Como desabilitar a opção “Gerenciar Complementos” (Manage Add-ins) para os usuários do Exchange Online
Por: Helen Agard e Robson Elias da Silva
Como engenheiros de escalação de Office 365, algumas vezes recebemos solicitações para desabilitar determinadas funcionalidades quando as mesmas podem ser configuradas ou alteradas diretamente pelo usuário final, sem a assistência do Administrator do tenant.
Disponibilizamos aqui o procedimento de como realizar a desativação da opção “Gerenciar Complementos” ou “Manage Add-ins” em todas as mailboxes ou para algumas, conforme a necessidade do administrator, através do RBAC (Role Base Access Control).
Para saber sobre mais sobre RBAC no Office 365, consulte Permissions in Exchange Online.
Após conectados ao módulo do Azure Powershell (veja no final do artigo como conectar-se), faremos a remoção das seguintes permissões:
Role Name Parameters
------- -------- ----------------
Remove-App MyBaseOptions {Confirm, ErrorAction, ErrorVariable, Identity...}
New-App MyBaseOptions {Confirm, ErrorAction, ErrorVariable, OutBuffer...}
Get-App MyBaseOptions {ErrorAction, ErrorVariable, Identity, OutBuffer...}
Enable-App MyBaseOptions {Confirm, ErrorAction, ErrorVariable, Identity...}
Disable-App MyBaseOptions {Confirm, ErrorAction, ErrorVariable, Identity...}
Que fazem parte da “Management Role” de usuário "MyBaseOptions".
Para checar todas as permissões disponíveis para esta role, execute:
Get-ManagementRoleEntry "MyBaseOptions\*"
Uma vez identificadas as permissões que serão removidas, recomendamos que se faça uma cópia da Role “original” e não sua alteração direta. Assim, você poderá identificar as permissões padrão quando precisar, criar outras versões com opções diferentes e/ou compará-las com as customizadas caso necessário.
Para criar uma nova Role, que herdará todas as permissões da “MyBaseOptions” execute:
New-ManagementRole -Parent "MyBaseOptions" -Name "MyBaseOptionsNoAddon"
Onde "MyBaseOptionsNoAddon" é o nome de livre escolha para sua nova Role.
Agora que criamos uma “cópia”, vamos remover as permissões de “Apps” da mesma:
Remove-ManagementRoleEntry -Identity "MyBaseOptionsNoAddon\Remove-app"
Remove-ManagementRoleEntry -Identity "MyBaseOptionsNoAddon\New-app"
Remove-ManagementRoleEntry -Identity "MyBaseOptionsNoAddon\Enable-app"
Remove-ManagementRoleEntry -Identity "MyBaseOptionsNoAddon\Disable-app"
Vamos agora criar uma “Função de Usuário” para associar a recém criada “Management Role”.
Logado no portal do Office 365, vá em “Exchange -> Permissões -> Funções de Usuário”:
Clique no sinal de adicionar “+” e digite o nome da função. Neste caso, criaremos com o nome de “Teste”:
Marque todas as opções disponíveis para deixá-la exatamente igual a “Default Role Assignment Policy”, exceto a opção “MyBaseOptions” que será substituída pela versão customizada “MyBaseOptionsNoAddon”:
Vamos assinalar a nova “Função de Usuário” em uma mailbox para ver o resultado:
Set-Mailbox -Identity user@contoso.com -RoleAssignmentPolicy "Teste"
Neste ponto, o usuário ainda poderá ver os complementos, mas as opções para alteração estarão desabilitadas:
Caso queira remover também a visualização dos suplementos, execute:
Remove-ManagementRoleEntry -Identity "MyBaseOptionsNoAddon\Get-app"
O usuário visualizará a seguinte tela:
Para assinalar a nova Role para todas as mailboxes, execute:
Get-Mailbox -ResultSize unlimited / Set-Mailbox -RoleAssignmentPolicy "Teste"
Para assinalar a Role para todas as mailboxes criadas a partir daqui, é necessário torná-la a função padrão. Para isso, execute:
Set-RoleAssignmentPolicy "Teste" -IsDefault $true
Administrar Exchange Online e Azure Active Directory utilizando o módulo do Azure Powershell:
Connect to Exchange Online using remote PowerShell