在 Exchange 中控制客户端应用对 EWS 的访问

了解用于管理客户端应用程序对 EWS 的访问的选项。

必须向你创建的任何 EWS 客户端应用程序授予对 Exchange Online、属于 Office 365 的一部分的 Exchange Online 或从 Exchange 2013 开始的 Exchange 版本的访问权限,然后它才能调用 EWS 操作。 测试或生产服务器管理员可以使用 Exchange 命令行管理程序限制所有用户和应用程序、单个用户或单个应用程序对 EWS 的访问。 EWS 的访问控制基于域帐户。 当使用由本地安全机构进行身份验证的凭据建立连接时,服务器将返回一个错误,指示只有域帐户才能连接。

EWS 客户端和用户的访问控制

测试或生产服务器管理员可以通过以下方式为连接到 EWS 的客户端配置访问控制:

  • 阻止所有客户端应用程序进行连接。

  • 仅允许特定客户端应用程序进行连接。

  • 允许任何客户端应用程序进行连接,但那些被特别阻止的客户端应用程序除外。

  • 允许任何客户端应用程序进行连接。

应用程序由它们在 HTTP Web 请求中发送的用户代理字符串标识。

重要

应用程序级别阻止不是安全功能。 用户代理字符串很容易被欺骗。 如果允许应用程序访问 EWS,则应用程序仍必须提供服务器进行身份验证的凭据,然后应用程序才能连接到 EWS。

管理员还可以通过以下方式为连接到 EWS 的邮箱所有者配置访问控制:

  • 阻止或允许整个组织。

  • 阻止或允许由基于角色的身份验证范围标识的一组用户,其中包括或排除没有 EWS 访问权限的邮箱所有者。

  • 阻止或允许单个邮箱所有者。

特定访问控制设置会覆盖常规访问控制设置。 例如,如果组织拒绝 EWS 访问,但允许单个邮箱所有者访问应用程序,则单个设置占上风并允许访问。

委派和 EWS 访问管理

当无权访问 EWS 的代理用户使用客户端应用程序时,他们将无法使用 EWS 访问主体用户的邮箱,即使主体用户具有 EWS 访问权限也是如此。 如果代理用户具有 EWS 访问权限,即使主体用户没有 EWS 访问权限,代理也能使用 EWS 客户端应用程序访问主体用户的邮箱。

模拟和 EWS 访问管理

代表邮箱所有者连接到 EWS 的客户端应用程序可能无法使用邮箱所有者的 EWS 设置。 例如,为公司存档电子邮件的应用程序必须连接到 EWS,而不管邮箱用户的设置是什么。 其他应用程序(如邮件客户端)必须使用邮箱所有者的 EWS 设置。

管理员应为其服务器上使用的每个应用程序或应用程序类创建模拟帐户。 这样,管理员就可以为所有没有 EWS 权限的用户配置基于角色的访问控制范围。

若要启用模拟帐户,测试或生产服务器管理员应执行以下操作之一:

  • 将“经过身份验证的用户”组添加到 Windows 2000 以前版本兼容的访问组。

  • 将 Exchange Server 组添加到 Windows 授权访问组。

用于访问管理的 Exchange 命令行管理程序 cmdlet

管理员使用以下 Exchange 命令行管理程序 cmdlet 配置 EWS 访问控制:

另请参阅