Representação e EWS no Exchange

Saiba como e quando usar a representação em seus aplicativos de serviço do Exchange.

Você pode permitir que os usuários acessem as caixas de correio de outros usuários de três maneiras:

• Adicione delegados e especificando permissões para cada delegado.

• Modifique as permissões de pasta diretamente.

• Use representação.

Quando você deve escolher a representação em vez de delegação ou permissões da pasta? As diretrizes a seguir ajudarão você a decidir.

• Use as permissões de pasta quando desejar fornecer acesso a uma pasta para um usuário, mas não quiser que o usuário tenha permissões "enviar em nome de".

• Use o acesso de representante quando desejar dar permissão a um usuário para realizar o trabalho em nome de outro usuário. Geralmente, essa é uma permissão individual ou de um indivíduo para poucos. Por exemplo, um único assistente administrativo gerenciando o calendário de um administrador, ou um único agendador de sala gerenciando os calendários para um grupo de salas de reunião.

• Use a representação quando você tiver um aplicativo de serviço que precisa acessar várias caixas de correio e "atua como" o proprietário da caixa de correio.

A representação é a melhor opção quando você lida com várias caixas de correio porque pode conceder acesso a uma conta de serviço para cada caixa de correio em um banco de dados. A delegação e as permissões da pasta são melhores quando você concede acesso a apenas alguns usuários, pois tem que adicionar permissões individualmente a cada caixa de correio. A Figura 1 mostra algumas das diferenças entre cada tipo de acesso.

Figura 1. Maneiras de acessar as caixas de correio de outros usuários

A representação é ideal para aplicativos que se conectam ao Exchange Online, o Exchange Online como parte do Office 365, e as versões locais do Exchange, e realizam operações como arquivar emails, configurar a OOF automaticamente para os usuários em férias, ou qualquer outra tarefa que exija que o aplicativo atue como o proprietário de uma caixa de correio. Quando um aplicativo usa a representação para enviar uma mensagem, o email parece ser enviado do proprietário da caixa de correio. Não é possível que o destinatário saiba que o email foi enviado pela conta de serviço. As delegações, por outro lado, oferecem permissão a outra conta de caixa de correio para agir em nome de um proprietário de caixa de correio. Quando uma mensagem de email é enviada por um representante, o valor "de" identifica o proprietário da caixa de correio e o valor de "remetente" identifica o representante que enviou o email.

Considerações de segurança para a representação

A representação permite que um chamador represente uma determinada conta de usuário. Isso permite que o chamador realize operações usando as permissões associadas à conta personificada, em vez das permissões associadas à conta do chamador. Por esse motivo, você deverá estar ciente das seguintes considerações de segurança:

• Somente as contas que receberam a função ApplicationImpersonation de um administrador do Exchange Server podem usar a representação.

• Para o Exchange local, você deve criar um escopo de gerenciamento que limite a representação a um grupo de contas especificado. Se você não criar um escopo de gerenciamento, a função ApplicationImpersonation será concedida a todas as contas de uma organização. Se você tiver configurado a Autenticação Moderna Híbrida, também poderá usar Microsoft Entra Acesso Condicional para aplicar o controle de acesso.

• Para Exchange Online, você deve criar um escopo de gerenciamento que limite a representação a um grupo de contas especificado. Se você não criar um escopo de gerenciamento, a função ApplicationImpersonation será concedida a todas as contas de uma organização. Você também pode usar Microsoft Entra Acesso Condicional para aplicar o controle de acesso.

• Geralmente, a função ApplicationImpersonation é concedida a uma conta de serviço dedicada a um determinado aplicativo ou grupo de aplicativos, em vez de uma conta de usuário. Você pode criar quantas contas de serviços forem necessárias.

Você pode ler mais sobre configurando a representação, mas você deve trabalhar com o administrador do Exchange para garantir que as contas de serviço necessárias sejam criadas com as permissões e acessos que atendam aos requisitos de segurança da sua organização.

Nesta seção

• Configurar a representação

• Identificar a conta a ser representada

• Adicionar compromissos usando a representação do Exchange

Considerações de desempenho para a representação do EWS

Quando a representação do EWS é usada, o X-AnchorMailbox sempre deve ser definido corretamente. Caso contrário, você poderá receber mensagens de erro 500 ou 503. É fundamental para o desempenho e para obter notificações com o Exchange Online/Exchange 2013. Não configurá-lo pode dobrar ou triplicar o tempo necessário para concluir a chamada. Em alguns casos, você também pode obter um esgotamento do tempo.

Confira também

• Desenvolver clientes do serviço Web para o Exchange

• Acesso de representante e EWS no Exchange

• Permissões do Exchange 2013