usan el control de acceso basado en roles (RBAC) para asignar permisos a las cuentas. El administrador del servidor Exchange deberá conceder a la cuenta de servicio que suplantará a otros usuarios el rol ApplicationImpersonation usando el cmdlet New-ManagementRoleAssignment.
Configurar el rol ApplicationImpersonation
Cuando usted o el administrador del servidor Exchanger asigne el rol ApplicationImpersonation, use los parámetros siguientes del cmdlet New-ManagementRoleAssignment:
- Nombre : nombre descriptivo de la asignación de roles. Cada vez que asigna un rol, se realiza una entrada en la lista de roles RBAC. Puede comprobar las asignaciones de funciones con el cmdlet Get-ManagementRoleAssignment.
- Rol : rol de RBAC que se va a asignar. Al configurar la suplantación, se asigna el rol ApplicationImpersonation.
- Usuario : la cuenta de servicio.
- CustomRecipientScope : el ámbito de los usuarios a los que la cuenta de servicio puede suplantar. La cuenta de servicio solo tendrá permitido suplantar a otros usuarios dentro del ámbito especificado. Si no se especifica ningún ámbito, la cuenta de servicio tiene el rol ApplicationImpersonation sobre todos los usuarios de una organización. Puede crear ámbitos de administración personalizada usando el cmdlet New-ManagementScope.
Antes de configurar la suplantación, necesita:
- Credenciales administrativas para el servidor Exchange.
- Credenciales de administrador de dominio u otras credenciales con permiso para crear y asignar roles y ámbitos.
- Herramientas de administración de Exchange. Están instaladas en el equipo desde el que se ejecutan los comandos.
Para configurar la suplantación para todos los usuarios de una organización
Abra el Shell de administración de Exchange. En el menú Inicio, elija Todos los programas>Microsoft Exchange Server 2013.
Ejecute el cmdlet New-ManagementRoleAssignment para agregar el permiso de suplantación en el usuario especificado. En el ejemplo siguiente se muestra cómo configurar la suplantación para permitir que una cuenta de servicio suplante a los demás usuarios de una organización.
New-ManagementRoleAssignment -name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount
Para configurar la suplantación de usuarios o grupos de usuarios específicos
Abra el Shell de administración de Exchange. En el menú Inicio, elija Todos los programas>Microsoft Exchange Server 2013.
Ejecute el cmdlet New-ManagementScope para crear un ámbito al que se pueda asignar el rol de suplantación. Si hay un ámbito existente, puede omitir este paso. En el ejemplo siguiente se muestra cómo crear un ámbito de administración para un grupo específico.
New-ManagementScope -Name:scopeName -RecipientRestrictionFilter:recipientFilter
El parámetro RecipientRestrictionFilter del cmdlet New-ManagementScope define los miembros del ámbito. Puede usar las propiedades del objeto Identity para crear el filtro. El siguiente ejemplo es un filtro que restringe el resultado a un solo usuario con el usuario nombre de usuario "john".
Name -eq "john"
Ejecute el cmdlet New-ManagementRoleAssignment para agregar el permiso para suplantar a los miembros del ámbito especificado. El ejemplo siguiente muestra cómo configurar una cuenta de servicio para suplantar a todos los usuarios de un ámbito.
New-ManagementRoleAssignment -Name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount -CustomRecipientWriteScope:scopeName
Después de que el administrador conceda los permisos de suplantación, puede usar la cuenta de servicio para realizar llamadas con las cuentas de otros usuarios. Puede comprobar las asignaciones de funciones con el cmdlet Get-ManagementRoleAssignment.