Anwendungsberechtigungen für bestimmte Exchange Online-Postfächer einschränken

Administratoren, die den App-Zugriff auf bestimmte Postfächer beschränken möchten, können mithilfe des PowerShell-Cmdlets New-ApplicationAccessPolicy eine Anwendungszugriffsrichtlinie erstellen. In diesem Artikel werden die grundlegenden Schritte zum Konfigurieren der Zugriffssteuerung behandelt. Diese Schritte gelten spezifisch für Exchange Online Ressourcen und gelten nicht für andere Microsoft Graph-Workloads.

Hintergrund

Einige Anwendungen rufen Microsoft Graph über ihre eigene Identität und nicht im Namen eines Benutzers auf. Bei diesen Apps handelt es sich in der Regel um Hintergrunddienste oder Daemon-Apps, die auf einem Server ohne angemeldeten Benutzer ausgeführt werden. Diese Apps verwenden den Flow zur Gewährung von OAuth 2.0-Clientanmeldeinformationen zur Authentifizierung und sind mit Anwendungsberechtigungen konfiguriert, sodass diese Apps standardmäßig auf alle Postfächer in einem organization auf Exchange Online zugreifen können. Die Anwendungsberechtigung Mail.Read ermöglicht beispielsweise Anwendungen das Auslesen von E-Mails in allen Postfächern, ohne dass ein Benutzer angemeldet ist.

Wichtig

Standardmäßig können Apps, denen Anwendungsberechtigungen für die folgenden Datasets erteilt wurden, auf alle Postfächer im organization zugreifen:

• Kalender
• Kontakte
• E-Mail
• Postfacheinstellungen

Administratoren können die App-Zugriffsrichtlinie so konfigurieren, dass der Zugriff auf bestimmte Postfächer eingeschränkt wird.

Es gibt Szenarien, in denen Administratoren eine App auf bestimmte Postfächer und nicht auf alle Exchange Online Postfächer im organization beschränken möchten. Administratoren können die Gruppe von Postfächern identifizieren, auf die der Zugriff erlaubt werden soll, indem sie diese in einer E-Mail-aktivierten Sicherheitsgruppe einfügen. Administratoren können dann den Zugriff auf Apps von Drittanbietern nur auf diesen Satz von Postfächern beschränken, indem sie eine Anwendungszugriffsrichtlinie für den Zugriff auf diese Gruppe erstellen.

Wie im Abschnitt Unterstützte Berechtigungen und andere Ressourcen weiter beschrieben, schränkt die Anwendungszugriffsrichtlinie den Postfachzugriff für Apps ein, denen einer der von der Richtlinie unterstützten Berechtigungsbereiche microsoft Graph oder Exchange-Webdienste gewährt wird.

Konfigurieren einer Zugriffsrichtlinie für Anwendungen

Gehen Sie folgendermaßen vor, um eine Anwendungsrichtlinie für Anwendungen zu konfigurieren und den Umfang von Anwendungsberechtigungen einzuschränken:

1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her. Details hierzu finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

2. Identifizieren Sie die Client-ID der App und eine E-Mail-aktivierte Sicherheitsgruppe, auf die der Zugriff der App eingeschränkt werden soll.

   • Identifizieren Sie die Anwendungs-ID (Client) der App auf der Seite Microsoft Entra Admin Center > App-Registrierungen.
   • Erstellen Sie eine neue E-Mail-aktivierte Sicherheitsgruppe, oder verwenden Sie eine vorhandene, und geben Sie die E-Mail-Adresse für die Gruppe an.

3. Erstellen Sie eine Richtlinie für den Anwendungszugriff.

   Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei die Argumente für AppId, PolicyScopeGroupId und Description.

   New-ApplicationAccessPolicy -AppId e7e4dbfc-046f-4074-9b3b-2ae8f144f59b -PolicyScopeGroupId EvenUsers@contoso.com -AccessRight RestrictAccess -Description "Restrict this app to members of distribution group EvenUsers."
   

4. Testen Sie die neu erstellte Anwendungszugriffsrichtlinie.

   Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei die Argumente für Identity und AppId.

   Test-ApplicationAccessPolicy -Identity user1@contoso.com -AppId e7e4dbfc-046-4074-9b3b-2ae8f144f59b
   

   Die Ausgabe dieses Befehls gibt an, ob die App Zugriff auf das Postfach von User1 hat.

Hinweis

Änderungen an Anwendungszugriffsrichtlinien können länger als eine Stunde dauern, bis sie in Microsoft Graph-REST-API-Aufrufen wirksam werden, auch wenn Test-ApplicationAccessPolicy positive Ergebnisse angezeigt werden.

Unterstützte Berechtigungen und andere Ressourcen

Administratoren können ApplicationAccessPolicy-Cmdlets verwenden, um den Postfachzugriff einer App zu steuern, der eine der folgenden Microsoft Graph-Anwendungsberechtigungen oder Exchange-Webdienstberechtigungen erteilt wird.

Microsoft Graph Anwendungsberechtigungen:

• Mail.Read
• Mail.ReadBasic
• Mail.ReadBasic.All
• Mail.ReadWrite
• Mail.Send
• MailboxSettings.Read
• MailboxSettings.ReadWrite
• Calendars.Read
• Calendars.ReadWrite
• Contacts.Read
• Contacts.ReadWrite

Exchange-Webdienste-Berechtigungsbereich: full_access_as_app.

Weitere Informationen zum Konfigurieren von Zugriffsrichtlinien für Anwendungen finden Sie unter Referenz für PowerShell-Cmdlets für New-ApplicationAccessPolicy.

Behandlung von API-Fehlern

Es kann vorkommen, dass der folgende Fehler angezeigt wird, wenn einem API-Aufruf der Zugriff aufgrund einer konfigurierten Anwendungs-Zugriffsrichtlinie verweigert wird.

{
    "error": {
        "code": "ErrorAccessDenied",
        "message": "Access to OData is disabled.",
        "innerError": {
            "request-id": "2f038156-cf40-403d-8e46-831fe42a8229",
            "date": "2019-05-24T10:16:21"
        }
    }
}

Wenn die Microsoft Graph API-Aufrufe von Ihrer App diesen Fehler zurückgeben, stellen Sie mit Unterstützung des Exchange Online-Administrator für die Organisation sicher, dass Ihre Anwendung die Berechtigung für den Zugriff auf die Postfachressource besitzt.

Verwandte Inhalte

• Berechtigungsreferenz
• New-ApplicationAccessPolicy
• Get-ApplicationAccessPolicy
• Remove-ApplicationAccessPolicy
• Set-ApplicationAccessPolicy
• Test-ApplicationAccessPolicy
• Unterstützung von Anwendungszugriffsrichtlinien in EWS