Compartilhar via


Representação e EWS no Exchange

Saiba como e quando usar a representação em seus aplicativos de serviço do Exchange.

Você pode permitir que os usuários acessem as caixas de correio de outros usuários de três maneiras:

  • Adicione delegados e especificando permissões para cada delegado.

  • Modifique as permissões de pasta diretamente.

  • Use representação.

Quando você deve escolher a representação em vez de delegação ou permissões da pasta? As diretrizes a seguir ajudarão você a decidir.

  • Use as permissões de pasta quando desejar fornecer acesso a uma pasta para um usuário, mas não quiser que o usuário tenha permissões "enviar em nome de".

  • Use o acesso de representante quando desejar dar permissão a um usuário para realizar o trabalho em nome de outro usuário. Geralmente, essa é uma permissão individual ou de um indivíduo para poucos. Por exemplo, um único assistente administrativo gerenciando o calendário de um administrador, ou um único agendador de sala gerenciando os calendários para um grupo de salas de reunião.

  • Use a representação quando você tiver um aplicativo de serviço que precisa acessar várias caixas de correio e "atua como" o proprietário da caixa de correio.

A representação é a melhor opção quando você lida com várias caixas de correio porque pode conceder acesso a uma conta de serviço para cada caixa de correio em um banco de dados. A delegação e as permissões da pasta são melhores quando você concede acesso a apenas alguns usuários, pois tem que adicionar permissões individualmente a cada caixa de correio. A Figura 1 mostra algumas das diferenças entre cada tipo de acesso.

Figura 1. Maneiras de acessar as caixas de correio de outros usuários

Diagrama que mostra tipos de acesso de caixa de correio, a relação entre proprietários de caixa de correio e o representante para cada tipo e o tipo de permissão. Permissões Enviar em nome de para permissões de delegação e/ou pastas. Permissões Enviar como para representação.

A representação é ideal para aplicativos que se conectam ao Exchange Online, o Exchange Online como parte do Office 365, e as versões locais do Exchange, e realizam operações como arquivar emails, configurar a OOF automaticamente para os usuários em férias, ou qualquer outra tarefa que exija que o aplicativo atue como o proprietário de uma caixa de correio. Quando um aplicativo usa a representação para enviar uma mensagem, o email parece ser enviado do proprietário da caixa de correio. Não é possível que o destinatário saiba que o email foi enviado pela conta de serviço. As delegações, por outro lado, oferecem permissão a outra conta de caixa de correio para agir em nome de um proprietário de caixa de correio. Quando uma mensagem de email é enviada por um representante, o valor "de" identifica o proprietário da caixa de correio e o valor de "remetente" identifica o representante que enviou o email.

Considerações de segurança para a representação

A representação permite que um chamador represente uma determinada conta de usuário. Isso permite que o chamador realize operações usando as permissões associadas à conta personificada, em vez das permissões associadas à conta do chamador. Por esse motivo, você deverá estar ciente das seguintes considerações de segurança:

  • Somente as contas que receberam a função ApplicationImpersonation de um administrador do Exchange Server podem usar a representação.

  • Para o Exchange local, você deve criar um escopo de gerenciamento que limite a representação a um grupo de contas especificado. Se você não criar um escopo de gerenciamento, a função ApplicationImpersonation será concedida a todas as contas de uma organização. Se você tiver configurado a Autenticação Moderna Híbrida, também poderá usar Microsoft Entra Acesso Condicional para aplicar o controle de acesso.

  • Para Exchange Online, você deve criar um escopo de gerenciamento que limite a representação a um grupo de contas especificado. Se você não criar um escopo de gerenciamento, a função ApplicationImpersonation será concedida a todas as contas de uma organização. Você também pode usar Microsoft Entra Acesso Condicional para aplicar o controle de acesso.

  • Geralmente, a função ApplicationImpersonation é concedida a uma conta de serviço dedicada a um determinado aplicativo ou grupo de aplicativos, em vez de uma conta de usuário. Você pode criar quantas contas de serviços forem necessárias.

Você pode ler mais sobre configurando a representação, mas você deve trabalhar com o administrador do Exchange para garantir que as contas de serviço necessárias sejam criadas com as permissões e acessos que atendam aos requisitos de segurança da sua organização.

Nesta seção

Considerações de desempenho para a representação do EWS

Quando a representação do EWS é usada, o X-AnchorMailbox sempre deve ser definido corretamente. Caso contrário, você poderá receber mensagens de erro 500 ou 503. É fundamental para o desempenho e para obter notificações com o Exchange Online/Exchange 2013. Não configurá-lo pode dobrar ou triplicar o tempo necessário para concluir a chamada. Em alguns casos, você também pode obter um esgotamento do tempo.

Confira também