Partager via


Contrôler l’accès des applications clientes à EWS dans Exchange

Découvrez les options de gestion de l’accès des applications clientes à EWS.

Toute application cliente EWS que vous créez doit avoir accès à Exchange Online, Exchange Online dans le cadre d’Office 365 ou à la version d’Exchange à partir d’Exchange 2013 avant de pouvoir appeler des opérations EWS. Les administrateurs de serveur de test ou de production peuvent utiliser Exchange Management Shell pour limiter l’accès à EWS pour tous les utilisateurs et applications, pour des utilisateurs individuels ou pour des applications individuelles. Le contrôle d’accès pour EWS est basé sur les comptes de domaine. Lorsqu’une connexion est établie avec des informations d’identification authentifiées par l’autorité de sécurité locale, le serveur retourne une erreur qui indique que seuls les comptes de domaine peuvent se connecter.

Contrôle d’accès pour les clients et les utilisateurs EWS

Votre administrateur de serveur de test ou de production peut configurer le contrôle d’accès pour les clients qui se connectent à EWS des manières suivantes :

  • En bloquant la connexion de toutes les applications clientes.

  • En autorisant des applications clientes spécifiques à se connecter uniquement.

  • En autorisant une application cliente à se connecter à l’exception de celles qui sont spécifiquement bloquées.

  • En autorisant n’importe quelle application cliente à se connecter.

Les applications sont identifiées par la chaîne de l’agent utilisateur qu’elles envoient dans la requête web HTTP.

Importante

Le blocage au niveau de l’application n’est pas une fonctionnalité de sécurité. La chaîne de l’agent utilisateur est facilement usurpée. Si une application est autorisée à accéder à EWS, elle doit toujours présenter les informations d’identification authentifiées par le serveur avant que l’application puisse se connecter à EWS.

Les administrateurs peuvent également configurer le contrôle d’accès pour les propriétaires de boîtes aux lettres qui se connectent à EWS des manières suivantes :

  • En bloquant ou en autorisant une organisation entière.

  • En bloquant ou en autorisant un groupe d’utilisateurs identifié par une étendue d’authentification basée sur les rôles qui inclut ou exclut les propriétaires de boîtes aux lettres qui n’ont pas accès à EWS.

  • En bloquant ou en autorisant un propriétaire de boîte aux lettres individuel.

Les paramètres de contrôle d’accès spécifiques remplacent les paramètres de contrôle d’accès généraux. Par exemple, si une organisation refuse l’accès EWS mais qu’un propriétaire de boîte aux lettres individuel est autorisé à accéder à l’application, le paramètre individuel est défini et l’accès est autorisé.

Délégation et gestion des accès EWS

Lorsque les utilisateurs délégués qui n’ont pas accès à EWS utilisent votre application cliente, ils ne peuvent pas accéder à la boîte aux lettres de l’utilisateur principal à l’aide d’EWS, même si l’utilisateur principal a accès à EWS. Si l’utilisateur délégué dispose d’un accès EWS, le délégué peut utiliser votre application cliente EWS pour accéder à la boîte aux lettres de l’utilisateur principal, même si l’utilisateur principal n’a pas accès à EWS.

Emprunt d’identité et gestion des accès EWS

Les applications clientes qui se connectent à EWS pour le compte des propriétaires de boîtes aux lettres peuvent ne pas être en mesure d’utiliser les paramètres EWS du propriétaire de la boîte aux lettres. Par exemple, une application qui archive les messages électroniques d’une entreprise doit se connecter à EWS, quels que soient les paramètres des utilisateurs de la boîte aux lettres. D’autres applications, telles que les clients de messagerie, doivent utiliser les paramètres EWS du propriétaire de la boîte aux lettres.

Les administrateurs doivent créer un compte d’emprunt d’identité pour chaque application ou classe d’application qu’ils utilisent sur leur serveur. Cela permettra à l’administrateur de configurer l’étendue du contrôle d’accès en fonction du rôle pour tous les utilisateurs qui ne disposent pas des autorisations EWS.

Pour activer les comptes d’emprunt d’identité, votre administrateur de serveur de test ou de production doit effectuer l’une des opérations suivantes :

  • Ajoutez le groupe Utilisateurs authentifiés au groupe d’accès compatible pré-Win2K.

  • Ajoutez le groupe Serveurs Exchange au groupe Accès d’autorisation Windows.

Applets de commande Exchange Management Shell pour la gestion des accès

Les administrateurs utilisent les applets de commande Exchange Management Shell suivantes pour configurer les contrôles d’accès EWS :

Voir aussi