Como desabilitar a opção “Encaminhamento” para os usuários do Exchange Online
Por: Helen Agard e Robson Elias da Silva
Como engenheiros de escalação de Office 365, algumas vezes recebemos solicitações para desabilitar determinadas funcionalidades quando as mesmas podem ser configuradas ou alteradas diretamente pelo usuário final, sem a assistência do Administrator do tenant.
Disponibilizamos aqui o procedimento de como realizar a desativação da opção “Encaminhamento” que permite ao usuário redirecionar as mensagens para uma conta externa ao Office 365. Abaixo como faze-lo em todas as mailboxes ou para algumas, conforme a necessidade do administrator, através do RBAC (Role Base Access Control).
Para saber sobre mais sobre RBAC no Office 365, consulte Permissions in Exchange Online.
Após conectados ao módulo do Azure Powershell (veja no final do artigo como conectar-se), acharemos que os parâmetros de encaminhamento estão sob a função “MyBaseOptions”, em “Set-Mailbox”:
Get-ManagementRoleEntry "MyBaseOptions\Set-Mailbox" -Parameters * | Select-Object -ExpandProperty Parameters
AcceptMessagesOnlyFrom
AcceptMessagesOnlyFromDLMembers
AcceptMessagesOnlyFromSendersOrMembers
DeliverToMailboxAndForward
ErrorAction
ErrorVariable
ExternalOofOptions
ForwardingAddress
ForwardingSmtpAddress
GrantSendOnBehalfTo
Identity
Languages
MailTip
MailTipTranslations
MessageCopyForSendOnBehalfEnabled
MessageCopyForSentAsEnabled
OutBuffer
OutVariable
Password
RejectMessagesFrom
RejectMessagesFromDLMembers
RejectMessagesFromSendersOrMembers
RequireSenderAuthenticationEnabled
UserCertificate
UserSMimeCertificate
WarningAction
WarningVariable
Uma vez identificados os parâmetros que serão removidos, recomendamos que se faça uma cópia da Role “original” e não sua alteração direta. Assim, você poderá identificar as permissões padrão quando precisar, criar outras versões com opções diferentes e/ou compará-las com as customizadas caso necessário.
Para criar uma nova Role, que herdará todas as permissões da “MyBaseOptions” execute:
New-ManagementRole -Parent "MyBaseOptions" -Name "MyBaseOptionNoForwarding"
Onde " MyBaseOptionNoForwarding" é o nome de livre escolha para sua nova Role.
Agora que criamos uma “cópia”, vamos remover os parâmetros de “Encaminhamento” ou “Forwarding”:
Set-ManagementRoleEntry -Identity "MyBaseOptionNoForwarding\Set-Mailbox" -Parameters DeliverToMailboxAndForward -RemoveParameter
Set-ManagementRoleEntry -Identity "MyBaseOptionNoForwarding\Set-Mailbox" -Parameters ForwardingAddress -RemoveParameter
Set-ManagementRoleEntry -Identity "MyBaseOptionNoForwarding\Set-Mailbox" -Parameters ForwardingSmtpAddress -RemoveParameter
Vamos agora criar uma “Função de Usuário” para associar a recém criada “Management Role”.
Logado no portal do Office 365, vá em “Exchange -> Permissões -> Funções de Usuário”:
Clique no sinal de adicionar “+” e digite o nome da função. Neste caso, criaremos com o nome de “Teste”:
Marque todas as opções disponíveis para deixá-la exatamente igual a “Default Role Assignment Policy”, exceto a opção “MyBaseOptions” que será substituída pela versão customizada “MyBaseOptionNoForwarding”:
Vamos assinalar a nova “Função de Usuário” em uma mailbox para ver o resultado:
Set-Mailbox -Identity user@contoso.com -RoleAssignmentPolicy "Teste"
Observe que agora o usuário não visualizará a opção de “Encaminhamento”, que ficava logo abaixo de “Contas Conectadas”:
Para assinalar a nova Role para todas as mailboxes, execute:
Get-Mailbox -ResultSize unlimited / Set-Mailbox -RoleAssignmentPolicy "Teste"
Para assinalar a Role para todas as mailboxes criadas a partir daqui, é necessário torná-la a função padrão. Para isso, execute:
Set-RoleAssignmentPolicy "Teste" -IsDefault $true
Administrar Exchange Online e Azure Active Directory utilizando o módulo do Azure Powershell:
Connect to Exchange Online using remote PowerShell