Anwendungsberechtigungen für bestimmte Exchange Online-Postfächer definierenScoping application permissions to specific Exchange Online mailboxes

Einige Anwendungen rufen Microsoft Graph über ihre eigene Identität und nicht im Namen eines Benutzers auf.Some apps call Microsoft Graph with their own identity and not on behalf of a user. Normalerweise handelt es sich dabei um Hintergrunddienste oder Daemon-Programme, die auf einem Server ausgeführt werden, ohne dass ein Benutzer angemeldet ist.In many cases, these are background services or daemons that run on a server without the presence of a signed-in user. Diese Anwendungen verwenden zur Authentifizierung den Fluss zum Gewähren von OAuth 2.0-Clientanmeldeinformationen und sind mit Anwendungsberechtigungen konfiguriert, die es ihnen ermöglichen, auf alle Postfächer in einer Organisation in Exchange Online zuzugreifen.These apps make use of OAuth 2.0 client credentials grant flow to authenticate and are configured with application permissions, which enable such apps to access all mailboxes in a organization on Exchange Online. Die Anwendungsberechtigung „Mail. Read“ ermöglicht beispielsweise Anwendungen das Auslesen von E-Mails in allen Postfächern, ohne dass ein Benutzer angemeldet ist.For example, the Mail.Read application permission allows apps to read mail in all mailboxes without a signed-in user.

Administratoren, die den Anwendungszugriff auf eine bestimmte Gruppe von Postfächern einschränken möchten, können mithilfe des PowerShell-Cmdlets New-ApplicationAccessPolicy die Zugriffssteuerung konfigurieren.Administrators who want to limit the app access to a specific set of mailboxes can use the New-ApplicationAccessPolicy PowerShell cmdlet to configure access control. In diesem Artikel werden die grundlegenden Schritte zum Konfigurieren einer Zugriffsrichtlinie für Anwendungen behandelt.This article covers the basic steps to configure an application access policy.

Diese Schritte sind auf Exchange Online-Ressourcen zugeschnitten und gelten nicht für andere Microsoft Graph-Workloads.These steps are specific to Exchange Online resources and do not apply to other Microsoft Graph workloads.

Konfigurieren einer Zugriffsrichtlinie für AnwendungenConfigure ApplicationAccessPolicy

Gehen Sie folgendermaßen vor, um eine Anwendungsrichtlinie für Anwendungen zu konfigurieren und den Umfang von Anwendungsberechtigungen einzuschränken:To configure an application access policy and limit the scope of application permissions:

  1. Stellen Sie eine Verbindung mit Exchange Online PowerShell her.Connect to Exchange Online PowerShell. Details hierzu finden Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell.For details, see Connect to Exchange Online Using Remote PowerShell.

  2. Ermitteln Sie die Client-ID der Anwendung und eine E-Mail-aktivierte Sicherheitsgruppe, um den Zugriff der Anwendung auf diese zu beschränken.Identify the app’s client ID and a mail-enabled security group to restrict the app’s access to.

    • Ermitteln Sie die Anwendungs-ID (Client-ID) im Azure App-Registrierungsportal.Identify the app’s application (client) ID in the Azure app registration portal.
    • Erstellen Sie eine neue E-Mail-aktivierte Sicherheitsgruppe, oder verwenden Sie eine vorhandene, und geben Sie die E-Mail-Adresse für die Gruppe an.Create a new mail-enabled security group or use an existing one and identify the email address for the group.
  3. Erstellen Sie eine Richtlinie für den Anwendungszugriff.Create an application access policy.

    Führen Sie den folgenden Befehl aus, wobei die AppId-, PolicyScopeGroupId- und Description-Argumente zu ersetzen sind.Run the following command, replacing the AppId, PolicyScopeGroupId, and Description arguments.

    New-ApplicationAccessPolicy -AppId e7e4dbfc-046f-4074-9b3b-2ae8f144f59b -PolicyScopeGroupId EvenUsers@contoso.com -AccessRight RestrictAccess -Description "Restrict this app to members of distribution group EvenUsers."
    
  4. Testen Sie die neu erstellte Anwendungsrichtlinie.Test the newly created application access policy.

    Führen Sie den folgenden Befehl aus, wobei die AppId- und Identity-Argumente zu ersetzen sind.Run the following command, replacing the AppId and Identity arguments.

    Test-ApplicationAccessPolicy -Identity user1@contoso.com -AppId e7e4dbfc-046-4074-9b3b-2ae8f144f59b 
    

    Die Ausgabe dieses Befehls zeigt an, ob die Anwendung auf das Postfach von Benutzer1 zugreifen kann.The output of this command will indicate whether the app has access to User1’s mailbox.

Hinweis: Es kann bis zu 30 Minuten dauern, bis Änderungen an den Anwendungs-Zugriffsrichtlinien in Microsoft Graph REST-API-Aufrufen wirksam werden.Note: Changes to application access policies can take up to 30 minutes to take effect in Microsoft Graph REST API calls.

Unterstützte Berechtigungen und weitere RessourcenSupported app scenarios and additional resources

Administratoren können ApplicationAccessPolicy-Cmdlets verwenden, um den Postfachzugriff einer Anwendung zu steuern, für die eine der folgenden Anwendungsberechtigungen erteilt wurde:Administrators can use ApplicationAccessPolicy cmdlets to control mailbox access of an app that has been granted any of the following application permissions:

  • Mail.ReadMail.Read
  • Mail.ReadWriteMail.ReadWrite
  • Mail.SendMail.Send
  • MailboxSettings.ReadMailboxSettings.Read
  • MailboxSettings.ReadWriteMailboxSettings.ReadWrite
  • Calendars.ReadCalendars.Read
  • Calendars.ReadWriteCalendars.ReadWrite
  • Contacts.ReadContacts.Read
  • Contacts.ReadWriteContacts.ReadWrite

Weitere Informationen zum Konfigurieren von Zugriffsrichtlinien für Anwendungen finden Sie unter Referenz für PowerShell-Cmdlets für New-ApplicationAccessPolicy.For more information about configuring application access policy, see the PowerShell cmdlet reference for New-ApplicationAccessPolicy.

Behandlung von API-FehlernHandling API errors

Es kann vorkommen, dass der folgende Fehler angezeigt wird, wenn einem API-Aufruf der Zugriff aufgrund einer konfigurierten Anwendungs-Zugriffsrichtlinie verweigert wird.You might encounter the following error when an API call is denied access due to a configured application access policy.

{
    "error": {
        "code": "ErrorAccessDenied",
        "message": "Access to OData is disabled.",
        "innerError": {
            "request-id": "2f038156-cf40-403d-8e46-831fe42a8229",
            "date": "2019-05-24T10:16:21"
        }
    }
}

Wenn Microsoft Graph API-Aufrufe von Ihrer Anwendung diesen Fehler zurückgeben, stellen Sie mit Unterstützung des Exchange Online-Administrator für die Organisation sicher, dass Ihre Anwendung zum Zugriff auf die Postfachressource berechtigt ist.If Microsoft Graph API calls from your app return this error, work with the Exchange Online administrator for the organization to ensure that your app has permission to access the mailbox resource.

Siehe auchSee also