Condividi tramite


New-ApplicationAccessPolicy

Questo cmdlet è disponibile solamente nel servizio basato sul cloud.

Usare il cmdlet New-ApplicationAccessPolicy per limitare o negare l'accesso a un set specifico di cassette postali da parte di un'applicazione che usa LE API (Outlook REST, Microsoft Graph o Exchange Web Services (EWS).Use the New-ApplicationAccessPolicy cmdlet to restrict or deny access to a specific set of mailboxes by an application that uses APIs (Outlook REST, Microsoft Graph, or Exchange Web Services (EWS)). Questi criteri sono complementari agli ambiti di autorizzazione dichiarati dall'applicazione.

Per informazioni sui set di parametri nella sezione Sintassi, vedere Sintassi del cmdlet di Exchange.

Nota: I criteri di accesso alle app verranno presto sostituiti da ruoli basati Controllo di accesso per le applicazioni. Per altre informazioni, vedere Roles Based Controllo di accesso for Exchange Applications (Ruoli basati su Controllo di accesso per applicazioni Exchange).

Sintassi

New-ApplicationAccessPolicy
   -AccessRight <ApplicationAccessPolicyRight>
   -AppId <String[]>
   -PolicyScopeGroupId <RecipientIdParameter>
   [-Confirm]
   [-Description <String>]
   [-WhatIf]
   [<CommonParameters>]

Descrizione

È necessario disporre delle autorizzazioni prima di poter eseguire questo cmdlet. Sebbene in questo argomento vengano elencati tutti i parametri relativi al cmdlet, si potrebbe non avere accesso ad alcuni di essi qualora non siano inclusi nelle autorizzazioni assegnate. Per individuare le autorizzazioni necessarie per eseguire cmdlet o parametri nell'organizzazione, vedere Trovare le autorizzazioni necessarie per eseguire i cmdlet di Exchange.

È possibile creare un numero limitato di criteri nell'organizzazione in base a una quantità fissa di spazio. Se l'organizzazione esaurisce lo spazio per questi criteri, verrà visualizzato l'errore "Le dimensioni totali dei criteri di accesso alle app hanno superato il limite". Per massimizzare il numero di criteri e ridurre la quantità di spazio utilizzata dai criteri, impostare una descrizione di uno spazio per i criteri. Questo metodo consentirà circa 300 criteri (rispetto a un limite precedente di 100 criteri).

Anche se l'accesso alle risorse basato sull'ambito, ad esempio Mail.Read o Calendar.Read, è efficace per garantire che l'applicazione possa leggere solo messaggi di posta elettronica o eventi all'interno di una cassetta postale e non eseguire altre operazioni, i criteri di accesso alle applicazioni consentono agli amministratori di applicare limiti basati su un elenco di cassette postali. Ad esempio, le app sviluppate per un paese non devono avere accesso ai dati di altri paesi. In alternativa, un'applicazione di integrazione CRM deve accedere solo ai calendari nell'organizzazione sales e nessun altro reparto.

Ogni richiesta API che usa le API REST di Outlook o le API Microsoft Graph per una cassetta postale di destinazione eseguita da un'applicazione viene verificata usando le regole seguenti (nello stesso ordine):

  1. Se sono presenti più criteri di accesso alle applicazioni per la stessa coppia di applicazioni e cassette postali di destinazione, i criteri DenyAccess hanno la priorità su un criterio RestrictAccess.
  2. Se esiste un criterio DenyAccess per l'applicazione e la cassetta postale di destinazione, la richiesta di accesso dell'app viene negata (anche se esiste un criterio RestrictAccess).
  3. Se sono presenti criteri RestrictAccess che corrispondono all'applicazione e alla cassetta postale di destinazione, all'app viene concesso l'accesso.
  4. Se sono presenti criteri di limitazione per l'applicazione e la cassetta postale di destinazione non è un membro di tali criteri, all'applicazione viene negato l'accesso alla cassetta postale di destinazione.
  5. Se nessuna delle condizioni precedenti viene soddisfatta, all'applicazione viene concesso l'accesso alla cassetta postale di destinazione richiesta.

Esempio

Esempio 1

New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5", "6ac794ca-2697-4137-8754-d2a78ae47d93" -PolicyScopeGroupId "Engineering Staff" -Description "Engineering Group Policy"

In questo esempio viene creato un nuovo criterio di accesso alle applicazioni con le impostazioni seguenti:

  • AccessRight: DenyAccess
  • AppID: 3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5 e 6ac794ca-2697-4137-8754-d2a78ae47d93
  • PolicyScopeGroupId: Engineering Staff
  • Descrizione: Criteri di gruppo di progettazione

Esempio 2

New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app's access to members of security group EvenUsers."

In questo esempio viene creato un nuovo criterio di accesso alle applicazioni con le impostazioni seguenti:

  • AccessRight: RestrictAccess
  • AppID: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
  • PolicyScopeGroupId: EvenUsers@AppPolicyTest2.com
  • Descrizione: Limitare l'accesso di questa app ai membri del gruppo di sicurezza EvenUsers.

Esempio 3

New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId OddUsers@AppPolicyTest2.com -Description "Deny this app access to members of security group OddUsers."

In questo esempio viene creato un nuovo criterio di accesso alle applicazioni con le impostazioni seguenti:

  • AccessRight: DenyAccess
  • AppID: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
  • PolicyScopeGroupId: OddUsers@AppPolicyTest2.com
  • Descrizione: nega a questa app l'accesso ai membri del gruppo di sicurezza OddUsers.

Parametri

-AccessRight

Il parametro AccessRight consente di specificare il tipo di restrizione che si desidera assegnare nei criteri di accesso all'applicazione. I valori validi sono:

  • RestrictAccess: consente all'app associata di accedere solo ai dati associati alle cassette postali specificate dal parametro PolicyScopeGroupID.
  • DenyAccess: consente all'app associata di accedere solo ai dati non associati alle cassette postali specificate dal parametro PolicyScopeGroupID.
Type:ApplicationAccessPolicyIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-AppId

Il parametro Identity specifica il GUID delle app da includere nei criteri. Per trovare il valore GUID di un'app, eseguire il comando Get-App | Format-Table -Auto DisplayName,AppId.

È possibile specificare più valori GUID dell'app separati da virgole oppure è possibile specificare * per indicare tutte le applicazioni.

Type:String[]
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Confirm

L'opzione Confirm consente di specificare se visualizzare o nascondere la richiesta di conferma. L'impatto di questa opzione sul cmdlet dipende dalla richiesta di conferma del cmdlet prima di procedere.

  • I cmdlet distruttivi , ad esempio i cmdlet Remove-*, hanno una pausa predefinita che impone di confermare il comando prima di procedere. Per questi cmdlet, è possibile ignorare la richiesta di conferma usando questa precisa sintassi: -Confirm:$false.
  • La maggior parte degli altri cmdlet (ad esempio, i cmdlet New-* e Set-*) non hanno una pausa predefinita. Per questi cmdlet, specificando l'opzione Confirm senza un valore viene introdotta una pausa che impone all'utente di confermare il comando prima di procedere.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Description

Il parametro Description consente di specificare una descrizione per i criteri. Se il valore contiene degli spazi, è necessario racchiuderlo tra virgolette (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PolicyScopeGroupID

Il parametro PolicyScopeGroupID specifica il destinatario da definire nei criteri. I tipi di destinatario validi sono entità di sicurezza in Exchange Online (utenti o gruppi a cui possono essere assegnate autorizzazioni). Ad esempio:

  • Cassette postali con account utente associati (UserMailbox)
  • Utenti di posta elettronica, noti anche come utenti abilitati alla posta elettronica (MailUser)
  • Gruppi di sicurezza abilitati alla posta elettronica (MailUniversalSecurityGroup)

È possibile utilizzare qualsiasi valore che identifichi il destinatario in modo univoco. Esempio:

  • Nome
  • Nome
  • Nome distinto (DN)
  • Nome visualizzato
  • GUID

Per verificare che un destinatario sia un'entità di sicurezza, eseguire uno dei comandi seguenti: Get-Recipient -Identity <RecipientIdentity> | Select-Object IsValidSecurityPrincipal o Get-Recipient -ResultSize unlimited | Format-Table -Auto Name,RecipientType,RecipientTypeDetails,IsValidSecurityPrincipal.

Non è possibile usare destinatari che non sono entità di sicurezza con questo parametro. Ad esempio, i tipi di destinatari seguenti non funzioneranno:

  • Cassette postali di individuazione (DiscoveryMailbox)
  • Gruppi di distribuzione dinamici (DynamicDistributionGroup)
  • Gruppi di distribuzione (MailUniversalDistributionGroup)
  • Contatti di posta elettronica (MailContact)
  • Cartelle pubbliche abilitate per la posta elettronica (PublicFolder)
  • Gruppi di Microsoft 365 (GroupMailbox)
  • Cassette postali delle risorse (RoomMailbox o EquipmentMailbox)
  • Cassette postali condivise (SharedMailbox)

Se è necessario definire l'ambito dei criteri per le cassette postali condivise, è possibile aggiungere le cassette postali condivise come membri di un gruppo di sicurezza abilitato alla posta elettronica.

Type:RecipientIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-WhatIf

L'opzione WhatIf consente di simulare le azioni del comando. È possibile utilizzare tale opzione per visualizzare le modifiche che verrebbero applicate senza effettivamente applicarle. Con questa opzione non è necessario specificare alcun valore.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection