Partager via


Configurer l’emprunt d'identité

Découvrez comment accorder le rôle d’emprunt d’identité à un compte de service à l’aide de l’environnement de ligne de commande Exchange Management Shell.

L'emprunt d'identité permet à un appelant, tel qu'une application de service, d'emprunter l'identité d'un compte d'utilisateur. L'appelant peut effectuer des opérations en utilisant les autorisations associées au compte représenté plutôt que celles associées à son propre compte.

Exchange Online, Exchange Online dans le cadre d'Office 365 et les versions de Microsoft Exchange à partir d'Exchange 2013 utilisent un contrôle d'accès en fonction du rôle (RBAC) pour attribuer des autorisations aux comptes. Votre administrateur de serveur Exchange devra accorder le rôle ApplicationImpersonation à chaque compte de service qui empruntera l'identité d'autres utilisateurs à l'aide de la cmdlet New-ManagementRoleAssignment.

Configuration du rôle ApplicationImpersonation

Lorsque vous ou votre administrateur de serveur Exchange attribuez le rôle ApplicationImpersonation, utilisez les paramètres de la cmdletNew-ManagementRoleAssignment suivants :

  • Nom : nom convivial de l’attribution de rôle. Chaque fois que vous attribuez un rôle, une entrée est créée dans la liste des rôles RBAC. Vous pouvez vérifier les attributions de rôle à l’aide du cmdletGet-ManagementRoleAssignment.
  • Rôle : rôle RBAC à attribuer. Lorsque vous configurez l’emprunt d’identité, vous attribuez le rôle ApplicationImpersonation.
  • Utilisateur : compte de service.
  • CustomRecipientScope : étendue des utilisateurs que le compte de service peut emprunter l’identité. Le compte de service pourra uniquement emprunter l’identité d’autres utilisateurs au sein de l’étendue spécifiée. Si aucune étendue n'est spécifiée, le compte de service dispose du rôle ApplicationImpersonation pour tous les utilisateurs de l'organisation. Vous pouvez créer des étendues de gestion personnalisées à l'aide de la cmdlet New-ManagementScope.

Pour pouvoir configurer l’emprunt d’identité, vous devez disposer des éléments suivants :

  • Informations d’identification d’administration pour le serveur Exchange.
  • Informations d'identification de l'administrateur de domaine ou autres informations d'identification accordant l'autorisation de créer, et d'attribuer des rôles et des étendues.
  • Outils de gestion Exchange. Ces outils sont installés sur l’ordinateur à partir duquel vous allez exécuter les commandes.

Configuration de l’emprunt d’identité pour tous les utilisateurs d’une organisation

  1. Ouvrez l'Environnement de ligne de commande Exchange Management Shell. Dans le menu Démarrer, choisissez Tous les programmes>Microsoft Exchange Server 2013.

  2. Exécutez la cmdlet New-ManagementRoleAssignment pour ajouter l'autorisation d'emprunt d'identité à l'utilisateur spécifié. L'exemple suivant montre comment configurer l'emprunt d'identité pour permettre à un compte de service d'emprunter l'identité de tous les autres utilisateurs d'une organisation.

    New-ManagementRoleAssignment -name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount 
    

Configuration de l’emprunt d’identité pour certains utilisateurs ou groupes d’utilisateurs

  1. Ouvrez l'Environnement de ligne de commande Exchange Management Shell. Dans le menu Démarrer, choisissez Tous les programmes>Microsoft Exchange Server 2013.

  2. Exécutez la cmdlet New-ManagementScope pour créer une étendue à laquelle le rôle d'emprunt d'identité peut être attribué. Si une étendue existante est disponible, vous pouvez ignorer cette étape. L'exemple suivant montre comment créer une étendue de gestion pour un groupe spécifique.

     New-ManagementScope -Name:scopeName -RecipientRestrictionFilter:recipientFilter
    

    Le paramètreRecipientRestrictionFilter de la cmdlet New-ManagementScope définit les membres de l'étendue. Vous pouvez utiliser les propriétés del’identitéde l’objet pour créer le filtre. L'exemple suivant est un filtre qui limite le résultat à un utilisateur unique avec le nom d'utilisateur « John ».

    Name -eq "john"
    
  3. Exécutez la cmdlet New-ManagementRoleAssignment pour ajouter l'autorisation d'emprunt d'identité des membres de l'étendue spécifiée. L'exemple suivant montre comment configurer un compte de service pour emprunter l'identité de tous les utilisateurs d'une étendue.

     New-ManagementRoleAssignment -Name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount -CustomRecipientWriteScope:scopeName
    
    

Une fois les autorisations d'emprunt d'identité octroyées par votre administrateur, vous pouvez utiliser le compte de service pour émettre des appels pour le compte d'autres utilisateurs. Vous pouvez vérifier les attributions de rôle à l’aide du cmdletGet-ManagementRoleAssignment.

Voir aussi