Configurar la suplantaciónConfigure impersonation

Aprenda a otorgar el rol de suplantación a una cuenta de servicio usando el Shell de administración de Exchange.Learn how to grant the impersonation role to a service account by using the Exchange Management Shell.

La suplantación permite que un llamador, como una aplicación de servicio, suplante una cuenta de usuario. El llamador puede realizar operaciones usando los permisos asociados a la cuenta de suplantación en lugar de los permisos asociados con la cuenta del llamador.Impersonation enables a caller, such as a service application, to impersonate a user account. The caller can perform operations by using the permissions that are associated with the impersonated account instead of the permissions associated with the caller's account.

Exchange Online, Exchange Online como parte de Office 365 y las versiones de Exchange a partir de Exchange 2013 usan el control de acceso basado en roles (RBAC) para asignar permisos a las cuentas. El administrador del servidor Exchange deberá conceder a la cuenta de servicio que suplantará a otros usuarios el rol ApplicationImpersonation usando el cmdlet New-ManagementRoleAssignment.Exchange Online, Exchange Online as part of Office 365, and versions of Exchange starting with Exchange 2013 use role-based access control (RBAC) to assign permissions to accounts. Your Exchange server administrator will need to grant any service account that will be impersonating other users the ApplicationImpersonation role by using the New-ManagementRoleAssignment cmdlet.

Configurar el rol ApplicationImpersonationConfiguring the ApplicationImpersonation role

Cuando usted o el administrador del servidor Exchanger asigne el rol ApplicationImpersonation, use los parámetros siguientes del cmdlet New-ManagementRoleAssignment:When you or your Exchanger server administrator assigns the ApplicationImpersonation role, use the following parameters of the New-ManagementRoleAssignment cmdlet:

  • Name: el nombre descriptivo de la asignación de roles.Name – The friendly name of the role assignment. Cada vez que asigna un rol, se realiza una entrada en la lista de roles RBAC.Each time that you assign a role, an entry is made in the RBAC roles list. Puede comprobar las asignaciones de funciones con el cmdlet Get-ManagementRoleAssignment.You can verify role assignments by using the Get-ManagementRoleAssignment cmdlet.

  • Role: el rol RBAC para asignar.Role – The RBAC role to assign. Al configurar la suplantación, se asigna el rol ApplicationImpersonation.When you set up impersonation, you assign the ApplicationImpersonation role.

  • User: la cuenta de servicio.User – The service account.

  • CustomRecipientScope: el ámbito de los usuarios que puede suplantar la cuenta de servicio.CustomRecipientScope – The scope of users that the service account can impersonate. La cuenta de servicio solo tendrá permitido suplantar a otros usuarios dentro del ámbito especificado.The service account will only be allowed to impersonate other users within the specified scope. Si no se especifica ningún ámbito, la cuenta de servicio tiene el rol ApplicationImpersonation sobre todos los usuarios de una organización.If no scope is specified, the service account is granted the ApplicationImpersonation role over all users in an organization. Puede crear ámbitos de administración personalizada usando el cmdlet New-ManagementScope.You can create custom management scopes by using the New-ManagementScope cmdlet.

Antes de configurar la suplantación, necesita:Before you can configure impersonation, you need:

  • Credenciales administrativas para el servidor Exchange.Administrative credentials for the Exchange server.

  • Credenciales de administrador de dominio u otras credenciales con permiso para crear y asignar roles y ámbitos.Domain Administrator credentials, or other credentials with the permission to create and assign roles and scopes.

  • Herramientas de administración de Exchange. Están instaladas en el equipo desde el que se ejecutan los comandos.Exchange management tools. These are installed on the computer from which you will run the commands.

Para configurar la suplantación para todos los usuarios de una organizaciónTo configure impersonation for all users in an organization

  1. Abra el Shell de administración de Exchange.Open the Exchange Management Shell. En el menú Inicio, elija Todos los programas > Microsoft Exchange Server 2013.From the Start menu, choose All Programs > Microsoft Exchange Server 2013.

  2. Ejecute el cmdlet New-ManagementRoleAssignment para agregar el permiso de suplantación en el usuario especificado. En el ejemplo siguiente se muestra cómo configurar la suplantación para permitir que una cuenta de servicio suplante a los demás usuarios de una organización.Run the New-ManagementRoleAssignment cmdlet to add the impersonation permission to the specified user. The following example shows how to configure impersonation to enable a service account to impersonate all other users in an organization.

    New-ManagementRoleAssignment -name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount 
    

Para configurar la suplantación de usuarios o grupos de usuarios específicosTo configure impersonation for specific users or groups of users

  1. Abra el Shell de administración de Exchange. En el menú Inicio, elija Todos los programas > Microsoft Exchange Server 2013.Open the Exchange Management Shell. From the Start menu, choose All Programs > Microsoft Exchange Server 2013.

  2. Ejecute el cmdlet New-ManagementScope para crear un ámbito al que se pueda asignar el rol de suplantación. Si hay un ámbito existente, puede omitir este paso. En el ejemplo siguiente se muestra cómo crear un ámbito de administración para un grupo específico.Run the New-ManagementScope cmdlet to create a scope to which the impersonation role can be assigned. If an existing scope is available, you can skip this step. The following example shows how to create a management scope for a specific group.

     New-ManagementScope -Name:scopeName -RecipientRestrictionFilter:recipientFilter
    

    El parámetro RecipientRestrictionFilter del cmdlet New-ManagementScope define los miembros del ámbito.The RecipientRestrictionFilter parameter of the New-ManagementScope cmdlet defines the members of the scope. Puede usar las propiedades del objeto Identity para crear el filtro.You can use the properties of the Identity object to create the filter. El siguiente ejemplo es un filtro que restringe el resultado a un solo usuario con el usuario nombre de usuario "john".The following example is a filter that restricts the result to a single user with the user name "john."

    Name -eq "john"
    
  3. Ejecute el cmdlet New-ManagementRoleAssignment para agregar el permiso para suplantar a los miembros del ámbito especificado. El ejemplo siguiente muestra cómo configurar una cuenta de servicio para suplantar a todos los usuarios de un ámbito.Run the New-ManagementRoleAssignment cmdlet to add the permission to impersonate the members of the specified scope. The following example shows how to configure a service account to impersonate all users in a scope.

     New-ManagementRoleAssignment -Name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount -CustomRecipientWriteScope:scopeName
    
    

Después de que el administrador conceda los permisos de suplantación, puede usar la cuenta de servicio para realizar llamadas con las cuentas de otros usuarios. Puede comprobar las asignaciones de roles mediante el cmdlet Get-ManagementRoleAssignment.After your administrator grants impersonation permissions, you can use the service account to make calls against other users' accounts. You can verify role assignments by using the Get-ManagementRoleAssignment cmdlet.

Vea tambiénSee also