Stellvertretungszugriff und EWS in Exchange
Erfahren Sie, wie sie die verwaltete EWS-API und EWS in Exchange verwenden können, um einen Stellvertretungszugriff für die Postfächer der Benutzer bereitzustellen.
Sie können Benutzern anhand der folgenden drei Möglichkeiten ermöglichen, auf die Postfächer anderer Benutzer zuzugreifen:
Durch das Hinzufügen von Stellvertretungen und dem Angeben von Berechtigungen für die einzelnen Stellvertreter
Durch direktes Ändern der Ordnerberechtigungen
Durch Verwenden eines Identitätswechsels
Am besten funktionieren die Stellvertretung und Ordnerberechtigungen, wenn Sie nur wenigen Benutzern den Zugriff gewähren müssen, da Sie Berechtigungen einzeln für jedes Postfach hinzufügen müssen. Der Identitätswechsel ist am besten für viele Postfächer geeignet, da Sie einfach ein Dienstkonto aktivieren können, um auf jedes Postfach in einer Datenbank zuzugreifen. Abbildung 1 veranschaulicht einige der Unterschiede zwischen den einzelnen Zugriffstypen.
Abbildung 1: Möglichkeiten für den Zugriff auf Postfächer anderer Benutzer
Wenn es um das Senden von E-Mails oder das Planen von Besprechungen geht, können Stellvertretungen berechtigungen "Im Namen von senden" erteilt werden, sodass der Empfänger einer E-Mail oder einer Besprechungsanfrage, die von einer Stellvertretung gesendet wurde, " Stellvertretung im Namen des Postfachbesitzers " erhält, wenn er die E-Mail oder Besprechungsanfrage in Outlook empfängt. Das Einbeziehen des „Senden im Auftrag von"-Texts ist ein Client-Implementierungsdetail - und kann erstellt werden, indem die Werte „von" und „Absender" verwendet werden. Der „von"-Wert gibt den Postfachbesitzer an und der „Absender"-Wert gibt den Stellvertreter an, der die Nachricht gesendet hat. Wenn ein Dienstkonto, das die Identität eines Benutzers darstellt, eine E-Mail sendet oder eine Besprechung für den Postfachbesitzer plant, wird die Nachricht als der Nachrichtenbesitzer gesendet. Es gibt keine Möglichkeit für den Empfänger, herauszufinden, ob die Nachricht vom Dienstkonto gesendet wurde. Benutzer, denen Ordnerberechtigungen und kein Stellvertretungszugriff gewährt wurden, können „Senden als" oder „Senden im Auftrag von" eines Postfachbenutzers nicht nutzen. Sie haben Zugriff auf die Postfachordner und können möglicherweise Elemente in den Ordnern erstellen, die Elemente jedoch nicht senden.
Wann die Ordnerberechtigungen am besten direkt geändert werden sollten? In der Regel wenn Sie einem Benutzer Zugriff auf einen Ordner gewähren, ihm jedoch keine „Senden im Auftrag von"-Berechtigungen gewähren möchten, Ihre Berechtigungsanforderungen nicht den verwalteten DelegateFolderPermissionLevel-EWS-API-Enumerationswerten oder PermissionLevel-EWS-Elementwerten zugeordnet sind oder wenn Sie einen Benutzerzugriff auf einen einzelnen benutzerdefinierten Ordner bereitstellen möchten.
Wenn Sie nur die Ordnerberechtigungen ändern müssen, um Ihr Ziel zu erreichen, und keinen Stellvertreter hinzufügen müssen (d. h. Sie benötigen keine „Senden im Auftrag von"-Berechtigungen), finden Sie weitere Informationen unter Festlegen von Ordnerberechtigungen für einen anderen Benutzer mithilfe der EWS in Exchange.
Beachten Sie, dass Sie auch Outlook oder die Exchange Server-PowerShell (Exchange-Verwaltungsshell) verwenden können, um den Stellvertretungszugriff einzurichten.
Wie funktioniert der Stellvertretungszugriff?
Mit dem Stellvertretungszugriff können Benutzer auf einige oder alle Ordner des Postfachbesitzers zugreifen und im Auftrag des Postfachbesitzers agieren. Der Postfachbesitzer kann ein Benutzer oder eine Ressource, wie z. B. ein Konferenzraum sein. Beispielsweise können einem Empfangsmitarbeiter Stellvertretungsberechtigungen für den Kalenderordner eines Konferenzraums erteilt werden, um Buchungsanfragen zu verarbeiten. Sie können die verwaltete EWS-API oder EWS verwenden, um dem Postfachbesitzer oder einem Administrator zu ermöglichen, einen Stellvertreter hinzuzufügen, anzugeben, auf welche Ordner der Stellvertreter zugreifen kann, und anschließend die Berechtigungen für diesen Ordner angeben. Stellvertretern kann der Zugriff auf folgende Ordner gewährt werden:
Kalender
Aufgaben
Posteingang
Kontakte
Anmerkungen
Journal
Wenn ein Benutzer Stellvertreterzugriff auf einen oder mehrere dieser Ordner hat, kann er Elemente in diesem Ordner erstellen, abrufen, aktualisieren, löschen, kopieren und suchen, je nachdem, welche Berechtigungen für den Ordner festgelegt sind. Wie die Anwendung diese Aktionen durchführt, hängt davon ab, ob ein expliziter oder impliziter Zugriff erforderlich ist.
Berechtigungen der Stellvertretung
Wenn ein Administrator oder Postfachbesitzer einem Postfach einen Stellvertreter hinzufügt, er außerdem die Berechtigungsstufe für einen oder mehrere Ordner festlegen. Wenn eine Berechtigungsstufe für einen Ordner nicht festgelegt ist, lautet der Berechtigungswert standardmäßig Keine. Mehrere Benutzer können die gleichen Berechtigungsstufen für einen Ordner besitzen, und Benutzer können unterschiedliche Berechtigungsstufen für verschiedene Ordner haben. Wenn Sie die verwaltete EWS-API verwenden, verwenden Sie die DelegateUser.Permissions-Eigenschaft, die für jeden Ordner einen der DelegateFolderPermissionLevel-Enumerationswerte enthält, um Vertretungsberechtigungen für Ordner einzurichten. Wenn Sie EWS verwenden, verwenden Sie das DelegatePermissions-Element zum Festlegen von Vertretungsberechtigungen, und das PermissionLevel-Element zum Definieren der Berechtigungsstufe.
Tabelle 2. Stellvertreter-Berechtigungsstufen
| Berechtigungsstufe | Beschreibung |
|---|---|
| Keine |
Dies ist der Standardwert für alle Ordner. |
| Autor |
Ein Stellvertreter kann Elemente lesen und erstellen sowie erstellte Elemente ändern und löschen. Beispielsweise kann ein Vertreter Aufgabenanfragen und Besprechungsanfragen direkt im Aufgaben- oder Kalenderordner des Postfachbesitzers erstellen, und dann eines der Elemente im Auftrag des Postfachbesitzers versenden. |
| Editor |
Ein Stellvertreter kann alles tun, was ein Autor kann und außerdem die Elemente ändern und löschen, die der Postfachbesitzer erstellt hat. |
| Prüfer |
Ein Stellvertreter kann Elemente lesen; ein Stellvertreter mit Prüferberechtigungen kann beispielsweise Nachrichten im Posteingang einer anderen Person lesen. |
| Benutzerdefiniert |
Der Postfachbesitzer hat dem Stellvertreter einen benutzerdefinierten Satz von Berechtigungen gewährt. |
Die verwaltete DelgateUser.ViewPrivateItems EWS-API-Eigenschaft und das ViewPrivateItems-EWS-Element ist eine globale Einstellung, die Auswirkungen auf alle Ordner des Postfachbesitzers hat, einschließlich aller Nachrichten-, Kontakte-, Kalender-, Aufgaben-, Anmerkungen- und Journal-Ordner. Sie können keinen Zugriff auf private Elemente in nur einem Ordner zulassen.
Expliziter Zugriff
Einfach gesagt, der explizite Zugriff ist der Zugangsweg für Vertreter, um Aktionen zu den Ordnern oder Elementen des Postfachbesitzers auszuführen. Der explizite Zugriff wird einem Vertreter gewährt, wenn er den bekannten Ordnernamen des Ordners des Postfachbesitzers zusammen mit der SMTP-Adresse des Postfachbesitzers in einer Anfrage an den Server einschließt. Der Zugriff ist explizit, da die Anfrage des Vertreters explizit angibt, dass der Kontext für die Methode oder Operation das Postfach des Postfachbesitzers ist, und nicht die des Postfachs des Vertreters.
Der explizite Zugriff definiert den Kontext für alle Methoden oder Operationen, die ab jetzt bei den Ordnern oder Elementen ausgeführt werden. Alle beim eindeutigen Festlegen des expliziten Zugriffs zurückgegebenen Element- und Ordner-IDs identifizieren sich selbst als zum Postfachbesitzer gehörig (jedoch nicht in einem vom Menschen lesbaren Format). So muss die Anwendung die SMTP-Adresse des Postfachbesitzers nicht immer wieder angeben; der Kontext ist in den Bezeichnern verborgen. Nachdem ein Element oder Ordner identifiziert wurde, verwendet ein Stellvertreter den impliziten Zugriff, um das Element zu ändern. In der folgenden Abbildung wird der Prozess zum Abrufen des expliziten und impliziten Zugriffs veranschaulicht.
Abbildung 2: Anfordern des expliziten oder impliziten Zugriffs auf ein Element oder einen Ordner
Sie können den expliziten Zugriff in vielen verschiedenen Szenarien festlegen. Grundsätzlich können Sie bei jedem Senden einer Ordner-ID in einer Methode oder einem Vorgang den expliziten Zugriff festlegen. Dies kann das Suchen von Ordnern, das Suchen von Terminen, das Abrufen von Elementen, das Suchen von Unterhaltungen usw. umfassen.
Expliziter Zugriff und die verwaltete EWS-API
Sie können den expliziten Stellvertretungszugriff mithilfe einer der folgenden überladenen Methoden initiieren, die einen FolderId-Eingabeparameter zum Identifizieren des Zielordners nutzen:
Und vieles mehr!
Sie können den FolderId -Parameter in jeder dieser Methoden folgendermaßen verwenden, um den Zielordner des Postfachbesitzers zu identifizieren.
new FolderId(WellKnownFolderName.Calendar, "primary@contoso.com");
Um beispielweise eine Bindung an den Kalenderordner zu erstellen, gibt die FolderId in dieser Bind -Methode den bekannten Ordnernamen und die SMTP-Adresse des Postfachbesitzers an.
CalendarFolder calendar = CalendarFolder.Bind(service, new FolderId(WellKnownFolderName.Calendar, "primary@contoso.com"), new PropertySet());
Durch das Angeben des bekannten Ordnernamens und der SMPT-Adresse kann der Stellvertreter eine Bindung an den Kalenderordner des Postfachbesitzers erstellen - dadurch erhält er expliziten Zugriff auf den Ordner. Alle darauffolgenden Anfragen für den impliziten Zugriff auf Elemente in dem Ordner hängen dann vom zurückgegebenen Kontext in den Element-IDs und Ordner-IDs ab. Prinzipiell enthalten die Bezeichner den Kontext für die impliziten Vertretungszugriffsaufrufe. Oder verwenden Sie zum Abrufen der Element-ID eines Elements, das bestimmte Kriterien erfüllt folgende Vorgehensweise.
FindItemsResults<Item> results = service.FindItems(new FolderId(WellKnownFolderName.Calendar, "primary@contoso.com"), filter, view);
In diesem Fall wird die Element-ID zurückgegeben, und anschließend kann der Vertreter den impliziten Zugriff verwenden, um mithilfe der Element-ID Änderungen am Element vorzunehmen.
Sie müssen den expliziten Zugriff nicht erneut initiieren, bis Sie eine Element-ID oder eine Ordner-ID benötigen, auf die Sie nicht über den vorhandenen expliziten Zugriff zugegriffen haben.
Expliziter Zugriff und EWS
Sie können den expliziten Zugriff initiieren, indem Sie die GetFolder-, FindItem- oder FindFolder-Operationen verwenden. Diese Operationen bieten die Option zum Verwenden des DistinguishedFolderId-Elements, um den Zielordner zu identifizieren. Das DistinguishedFolderId-Element weist ein einzelnes optionales untergeordnetes Element auf, das Postfach-Element. Das Mailbox-Element gibt bei Verwendung als untergeordnetes Element des DistinguishedFolderId-Elements das Postfach für den Vertreter an, auf das zugegriffen werden soll. Wenn der aufrufende Benutzer über eine Berechtigung für den Zugriff auf den Ordner des Postfachbesitzers verfügt, enthält die Antwort eine Bezeichnersammlung für Elemente oder Ordner in dem Postfach. Die Element- und der Ordnerbezeichner, die in der Antwort zurückgegeben werden, können für den impliziten Stellvertretungszugriff verwendet werden.
Impliziter Zugriff
Der implizite Zugriff wird verwendet, nachdem ein Stellvertreter die ID für ein Element oder einen Ordner im Postfach des Postfachbesitzers abgerufen hat und der Stellvertreter das Element aktualisieren, löschen oder kopieren möchte. Wenn der Stellvertreter die Element- oder Ordner-ID in einer Anfrage verwendet, werden die Änderungen am Element im Postfach des Postfachbesitzers vorgenommen. Der Stellvertreter muss die SMTP-Adresse des Postfachbesitzers nicht einbeziehen.
Wenn ein Stellvertreter beispielsweise die ID eines Ordners des Postfachbesitzers hat, kann der Stellvertreter mithilfe der Ordner-ID eine FindItem-Operation zu dem Ordner ausführen, ohne explizit das Postfach des Postfachbesitzers anzugeben. Zu diesem Zeitpunkt kann der Stellvertreter mit den in den Antworten zurückgegebenen IDs Aktionen für den Ordner des Postfachbesitzers ausführen.
Impliziter Zugriff und die verwaltete EWS-API
Wenn eine Element-ID von der FindItems-Methode abgerufen wurde, kann diese Element-ID in einem nachfolgenden Item.Bind-Methodenaufruf zum Binden an das Element verwendet werden. Anschließend können Sie die Item.Update-, Item.Delete- oder Item.Copy-Methode oder einen beliebigen Methodenaufruf aufrufen, der eine Element-ID erfordert, um Ihre Aufgabe abzuschließen. Solange der Delegat über die entsprechenden Berechtigungen für den Ordner verfügt, der das Element enthält (und ggf. den Ordner, in den das Element verschoben wird), kann der Delegat Änderungen entsprechend seinen Berechtigungsstufen vornehmen.
Impliziter Zugriff und EWS
Wenn eine Element-ID vom FindItem-Vorgang abgerufen wurde, kann diese Element-ID in nachfolgenden GetItem-Vorgängen zum Binden an das Element verwendet werden. Anschließend können Sie nach Bedarf den Vorgang UpdateItem, DeleteItem oder CopyItem oder einen beliebigen Vorgang aufrufen, der eine Element-ID erfordert. Solange der Delegat über die entsprechenden Berechtigungen für den Ordner verfügt, der das Element enthält (und ggf. den Ordner, in den das Element verschoben wird), kann der Delegat Änderungen entsprechend seinen Berechtigungsstufen vornehmen.
Inhalt dieses Abschnitts
Hinzufügen und Entfernen von Delegaten mithilfe der EWS in Exchange
Zugriff auf einen Kalender als Delegat mithilfe der EWS in Exchange
Zugriff auf Kontakte als Delegat mithilfe der EWS in Exchange
Zugreifen auf E-Mails als Stellvertretung mithilfe der EWS in Exchange
Festlegen von Ordnerberechtigungen für einen anderen Benutzer mithilfe der EWS in Exchange
Umgang mit Fehlern in Exchange im Zusammenhang mit Löschungen in EWS
Siehe auch
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für