在 Exchange 中的模拟和 EWS
了解如何以及何时在 Exchange 服务应用程序中使用模拟。
可通过以下三种方式之一使用户能够访问其他用户的邮箱:
添加委托并为每个委托指定权限。
直接修改文件夹权限。
使用模拟。
何时应选择模拟,而不是代理或者或文件夹权限呢? 以下指南将帮助你做出决定。
如果想要为用户提供对文件夹的访问权限,但不希望用户拥有“代表某人发送”的权限,请使用文件夹权限。
当你想给一个用户代表其他用户执行工作的权限时,请使用代理访问权限。 通常情况下,这是一对一或一对多的权限,例如,单一管理助手管理管理员的日历,或单一分组讨论室计划程序管理一组会议室的日历。
如果服务应用程序需要访问多个邮箱并“充当”邮箱的所有者,请使用模拟。
当你处理多个邮箱时,模拟是最佳选择,因为你可以轻松地对一个服务帐户授予对数据库中每个邮箱的访问权限。 代理和文件夹权限最适用于仅授予几个用户访问权限的情况,因为你必须对每个邮箱单独添加权限。 图 1 显示了每种类型的访问权限之间的一些差异。
图 1. 访问其他用户邮箱的方法
模拟非常适用于连接到 Exchange Online 的应用程序、作为 Office 365 一部分的 Exchange Online 和本地版本的 Exchange ,以及执行操作(例如,存档电子邮件、为休假的用户自动设置外出,或任何需要应用程序充当邮箱所有者的其他任务)。 如果应用程序使用模拟发送邮件,则电子邮件将看起来像是由邮箱所有者发送。 收件人无法知道该邮件是由服务帐户发送的。 另一方面,代理则可向另一个邮箱帐户授予代表邮箱所有者操作的权限。 当代理发送电子邮件时,“发件人”值将标识邮箱所有者,并且“发送者”值将标识发送邮件的代理。
模拟的安全注意事项
模拟使呼叫者能够模拟给定的用户帐户。 这使呼叫者能够使用与模拟帐户相关联的权限来执行操作,而不是与呼叫者帐户相关联的权限。 因此,应注意以下安全注意事项:
只有 Exchange 服务器管理员授予 ApplicationImpersonation 角色的帐户可以使用模拟。
对于本地 Exchange,应创建一个管理范围,以将模拟限制为一组指定的帐户。 如果未创建管理范围,则 ApplicationImpersonation 角色会被授予组织中的所有帐户。 如果已配置混合新式身份验证,还可以使用Microsoft Entra条件访问来应用访问控制。
对于Exchange Online,应创建一个管理范围,以将模拟限制为一组指定的帐户。 如果未创建管理范围,则 ApplicationImpersonation 角色会被授予组织中的所有帐户。 还可以使用Microsoft Entra条件访问来应用访问控制。
通常情况下, ApplicationImpersonation 角色会被授予专用于特定应用程序或应用程序组的服务帐户,而不是用户帐户。 你可以根据需要创建多个或少个服务帐户。
你可以阅读有关 配置模拟的详细信息,但应与 Exchange 管理员合作,确保你使用 权限和访问 来创建需要的且能满足组织安全要求的服务账户。
本节内容
EWS 模拟的性能注意事项
使用 EWS 模拟时,应始终正确设置 X-AnchorMailbox。 否则,可能会时不时收到错误消息 500 或 503。 这对于 Exchange Online/Exchange 2013 的性能和通知是至关重要的。 不设置的话可能会用上两倍或更长的时间来完成调用。 在某些情况下,你还可能会超时。