Configurar a representação
Saiba como conceder a função de representação a uma conta de serviço usando o Shell de Gerenciamento do Exchange.
A representação permite que um chamador, como um aplicativo de serviço, represente uma conta de usuário. O chamador pode executar operações usando as permissões associadas à conta representada em vez das permissões associadas à conta do chamador.
O Exchange Online, o Exchange Online como parte do Office 365 e as versões do Exchange a partir do Exchange 2013 usam o controle de acesso baseado em função (RBAC) para atribuir permissões às contas. O administrador do servidor Exchange precisará conceder a qualquer conta de serviço que represente outros usuários a função ApplicationImpersonation usando o cmdlet New-ManagementRoleAssignment.
Configurando a função ApplicationImpersonation
Quando você ou o administrador do servidor Exchanger atribui a função ApplicationImpersonation, utilize os seguintes parâmetros do cmdlet New-ManagementRoleAssignment:
- Nome – O nome amigável da atribuição de função. Cada vez que você atribui uma função, uma entrada é feita na lista de funções do RBAC. Você pode verificar as atribuições de função usando o cmdlet Get ManagementRoleAssignment.
- Função – A função RBAC a ser atribuída. Ao configurar a representação, você atribui a função ApplicationImpersonation.
- Usuário – A conta de serviço.
- CustomRecipientScope – O escopo dos usuários que a conta de serviço pode representar. A conta de serviço só poderá representar outros usuários dentro do escopo especificado. Se nenhum escopo for especificado, a conta de serviço receberá a função ApplicationImpersonation sobre todos os usuários em uma organização. Você pode criar escopos de gerenciamento personalizados usando o cmdlet New-ManagementScope.
Antes de configurar a representação, você precisa:
- Credenciais administrativas para o Exchange Server.
- Credenciais de administrador de domínio ou outras credenciais com a permissão para criar e atribuir funções e escopos.
- Ferramentas de gerenciamento do Exchange. Eles são instalados no computador a partir do qual você executará os comandos.
Para configurar a representação para todos os usuários em uma organização
Abra o Shell de Gerenciamento do Exchange Management Shell. No menu Iniciar, escolha Todos os Programas>Microsoft Exchange Server 2013.
Execute o cmdlet New-ManagementRoleAssignment para adicionar a permissão de representação ao usuário especificado. O exemplo a seguir mostra como configurar a representação para permitir que uma conta de serviço represente todos os outros usuários em uma organização.
New-ManagementRoleAssignment -name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount
Para configurar a representação para usuários ou grupos de usuários específicos
Abra o Shell de Gerenciamento do Exchange Management Shell. No menu Iniciar, escolha Todos os Programas>Microsoft Exchange Server 2013.
Execute o cmdlet New-ManagementScope para criar um escopo ao qual a função de representação possa ser atribuída. Se um escopo existente estiver disponível, você poderá pular esta etapa. O exemplo a seguir mostra como criar um escopo de gerenciamento para um grupo específico.
New-ManagementScope -Name:scopeName -RecipientRestrictionFilter:recipientFilterO parâmetro RecipientRestrictionFilter do cmdlet New-ManagementScope define os membros do escopo. Você pode usar as propriedades do objeto Identity para criar o filtro. O exemplo a seguir é um filtro que restringe o resultado a um único usuário com o nome de usuário "john".
Name -eq "john"Execute o cmdlet New-ManagementRoleAssignment para adicionar a permissão para representar os membros do escopo especificado. O exemplo a seguir mostra como configurar uma conta de serviço para representar todos os usuários em um escopo.
New-ManagementRoleAssignment -Name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount -CustomRecipientWriteScope:scopeName
Depois que o administrador conceder as permissões de representação, você poderá usar a conta de serviço para fazer chamadas com as contas de outros usuários. Você pode verificar as atribuições de função usando o cmdlet Get ManagementRoleAssignment.
Confira também
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de