Partilhar via


New-ApplicationAccessPolicy

Esse cmdlet só está disponível no serviço baseado em nuvem.

Use o cmdlet New-ApplicationAccessPolicy para restringir ou negar o acesso a um conjunto específico de caixas de correio por um aplicativo que usa APIs (Outlook REST, Microsoft Graph ou Exchange Web Services (EWS)). Essas políticas são complementares aos escopos de permissão declarados pelo aplicativo.

Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.

Nota: Em breve, as políticas de acesso ao aplicativo serão substituídas por Controle de Acesso baseadas em funções para aplicativos. Para saber mais, confira funções baseadas em Controle de Acesso para aplicativos do Exchange.

Syntax

New-ApplicationAccessPolicy
   -AccessRight <ApplicationAccessPolicyRight>
   -AppId <String[]>
   -PolicyScopeGroupId <RecipientIdParameter>
   [-Confirm]
   [-Description <String>]
   [-WhatIf]
   [<CommonParameters>]

Description

Para executar esse cmdlet, você precisa ter permissões. Embora este tópico liste todos os parâmetros do cmdlet, talvez você não tenha acesso a alguns parâmetros se eles não estiverem incluídos nas permissões atribuídas a você. Para localizar as permissões necessárias para executar qualquer cmdlet ou parâmetro em sua organização, confira Find the permissions required to run any Exchange cmdlet.

Você pode criar um número limitado de políticas em sua organização com base em uma quantidade fixa de espaço. Se sua organização ficar sem espaço para essas políticas, você verá o erro: "O tamanho total das Políticas de Acesso ao Aplicativo excedeu o limite". Para maximizar o número de políticas e reduzir a quantidade de espaço consumida pelas políticas, defina uma descrição de caractere de espaço para a política. Esse método permitirá aproximadamente 300 políticas (contra um limite anterior de 100 políticas).

Embora o acesso a recursos baseados em escopo como Mail.Read ou Calendar.Read seja eficaz para garantir que o aplicativo só possa ler email ou eventos em uma caixa de correio e não fazer mais nada, as políticas de acesso ao aplicativo permitem que os administradores imponham limites baseados em uma lista de caixas de correio. Por exemplo, os aplicativos desenvolvidos para um país não devem ter acesso a dados de outros países. Ou, ou um aplicativo de integração crm só deve acessar calendários na organização Vendas e nenhum outro departamento.

Todas as solicitações de API usando as APIs REST do Outlook ou as APIs do Microsoft Graph em uma caixa de correio de destino feita por um aplicativo são verificadas usando as seguintes regras (na mesma ordem):

  1. Se houver várias políticas de acesso de aplicativo para o mesmo par de Caixa de Correio de Aplicativo e Destino, a política DenyAccess será priorizada em uma política RestrictAccess.
  2. Se existir uma política DenyAccess para o Aplicativo e a Caixa de Correio de Destino, a solicitação de acesso do aplicativo será negada (mesmo que exista uma política RestrictAccess).
  3. Se houver políticas de RestrictAccess que correspondam ao Aplicativo e à Caixa de Correio de Destino, o aplicativo receberá acesso.
  4. Se houver políticas de Restrição para o Aplicativo e a Caixa de Correio de Destino não for um membro dessas políticas, o aplicativo será negado acesso à caixa de correio de destino.
  5. Se nenhuma das condições acima for atendida, o aplicativo receberá acesso à caixa de correio de destino solicitada.

Exemplos

Exemplo 1

New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5", "6ac794ca-2697-4137-8754-d2a78ae47d93" -PolicyScopeGroupId "Engineering Staff" -Description "Engineering Group Policy"

Este exemplo cria uma nova política de acesso ao aplicativo com as seguintes configurações:

  • AccessRight: DenyAccess
  • AppIDs: 3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5 e 6ac794ca-2697-4137-8754-d2a78ae47d93
  • PolicyScopeGroupId: Equipe de engenharia
  • Descrição: Política de Grupo de engenharia

Exemplo 2

New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app's access to members of security group EvenUsers."

Este exemplo cria uma nova política de acesso ao aplicativo com as seguintes configurações:

  • AccessRight: RestrictAccess
  • AppIDs: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
  • PolicyScopeGroupId: EvenUsers@AppPolicyTest2.com
  • Descrição: restrinja o acesso deste aplicativo a membros do grupo de segurança EvenUsers.

Exemplo 3

New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId OddUsers@AppPolicyTest2.com -Description "Deny this app access to members of security group OddUsers."

Este exemplo cria uma nova política de acesso ao aplicativo com as seguintes configurações:

  • AccessRight: DenyAccess
  • AppIDs: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
  • PolicyScopeGroupId: OddUsers@AppPolicyTest2.com
  • Descrição: negar o acesso desse aplicativo a membros do grupo de segurança OddUsers.

Parâmetros

-AccessRight

O parâmetro AccessRight especifica o tipo de restrição que você deseja atribuir na política de acesso do aplicativo. Os valores válidos são:

  • RestrictAccess: permite que o aplicativo associado acesse apenas os dados associados às caixas de correio especificadas pelo parâmetro PolicyScopeGroupID.
  • DenyAccess: permite que o aplicativo associado acesse apenas dados que não estão associados às caixas de correio especificadas pelo parâmetro PolicyScopeGroupID.
Type:ApplicationAccessPolicyIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-AppId

O parâmetro Identity especifica o GUID dos aplicativos a serem incluídos na política. Para encontrar o valor de GUID de um aplicativo, execute o comando Get-App | Format-Table -Auto DisplayName,AppId.

Você pode especificar vários valores GUID de aplicativo separados por vírgulas ou especificar * para indicar todos os aplicativos.

Type:String[]
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Confirm

A opção Confirm especifica se a solicitação de confirmação deve ser mostrada ou ocultada. Como essa opção afeta o cmdlet dependerá do fato de o cmdlet exigir ou não confirmação antes de continuar.

  • Cmdlets destrutivos (por exemplo, cmdlets Remove-*) têm uma pausa interna que força você a reconhecer o comando antes de prosseguir. Para estes cmdlets, você pode pular o pedido de confirmação usando esta sintaxe exata: -Confirm:$false.
  • A maioria dos outros cmdlets (por exemplo, cmdlets New-* e Set-*) não tem uma pausa interna. Para esses cmdlets, especificar a opção Confirm sem um valor introduz uma pausa que força você a confirmar o comando antes de continuar.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Description

O parâmetro Description especifica uma descrição para a política. Se o valor contiver espaços, coloque-o entre aspas (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PolicyScopeGroupID

O parâmetro PolicyScopeGroupID especifica o destinatário a ser definido na política. Tipos de destinatário válidos são entidades de segurança em Exchange Online (usuários ou grupos que podem ter permissões atribuídas a eles). Por exemplo:

  • Caixas de correio com contas de usuário associadas (UserMailbox)
  • Usuários de email, também conhecidos como usuários habilitados para email (MailUser)
  • Grupos de segurança habilitados para email (MailUniversalSecurityGroup)

É possível usar qualquer valor que identifique o destinatário com exclusividade. Por exemplo:

  • Nome
  • Nome
  • Nome diferenciado (DN)
  • Nome para exibição
  • GUID

Para verificar se um destinatário é uma entidade de segurança, execute um dos seguintes comandos: Get-Recipient -Identity <RecipientIdentity> | Select-Object IsValidSecurityPrincipal ou Get-Recipient -ResultSize unlimited | Format-Table -Auto Name,RecipientType,RecipientTypeDetails,IsValidSecurityPrincipal.

Você não pode usar destinatários que não são entidades de segurança com esse parâmetro. Por exemplo, os seguintes tipos de destinatários não funcionarão:

  • Caixas de correio de descoberta (DiscoveryMailbox)
  • Grupos de distribuição dinâmica (DynamicDistributionGroup)
  • Grupos de distribuição (MailUniversalDistributionGroup)
  • Contatos por email (MailContact)
  • Pastas públicas habilitadas para email (PublicFolder)
  • Grupos do Microsoft 365 (GroupMailbox)
  • Caixas de correio de recursos (RoomMailbox ou EquipmentMailbox)
  • Caixas de correio compartilhadas (SharedMailbox)

Se você precisar escopo da política para caixas de correio compartilhadas, você pode adicionar as caixas de correio compartilhadas como membros de um grupo de segurança habilitado para email.

Type:RecipientIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-WhatIf

A opção WhatIf simula as ações do comando. Você pode usar essa opção para exibir as alterações que ocorreriam sem realmente aplicar essas alterações. Não é preciso especificar um valor com essa opção.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection