Configurer l’emprunt d'identitéConfigure impersonation

Découvrez comment accorder le rôle d’emprunt d’identité à un compte de service à l’aide de l’environnement de ligne de commande Exchange Management Shell.Learn how to grant the impersonation role to a service account by using the Exchange Management Shell.

L'emprunt d'identité permet à un appelant, tel qu'une application de service, d'emprunter l'identité d'un compte d'utilisateur. L'appelant peut effectuer des opérations en utilisant les autorisations associées au compte représenté plutôt que celles associées à son propre compte.Impersonation enables a caller, such as a service application, to impersonate a user account. The caller can perform operations by using the permissions that are associated with the impersonated account instead of the permissions associated with the caller's account.

Exchange Online, Exchange Online dans le cadre d'Office 365 et les versions de Microsoft Exchange à partir d'Exchange 2013 utilisent un contrôle d'accès en fonction du rôle (RBAC) pour attribuer des autorisations aux comptes. Votre administrateur de serveur Exchange devra accorder le rôle ApplicationImpersonation à chaque compte de service qui empruntera l'identité d'autres utilisateurs à l'aide de la cmdlet New-ManagementRoleAssignment.Exchange Online, Exchange Online as part of Office 365, and versions of Exchange starting with Exchange 2013 use role-based access control (RBAC) to assign permissions to accounts. Your Exchange server administrator will need to grant any service account that will be impersonating other users the ApplicationImpersonation role by using the New-ManagementRoleAssignment cmdlet.

Configuration du rôle ApplicationImpersonationConfiguring the ApplicationImpersonation role

Lorsque vous ou votre administrateur de serveur Exchange attribuez le rôle ApplicationImpersonation, utilisez les paramètres de la cmdletNew-ManagementRoleAssignment suivants :When you or your Exchanger server administrator assigns the ApplicationImpersonation role, use the following parameters of the New-ManagementRoleAssignment cmdlet:

  • Nom– — Nom convivial de l'attribution de rôle.Name – The friendly name of the role assignment. Chaque fois que vous attribuez un rôle, une entrée est créée dans la liste des rôles RBAC.Each time that you assign a role, an entry is made in the RBAC roles list. Vous pouvez vérifier les attributions de rôle à l’aide du cmdletGet-ManagementRoleAssignment.You can verify role assignments by using the Get-ManagementRoleAssignment cmdlet.

  • Rôle–Rôle RBAC à attribuer.Role – The RBAC role to assign. Lorsque vous configurez l’emprunt d’identité, vous attribuez le** rôle ApplicationImpersonation**.When you set up impersonation, you assign the ApplicationImpersonation role.

  • Utilisateur–Compte de service.User – The service account.

  • CustomRecipientScope–Étendue des utilisateurs dont le compte de service peut emprunter l'identité.CustomRecipientScope – The scope of users that the service account can impersonate. Le compte de service pourra uniquement emprunter l’identité d’autres utilisateurs au sein de l’étendue spécifiée.The service account will only be allowed to impersonate other users within the specified scope. Si aucune étendue n'est spécifiée, le compte de service dispose du rôle ApplicationImpersonation pour tous les utilisateurs de l'organisation.If no scope is specified, the service account is granted the ApplicationImpersonation role over all users in an organization. Vous pouvez créer des étendues de gestion personnalisées à l'aide de la cmdlet New-ManagementScope.You can create custom management scopes by using the New-ManagementScope cmdlet.

Pour pouvoir configurer l’emprunt d’identité, vous devez disposer des éléments suivants :Before you can configure impersonation, you need:

  • Informations d’identification d’administration pour le serveur Exchange.Administrative credentials for the Exchange server.

  • Informations d’identification de l’administrateur de domaine ou autres informations d’identification accordant l’autorisation de créer, et d’attribuer des rôles et des étendues.Domain Administrator credentials, or other credentials with the permission to create and assign roles and scopes.

  • Outils de gestion Exchange. Ces outils sont installés sur l’ordinateur à partir duquel vous allez exécuter les commandes.Exchange management tools. These are installed on the computer from which you will run the commands.

Configuration de l’emprunt d’identité pour tous les utilisateurs d’une organisationTo configure impersonation for all users in an organization

  1. Ouvrez l'Environnement de ligne de commande Exchange Management Shell.Open the Exchange Management Shell. Dans le menu Démarrer, choisissez Tous les programmes > Microsoft Exchange Server 2013.From the Start menu, choose All Programs > Microsoft Exchange Server 2013.

  2. Exécutez la cmdlet New-ManagementRoleAssignment pour ajouter l'autorisation d'emprunt d'identité à l'utilisateur spécifié. L'exemple suivant montre comment configurer l'emprunt d'identité pour permettre à un compte de service d'emprunter l'identité de tous les autres utilisateurs d'une organisation.Run the New-ManagementRoleAssignment cmdlet to add the impersonation permission to the specified user. The following example shows how to configure impersonation to enable a service account to impersonate all other users in an organization.

    New-ManagementRoleAssignment -name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount 
    

Configuration de l’emprunt d’identité pour certains utilisateurs ou groupes d’utilisateursTo configure impersonation for specific users or groups of users

  1. Ouvrez l'environnement de ligne de commande Exchange Management Shell. Dans le menu Démarrer, choisissez Tous les programmes > Microsoft Exchange Server 2013.Open the Exchange Management Shell. From the Start menu, choose All Programs > Microsoft Exchange Server 2013.

  2. Exécutez la cmdlet New-ManagementScope pour créer une étendue à laquelle le rôle d'emprunt d'identité peut être attribué. Si une étendue existante est disponible, vous pouvez ignorer cette étape. L'exemple suivant montre comment créer une étendue de gestion pour un groupe spécifique.Run the New-ManagementScope cmdlet to create a scope to which the impersonation role can be assigned. If an existing scope is available, you can skip this step. The following example shows how to create a management scope for a specific group.

     New-ManagementScope -Name:scopeName -RecipientRestrictionFilter:recipientFilter
    

    Le paramètre_RecipientRestrictionFilter_ de la cmdlet New-ManagementScope définit les membres de l'étendue.The RecipientRestrictionFilter parameter of the New-ManagementScope cmdlet defines the members of the scope. Vous pouvez utiliser les propriétés del’identitéde l’objet pour créer le filtre.You can use the properties of the Identity object to create the filter. L'exemple suivant est un filtre qui limite le résultat à un utilisateur unique avec le nom d'utilisateur « John ».The following example is a filter that restricts the result to a single user with the user name "john."

    Name -eq "john"
    
  3. Exécutez la cmdlet New-ManagementRoleAssignment pour ajouter l'autorisation d'emprunt d'identité des membres de l'étendue spécifiée. L'exemple suivant montre comment configurer un compte de service pour emprunter l'identité de tous les utilisateurs d'une étendue.Run the New-ManagementRoleAssignment cmdlet to add the permission to impersonate the members of the specified scope. The following example shows how to configure a service account to impersonate all users in a scope.

     New-ManagementRoleAssignment -Name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount -CustomRecipientWriteScope:scopeName
    
    

Une fois les autorisations d'emprunt d'identité octroyées par votre administrateur, vous pouvez utiliser le compte de service pour émettre des appels pour le compte d'autres utilisateurs. Vous pouvez vérifier les attributions de rôles à l'aide de la cmdlet Get-ManagementRoleAssignment.After your administrator grants impersonation permissions, you can use the service account to make calls against other users' accounts. You can verify role assignments by using the Get-ManagementRoleAssignment cmdlet.

Voir aussiSee also