Controlando o acesso do aplicativo cliente ao EWS no ExchangeControlling client application access to EWS in Exchange

Saiba mais sobre as opções para gerenciar o acesso de aplicativos cliente ao EWS.Learn about the options for managing client application access to EWS.

Qualquer aplicativo cliente do EWS que você criar deve ter acesso ao Exchange Online, ao Exchange Online como parte do Office 365, ou a versão do Exchange a partir do Exchange 2013, antes de poder chamar as operações do EWS.Any EWS client application that you create must be granted access to Exchange Online, Exchange Online as part of Office 365, or version of Exchange starting with Exchange 2013 before it can call EWS operations. Os administradores do servidor de teste ou de produção podem usar o Shell de gerenciamento do Exchange para limitar o acesso ao EWS para todos os usuários e aplicativos, para usuários individuais ou para aplicativos individuais.Test or production server administrators can use the Exchange Management Shell to limit access to EWS either for all users and applications, for individual users, or for individual applications. O controle de acesso para EWS é baseado em contas de domínio.Access control for EWS is based on domain accounts. Quando uma conexão é feita com credenciais autenticadas pela autoridade de segurança local, o servidor retorna um erro que indica que somente as contas de domínio podem se conectar.When a connection is made with credentials that are authenticated by the local security authority, the server returns an error that indicates that only domain accounts can connect.

Controle de acesso para clientes e usuários do EWSAccess control for EWS clients and users

Seu administrador de teste ou de servidor de produção pode configurar o controle de acesso para clientes que se conectam ao EWS das seguintes maneiras:Your test or production server administrator can configure access control for clients that connect to EWS in the following ways:

  • Bloqueando a conexão de todos os aplicativos cliente.By blocking all client applications from connecting.

  • Permitindo que aplicativos clientes específicos apenas se conectem.By allowing specific client applications only to connect.

  • Permitindo que qualquer aplicativo cliente se conecte, exceto aqueles especificamente bloqueados.By allowing any client application to connect except those that are specifically blocked.

  • Permitindo que qualquer aplicativo cliente se conecte.By allowing any client application to connect.

Os aplicativos são identificados pela cadeia de caracteres do agente de usuário que eles enviam na solicitação HTTP Web.Applications are identified by the user agent string that they send in the HTTP web request.

Importante

O bloqueio no nível do aplicativo não é um recurso de segurança.Application-level blocking is not a security feature. A cadeia de caracteres do agente do usuário é facilmente falsificada.The user agent string is easily spoofed. Se um aplicativo tiver acesso ao EWS, o aplicativo ainda deverá apresentar as credenciais que o servidor autentica para que o aplicativo possa se conectar ao EWS.If an application is allowed access to EWS, the application must still present credentials that the server authenticates before the application can connect to EWS.

Os administradores também podem configurar o controle de acesso para proprietários de caixa de correio que se conectam ao EWS das seguintes maneiras:Administrators can also configure access control for mailbox owners that connect to EWS in the following ways:

  • Bloqueando ou permitindo uma organização inteira.By blocking or allowing an entire organization.

  • Bloqueando ou permitindo um grupo de usuários identificado por um escopo de autenticação baseada em função que inclui ou exclui proprietários de caixa de correio que não têm acesso ao EWS.By blocking or allowing a group of users identified by a role-based authentication scope that includes or excludes mailbox owners that do not have access to EWS.

  • Bloqueando ou permitindo um proprietário de caixa de correio individual.By blocking or allowing an individual mailbox owner.

As configurações de controle de acesso específicas substituem as configurações de controle de acesso gerais.Specific access control settings override general access control settings. Por exemplo, se uma organização negar acesso ao EWS, mas um proprietário de caixa de correio individual tiver permissão de acesso de aplicativo, a configuração individual prevalecerá e o acesso será permitido.For example, if an organization denies EWS access but an individual mailbox owner is allowed application access, the individual setting prevails and access is allowed.

Gerenciamento de delegação e acesso de EWSDelegation and EWS access management

Quando os usuários delegados que não têm acesso ao EWS usam seu aplicativo cliente, eles não poderão acessar a caixa de correio do usuário principal usando o EWS, mesmo que o usuário principal tenha acesso EWS.When delegate users who do not have access to EWS use your client application, they will not be able to access the principal user's mailbox by using EWS, even if the principal user has EWS access. Se o usuário delegado tiver acesso EWS, o representante será capaz de usar seu aplicativo cliente do EWS para acessar a caixa de correio do usuário principal, mesmo que o usuário principal não tenha acesso EWS.If the delegate user has EWS access, the delegate will be able to use your EWS client application to access the principal user's mailbox even if the principal user does not have EWS access.

Gerenciamento de acesso e representação do EWSImpersonation and EWS access management

Os aplicativos cliente que se conectam ao EWS em nome dos proprietários da caixa de correio podem não conseguir usar as configurações do EWS do proprietário da caixa de correio.Client applications that connect to EWS on behalf of mailbox owners might not be able to use the EWS settings of the mailbox owner. Por exemplo, um aplicativo que arquiva mensagens de email de uma empresa deve se conectar ao EWS independentemente das configurações de caixa de correio dos usuários.For example, an application that archives email messages for a company has to connect to EWS regardless of what the mailbox users' settings are. Outros aplicativos, como clientes de email, precisam usar as configurações do EWS do proprietário da caixa de correio.Other applications, such as mail clients, do have to use the mailbox owner's EWS settings.

Os administradores devem criar uma conta de representação para cada aplicativo ou classe de aplicativo que eles usam no servidor.Administrators should create an impersonation account for each application or application class that they use on their server. Isso permitirá que o administrador configure o escopo de controle de acesso baseado em função para todos os usuários que não têm permissões de EWS.This will enable the administrator to configure the role-based access control scope for all users that do not have EWS permissions.

Para habilitar as contas de representação, seu administrador de teste ou de servidor de produção deve executar uma das seguintes ações:To enable impersonation accounts, your test or production server administrator should do one of the following:

  • Adicione o grupo usuários autenticados ao grupo acesso compatível com o anterior ao Win2K.Add the Authenticated Users group to the Pre-Win2K Compatible Access Group.

  • Adicione o grupo Exchange Servers ao grupo de acesso de autorização do Windows.Add the Exchange Servers group to the Windows Authorization Access group.

Cmdlets do Shell de gerenciamento do Exchange para gerenciamento de acessoExchange Management Shell cmdlets for access management

Os administradores usam os seguintes cmdlets do Shell de gerenciamento do Exchange para configurar os controles de acesso do EWS:Administrators use the following Exchange Management Shell cmdlets to configure EWS access controls:

Confira tambémSee also