Identitätswechsel und EWS in ExchangeImpersonation and EWS in Exchange

Erfahren Sie mehr über den Identitätswechsel und wann er in Ihren Exchange-Dienstanwendungen eingesetzt werden kann.Learn how and when to use impersonation in your Exchange service applications.

Benutzer können mithilfe der folgenden drei Möglichkeiten auf Postfächer anderer Benutzer zugreifen:You can enable users to access other users' mailboxes in one of three ways:

  • Durch das Hinzufügen von Stellvertretungen und dem Angeben von Berechtigungen für die einzelnen StellvertreterBy adding delegates and specifying permissions for each delegate.

  • Durch direktes Ändern der OrdnerberechtigungenBy modifying folder permissions directly.

  • Durch Verwenden eines IdentitätswechselsBy using impersonation.

Wann sollten eher der Identitätswechsel als Stellvertreter oder Ordnerberechtigungen eingesetzt werden? Die folgenden Richtlinien unterstützen Sie bei der Entscheidung:When should you choose impersonation over delegation or folder permissions? The following guidelines will help you decide:

  • Verwenden Sie Ordnerberechtigungen, wenn Sie einen Benutzerzugriff auf einen Ordner bereitstellen möchten, dem Benutzer jedoch keine „Senden im Auftrag von"-Berechtigungen geben möchten.Use folder permissions when you want to provide a user access to a folder but do not want the user to have "send on behalf of" permissions.

  • Verwenden Sie den Stellvertreterzugriff , wenn Sie einem Benutzer die Berechtigung erteilen möchten, Arbeiten im Auftrag eines anderen Benutzers durchzuführen. In der Regel handelt es sich dabei um eine 1:1- oder 1:viele-Berechtigung - beispielsweise ein einzelner Verwaltungsassistent, der den Kalender für einen Administrator verwaltet, oder ein einzelner Raumbelegungsplaner, der die Kalender für eine Gruppe von Besprechungsräumen verwaltet.Use delegate access when you want to give one user permission to perform work on behalf of another user. Typically, this is a one-to-one or one-to-a-few permission - for example, a single administrative assistant managing the calendar for an administrator, or a single room scheduler managing the calendars for a group of meeting rooms.

  • Verwenden Sie den Identitätswechsel, wenn Sie eine Dienstanwendung haben, die auf mehrere Postfächer zugreifen muss und als Postfachbesitzer agieren soll.Use impersonation when you have a service application that needs to access multiple mailboxes and "act as" the mailbox owner.

Der Identitätswechsel ist die beste Wahl für den Umgang mit mehreren Postfächern, da Sie einfach einem Dienstkonto die Berechtigung erteilen können, auf alle Postfächer in einer Datenbank zuzugreifen. Die Stellvertretung und Ordnerberechtigungen sind die beste Wahl, wenn Sie nur einigen Benutzern den Zugriff gewähren, da Sie für jedes Postfach einzeln Berechtigungen hinzufügen müssen. Abbildung 1 veranschaulicht einige der Unterschiede zwischen den einzelnen Zugriffstypen.Impersonation is the best choice when you're dealing with multiple mailboxes because you can easily grant one service account access to every mailbox in a database. Delegation and folder permissions are best when you're only granting access to a few users, because you have to add permissions individually to each mailbox. Figure 1 shows some of the differences between each type of access.

Abbildung 1. Möglichkeiten für den Zugriff auf Postfächer anderer BenutzerFigure 1. Ways to access other users' mailboxes

Diagramm, das Postfachzugriffstypen, die die Beziehung zwischen dem/den Postfacheigentümer(n) und dem Delegaten für jeden Typ und den Berechtigungstyp zeigt. Senden im Namen von Berechtigungen für Delegation und/oder Ordnerberechtigungen. Senden als Berechtigungen für Identitätswechsel.

Der Identitätswechsel ist ideal für Anwendungen, die eine Verbindung zu Exchange Online, Exchange Online als Teil von Office 365 und lokalen Versionen von Exchange herstellen und Vorgänge ausführen, wie z. B. das Archivieren von E-Mails, das automatische Einstellen von Abwesenheitsnachrichten für abwesende Benutzer oder eine andere Aufgabe, für die die Anwendung als Besitzer eines Postfachs agieren muss. Wenn eine Anwendung den Identitätswechsel zum Senden einer Nachricht verwendet, wird die E-Mail so angezeigt, als hätte Sie der Postfachbesitzer gesendet. Es gibt für den Empfänger keine Möglichkeit, herauszufinden, dass die Nachricht vom Dienstkonto versendet wurde. Die Stellvertretung hingegen erteilt einem anderen Postfachkonto die Berechtigung, im Auftrag eines Postfachbesitzers zu agieren. Wenn eine Nachricht durch einen Stellvertreter gesendet wird, identifiziert der „von"-Wert den Postfachbesitzer und der „Absender"-Wert den Stellvertreter, der die E-Mail versendet hat.Impersonation is ideal for applications that connect to Exchange Online, Exchange Online as part of Office 365, and on-premises versions of Exchange and perform operations, such as archiving email, setting OOF automatically for users on vacation, or any other task that requires that the application act as the owner of a mailbox. When an application uses impersonation to send a message, the email appears to be sent from the mailbox owner. There is no way for the recipient to know the mail was sent by the service account. Delegation, on the other hand, gives another mailbox account permission to act on behalf of a mailbox owner. When an email message is sent by a delegate, the "from" value identifies the mailbox owner, and the "sender" value identifies the delegate that sent the mail.

Sicherheitsaspekte für IdentitätswechselSecurity considerations for impersonation

Mit dem Identitätswechsel kann ein Aufrufer einen Identitätswechsel für ein angegebenes Benutzerkonto vornehmen. Dadurch kann der Aufrufer Vorgänge ausführen, indem er die Berechtigungen verwendet, die dem imitierten Konto zugeordnet sind, statt die Berechtigungen zu verwenden, die dem Konto des Aufrufers zugeordnet sind. Aus diesem Grund sollten Sie folgende Sicherheitsaspekte berücksichtigen:Impersonation enables a caller to impersonate a given user account. This enables the caller to perform operations by using the permissions that are associated with the impersonated account, instead of the permissions that are associated with the caller's account. For this reason, you should be aware of the following security considerations:

  • Nur Konten, denen von einem Exchange-Serveradministrator die ApplicationImpersonation-Rolle gewährt wurde, können den Identitätswechsel verwenden.Only accounts that have been granted the ApplicationImpersonation role by an Exchange server administrator can use impersonation.

  • Sie sollten einen Verwaltungsbereich erstellen, der den Identitätswechsel auf eine bestimmte Kontogruppe begrenzt. Wenn Sie keinen Verwaltungsbereich erstellen, wird die ApplicationImpersonation-Rolle allen Konten in einem Unternehmen gewährt.You should create a management scope that limits impersonation to a specified group of accounts. If you do not create a management scope, the ApplicationImpersonation role is granted to all accounts in an organization.

  • In der Regel wird die ApplicationImpersonation-Rolle einem Dienstkonto gewährt, das einer bestimmten Anwendung oder eine Gruppe von Anwendungen zugeordnet ist, statt einem Benutzerkonto. Sie können beliebig viele Dienstkonten erstellen.Typically, the ApplicationImpersonation role is granted to a service account dedicated to a particular application or group of applications, rather than a user account. You can create as many or as few service accounts as you need.

Sie können weitere Informationen über die Konfiguration des Identitätswechsels lesen, Sie sollten jedoch mit Ihrem Exchange-Administrator zusammenarbeiten, um zu gewährleisten, dass die erforderlichen Dienstkonten mit den Berechtigungen und dem Zugriff erstellt werden, der die Sicherheitsanforderungen Ihres Unternehmens erfüllt.You can read more about configuring impersonation, but you should work with your Exchange administrator to ensure that the service accounts that you need are created with the permissions and access that meet the security requirements of your organization.

Inhalt dieses AbschnittsIn this section

Siehe auchSee also