Anwendungsberechtigungen für bestimmte Exchange Online-Postfächer einschränken

Administratoren, die den App-Zugriff auf bestimmte Postfächer beschränken möchten, können mithilfe des PowerShell-Cmdlets New-ApplicationAccessPolicy eine Anwendungszugriffsrichtlinie erstellen. In diesem Artikel werden die grundlegenden Schritte zum Konfigurieren der Zugriffssteuerung behandelt. Diese Schritte sind spezifisch für Exchange Online-Ressourcen, und gelten nicht für andere Microsoft Graph-Workloads.

Hintergrund

Einige Anwendungen rufen Microsoft Graph über ihre eigene Identität und nicht im Namen eines Benutzers auf. Normalerweise handelt es sich dabei um Hintergrunddienste oder Daemon-Programme, die auf einem Server ausgeführt werden, ohne dass ein Benutzer angemeldet ist. Diese Apps verwenden zur Authentifizierung den Fluss zum Gewähren von OAuth 2.0-Clientanmeldeinformationen, und sie sind mit Anwendungsberechtigungen konfiguriert, die es ihnen standardmäßig ermöglichen, auf alle Postfächer in einer Organisation in Exchange Online zuzugreifen. Die Anwendungsberechtigung Mail.Read ermöglicht beispielsweise Anwendungen das Auslesen von E-Mails in allen Postfächern, ohne dass ein Benutzer angemeldet ist.

Wichtig

Standardmäßig können Apps, denen Anwendungsberechtigungen für die folgenden Datasets erteilt wurden, auf alle Postfächer in der Organisation zugreifen:

• Kalender
• Kontakte
• E-Mail
• Postfacheinstellungen

Administratoren können die App-Zugriffsrichtlinie so konfigurieren, dass der Zugriff auf bestimmte Postfächer eingeschränkt wird.

Es gibt Szenarien, in denen Administratoren eine App nur auf bestimmte Postfächer beschränken möchten und nicht auf alle Exchange Online-Postfächer in der Organisation. Administratoren können die Gruppe von Postfächern identifizieren, auf die der Zugriff erlaubt werden soll, indem sie diese in einer E-Mail-aktivierten Sicherheitsgruppe einfügen. Administratoren können dann den Zugriff auf Apps von Drittanbietern nur auf diesen Satz von Postfächern beschränken, indem sie eine Anwendungszugriffsrichtlinie für den Zugriff auf diese Gruppe erstellen.

Wie weiter unten im Abschnitt Unterstützte Berechtigungen und zusätzliche Ressourcen beschrieben, schränkt die Anwendungszugriffsrichtlinie den Postfachzugriff für Apps ein, denen einer der von der Richtlinie unterstützten Berechtigungsbereiche für Microsoft Graph oder Exchange-Webdienste gewährt wurde.

Konfigurieren einer Zugriffsrichtlinie für Anwendungen

Gehen Sie folgendermaßen vor, um eine Anwendungsrichtlinie für Anwendungen zu konfigurieren und den Umfang von Anwendungsberechtigungen einzuschränken:

1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her. Details hierzu finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.

2. Ermitteln Sie die Client-ID der Anwendung und eine E-Mail-aktivierte Sicherheitsgruppe, um den Zugriff der Anwendung auf diese zu beschränken.

   • Ermitteln Sie die Anwendungs-ID (Client-ID) im Azure App-Registrierungsportal.
   • Erstellen Sie eine neue E-Mail-aktivierte Sicherheitsgruppe, oder verwenden Sie eine vorhandene, und geben Sie die E-Mail-Adresse für die Gruppe an.

3. Erstellen Sie eine Richtlinie für den Anwendungszugriff.

   Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei die Argumente für AppId, PolicyScopeGroupId und Description.

   New-ApplicationAccessPolicy -AppId e7e4dbfc-046f-4074-9b3b-2ae8f144f59b -PolicyScopeGroupId EvenUsers@contoso.com -AccessRight RestrictAccess -Description "Restrict this app to members of distribution group EvenUsers."
   

4. Testen Sie die neu erstellte Anwendungszugriffsrichtlinie.

   Führen Sie den folgenden Befehl aus, und ersetzen Sie dabei die Argumente für Identity und AppId.

   Test-ApplicationAccessPolicy -Identity user1@contoso.com -AppId e7e4dbfc-046-4074-9b3b-2ae8f144f59b 
   

   Die Ausgabe dieses Befehls zeigt an, ob die Anwendung auf das Postfach von Benutzer1 zugreifen kann.

Hinweis

Änderungen an Anwendungszugriffsrichtlinien können länger als eine Stunde dauern, bis sie in Microsoft Graph-REST-API-Aufrufen wirksam werden, auch wenn Test-ApplicationAccessPolicy positive Ergebnisse angezeigt werden.

Unterstützte Berechtigungen und weitere Ressourcen

Administratoren können ApplicationAccessPolicy-Cmdlets verwenden, um den Postfachzugriff auf eine App zu steuern, der eine der folgenden Microsoft Graph-Anwendungsberechtigungen oder Exchange-Webdienste-Berechtigungen erteilt wurde.

Microsoft Graph Anwendungsberechtigungen:

• Mail.Read
• Mail.ReadBasic
• Mail.ReadBasic.All
• Mail.ReadWrite
• Mail.Send
• MailboxSettings.Read
• MailboxSettings.ReadWrite
• Calendars.Read
• Calendars.ReadWrite
• Contacts.Read
• Contacts.ReadWrite

Exchange-Webdienste-Berechtigungsbereich: full_access_as_app.

Weitere Informationen zum Konfigurieren von Zugriffsrichtlinien für Anwendungen finden Sie unter Referenz für PowerShell-Cmdlets für New-ApplicationAccessPolicy.

Behandlung von API-Fehlern

Es kann vorkommen, dass der folgende Fehler angezeigt wird, wenn einem API-Aufruf der Zugriff aufgrund einer konfigurierten Anwendungs-Zugriffsrichtlinie verweigert wird.

{
    "error": {
        "code": "ErrorAccessDenied",
        "message": "Access to OData is disabled.",
        "innerError": {
            "request-id": "2f038156-cf40-403d-8e46-831fe42a8229",
            "date": "2019-05-24T10:16:21"
        }
    }
}

Wenn die Microsoft Graph API-Aufrufe von Ihrer App diesen Fehler zurückgeben, stellen Sie mit Unterstützung des Exchange Online-Administrator für die Organisation sicher, dass Ihre Anwendung die Berechtigung für den Zugriff auf die Postfachressource besitzt.

Siehe auch

• Berechtigungsreferenz
• New-ApplicationAccessPolicy
• Get-ApplicationAccessPolicy
• Remove-ApplicationAccessPolicy
• Set-ApplicationAccessPolicy
• Test-ApplicationAccessPolicy
• Unterstützung von Anwendungszugriffsrichtlinien in EWS