Управление доступом клиентских приложений к EWS в Exchange
Сведения о параметрах управления доступом клиентских приложений к EWS.
Любое клиентское приложение EWS, которое вы создаете, должно получить доступ к Exchange Online, Exchange Online в составе Office 365 или версии Exchange начиная с Exchange 2013, прежде чем оно сможет вызывать операции EWS. Администраторы тестового или рабочего сервера могут использовать командную консоль Exchange, чтобы ограничить доступ к EWS для всех пользователей и приложений, для отдельных пользователей или для отдельных приложений. Управление доступом для EWS осуществляется на основе учетных записей домена. При подключении с учетными данными, прошедшими проверку подлинности в локальном центре безопасности, сервер возвращает ошибку, которая указывает, что возможны подключения только с использованием учетных записей домена.
Управление доступом для клиентов и пользователей EWS
Администратор тестового или рабочего сервера может настроить управление доступом для клиентов, которые подключаются к EWS, следующим образом:
Заблокировать подключение из всех клиентских приложений.
Разрешить подключение только для определенных клиентских приложений.
Разрешить любому клиентскому приложению подключаться, за исключением заблокированных явным образом.
Разрешить подключение любому клиентском приложению.
Приложения идентифицируются по строке агента пользователя, которую они отправляют в веб-запросе HTTP.
Важно!
Блокировка на уровне приложения не является функцией безопасности. Строку агента пользователя легко подделать. Если приложению разрешен доступ к EWS, оно по-прежнему должно предоставлять учетные данные, которые проходят проверку подлинности на сервере, прежде чем приложение сможет подключиться к EWS.
Администраторы также могут настроить управление доступом для владельцев почтовых ящиков, которые подключаются к EWS, следующим образом:
Заблокировать или разрешить доступ для всей организации.
Заблокировать или разрешить доступ для группы пользователей, определяемой с помощью области проверки подлинности на основе ролей, которая включает или исключает владельцев почтовых ящиков, не имеющих доступа к EWS.
Заблокировать или разрешить доступ для отдельного владельца почтового ящика.
Отдельные параметры управления доступом переопределяют общие параметры управления доступом. Например, если организация запрещает доступ к EWS, но отдельный владелец почтового ящика имеет доступ к приложению, то индивидуальная настройка имеет больший приоритет, и доступ будет разрешен.
Делегирование и управление доступом EWS
В случае делегирования пользователям, у которых нет доступа к EWS, прав на использование клиентского приложения, они не смогут получить доступ к почтовому ящику основного пользователя с помощью EWS, даже если основной пользователь имеет доступ к EWS. Если у пользователя-делегата есть доступ к EWS, он сможет использовать клиентское приложение EWS для доступа к почтовому ящику основного пользователя, даже если у основного пользователя нет доступа к EWS.
Олицетворение и управление доступом к EWS
Клиентские приложения, которые подключаются к EWS от имени владельцев почтовых ящиков, возможно, не смогут использовать параметры EWS владельца почтового ящика. Например, приложение, которое архивирует сообщения электронной почты для компании, должно подключаться к EWS независимо от настроенных параметров пользователем почтового ящика. Другие приложения, например почтовые клиенты, наоборот должны использовать параметры EWS, настроенные владельцем почтового ящика.
Администраторам следует создать учетную запись олицетворения для каждого приложения или класса приложений, которые они используют на своем сервере. Это позволит администратору настроить область управления доступом на основе ролей для всех пользователей, у которых нет разрешений на доступ к EWS.
Чтобы включить учетные записи олицетворения, администратор тестового или рабочего сервера должен выполнить одно из следующих действий.
Добавить группу пользователей, прошедших проверку подлинности, в группу доступа, совместимую с версиями до Win2K.
Добавить группу Exchange Servers в группу доступа авторизации Windows.
Командлеты командной консоли Exchange для управления доступом
Администраторы используют следующие Exchange командлеты командной консоли Exchange для настройки элементов управления доступом EWS:
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по