Controlar el acceso de la aplicación de cliente a EWS en Exchange.

Obtenga información sobre las opciones para administrar el acceso de aplicaciones cliente a EWS.

A cualquier aplicación cliente de EWS que cree se le debe conceder acceso a Exchange Online, Exchange Online como parte de Office 365 o a la versión de Exchange a partir de Exchange 2013 para poder llamar a las operaciones de EWS. Los administradores de servidores de prueba o producción pueden usar el Shell de administración de Exchange para limitar el acceso a EWS para todos los usuarios y aplicaciones, para usuarios individuales o para aplicaciones individuales. El control de acceso para EWS se basa en cuentas de dominio. Cuando se realiza una conexión con credenciales autenticadas por la entidad de seguridad local, el servidor devuelve un error que indica que solo las cuentas de dominio pueden conectarse.

Control de acceso para clientes y usuarios de EWS

El administrador del servidor de prueba o producción puede configurar el control de acceso para los clientes que se conectan a EWS de las siguientes maneras:

• Bloqueando la conexión de todas las aplicaciones cliente.

• Permitiendo que solo se conecten aplicaciones cliente específicas.

• Permitiendo que cualquier aplicación cliente se conecte, excepto aquellas que están bloqueadas específicamente.

• Permitiendo que cualquier aplicación cliente se conecte.

Las aplicaciones se identifican mediante la cadena del agente de usuario que envían en la solicitud web HTTP.

Importante

El bloqueo de nivel de aplicación no es una característica de seguridad. La cadena del agente de usuario se suplanta fácilmente. Si se permite el acceso de una aplicación a EWS, la aplicación debe presentar las credenciales que el servidor autentica antes de que la aplicación pueda conectarse a EWS.

Los administradores también pueden configurar el control de acceso para los propietarios de buzones de correo que se conectan a EWS de las siguientes maneras:

• Bloqueando o permitiendo una organización completa.

• Bloqueando o permitiendo un grupo de usuarios identificados por un ámbito de autenticación basado en roles que incluye o excluye a los propietarios de buzones de correo que no tienen acceso a EWS.

• Bloqueando o permitiendo un propietario de buzón individual.

La configuración de control de acceso específica invalida la configuración general del control de acceso. Por ejemplo, si una organización deniega el acceso a EWS, pero se permite el acceso a la aplicación a un propietario de buzón individual, prevalece la configuración individual y se permite el acceso.

Delegación y administración de acceso de EWS

Cuando los usuarios delegados que no tienen acceso a EWS usen la aplicación cliente, no podrán acceder al buzón del usuario principal mediante EWS, incluso si el usuario principal tiene acceso a EWS. Si el usuario delegado tiene acceso a EWS, el delegado podrá usar la aplicación cliente de EWS para acceder al buzón del usuario principal aunque el usuario principal no tenga acceso a EWS.

Suplantación y administración de acceso de EWS

Es posible que las aplicaciones cliente que se conectan a EWS en nombre de los propietarios de buzones no puedan usar la configuración de EWS del propietario del buzón. Por ejemplo, una aplicación que archiva los mensajes de correo electrónico de una empresa tiene que conectarse a EWS independientemente de cuál sea la configuración de los usuarios del buzón. Otras aplicaciones, como los clientes de correo, tienen que usar la configuración de EWS del propietario del buzón.

Los administradores deben crear una cuenta de suplantación para cada aplicación o clase de aplicación que usen en su servidor. Esto permitirá al administrador configurar el ámbito de control de acceso basado en roles para todos los usuarios que no tienen permisos de EWS.

Para habilitar las cuentas de suplantación, el administrador del servidor de prueba o producción debe realizar una de las siguientes acciones:

• Agregar el grupo Usuarios autenticados al grupo de acceso compatible con Pre-Win2K.

• Agregar el grupo servidores de Exchange al grupo de acceso de autorización de Windows.

cmdlets del Shell de administración de Exchange para la administración de acceso

Los administradores usan los siguientes cmdlets de Shell de administración de Exchange para configurar los controles de acceso de EWS:

• Get-CASMailbox
• Set-CASMailbox
• Get-OrganizationConfig
• Set-OrganizationConfig

Vea también

• Empezar a usar los servicios web de Exchange
• Controlar el acceso a EWS en Exchange
• Exchange Server PowerShell (Shell de administración de Exchange)
• Windows PowerShell