Controlar o acesso do aplicativo cliente ao EWS no Exchange
Saiba mais sobre as opções para gerenciar o acesso do aplicativo cliente ao EWS.
Qualquer aplicativo cliente do EWS criado deve ter acesso ao Exchange Online, Exchange Online como parte do Office 365 ou versão do Exchange a partir do Exchange 2013 antes de poder chamar as operações do EWS. Os administradores de servidor de teste ou de produção podem usar o Shell de Gerenciamento do Exchange para limitar o acesso ao EWS de todos os usuários e aplicativos, usuários individuais ou aplicativos individuais. O controle de acesso do EWS é baseado em contas de domínio. Quando uma conexão é feita com credenciais autenticadas pela autoridade de segurança local, o servidor retorna um erro que indica que somente contas de domínio podem se conectar.
Controle de acesso para clientes e usuários do EWS
O administrador do servidor de teste ou produção pode configurar o controle de acesso para clientes que se conectam ao EWS das seguintes maneiras:
Ao bloquear a conexão de todos os aplicativos cliente.
Ao permitir que apenas aplicativos clientes específicos se conectem.
Ao permitir que qualquer aplicativo cliente se conecte, exceto aqueles especificamente bloqueados.
Ao permitir que qualquer aplicativo cliente se conecte.
Os aplicativos são identificados pela cadeia de caracteres de agente de usuário que eles enviam na solicitação da Web HTTP.
Importante
O bloqueio no nível do aplicativo não é um recurso de segurança. A cadeia de caracteres de agente de usuário é facilmente falsificada. Se um aplicativo tiver permissão de acesso ao EWS, o aplicativo ainda deverá apresentar credenciais que o servidor autentica antes que o aplicativo possa se conectar ao EWS.
Os administradores também podem configurar o controle de acesso para proprietários de caixas de correio que se conectam ao EWS das seguintes maneiras:
Ao bloquear ou permitir uma organização inteira.
Ao bloquear ou permitir um grupo de usuários identificados por um escopo de autenticação baseado em função que inclui ou exclui proprietários de caixa de correio que não têm acesso ao EWS.
Ao bloquear ou permitir um proprietário de caixa de correio individual.
As configurações específicas de controle de acesso substituem as configurações gerais de controle de acesso. Por exemplo, se uma organização negar o acesso ao EWS, mas um proprietário de caixa de correio individual tiver permissão para acessar o aplicativo, a configuração individual prevalecerá e o acesso será permitido.
Delegação e gerenciamento de acesso do EWS
Quando os usuários delegados que não têm acesso ao EWS usam seu aplicativo cliente, eles não poderão acessar a caixa de correio do usuário principal usando o EWS, mesmo que o usuário principal tenha acesso ao EWS. Se o usuário delegado tiver acesso ao EWS, ele poderá usar seu aplicativo cliente do EWS para acessar a caixa de correio do usuário principal, mesmo que o usuário principal não tenha acesso ao EWS.
Gerenciamento de representação e acesso ao EWS
Os aplicativos cliente que se conectam ao EWS em nome dos proprietários da caixa de correio podem não conseguir usar as configurações do EWS do proprietário da caixa de correio. Por exemplo, um aplicativo que arquiva mensagens de email de uma empresa precisa se conectar ao EWS, independentemente das configurações dos usuários da caixa de correio. Outros aplicativos, como clientes de email, precisam usar as configurações do EWS do proprietário da caixa de correio.
Os administradores devem criar uma conta de representação para cada aplicativo ou classe de aplicativo que usam em seu servidor. Isso permitirá que o administrador configure o escopo de controle de acesso baseado em função para todos os usuários que não têm permissões do EWS.
Para habilitar contas de representação, o administrador do servidor de teste ou produção deve seguir um destes procedimentos:
Adicionar o grupo de Usuários Autenticados ao Grupo de Acesso Compatível com Pré-Win2K.
Adicionar o grupo de Exchange Servers ao grupo de Acesso de Autorização do Windows.
Cmdlets do Shell de Gerenciamento do Exchange para gerenciamento de acesso
Os administradores usam os seguintes cmdlets do Shell de Gerenciamento do Exchange para configurar os controles de acesso ao EWS: