Олицетворение и EWS в Exchange

  • Статья

Узнайте, как и когда использовать олицетворение в приложениях-службах Exchange.

Вы можете предоставить пользователям доступ к почтовым ящикам других пользователей одним из трех способов:

  • Добавьте делегатов и укажите разрешения для каждого делегата.

  • Прямое изменение разрешений для папок.

  • Используйте олицетворение.

Когда следует выбирать олицетворение вместо делегирования или изменения разрешений для папки? Следующие рекомендации помогут вам решить.

  • Изменение разрешений для папки подойдет в том случае, если вы хотите предоставить пользователю доступ к папке, но не хотите, чтобы пользователь имел разрешения "отправить от имени".

  • Используйте делегированный доступ, если хотите предоставить одному пользователю разрешение на выполнение действий от имени другого пользователя. Как правило, это разрешение вида "один к одному" или "один ко многим". Например, один помощник администратора управляет календарем администратора или один диспетчер переговорных управляет календарями использования нескольких переговорных.

  • Олицетворение подойдет в том случае, если вашему приложению-службе нужен доступ к нескольким почтовым ящикам, в которых оно будет "действовать как" их владелец.

Олицетворение — лучший вариант при работе с несколькими почтовыми ящиками, так как позволяет легко предоставить одной служебной учетной записи доступ к каждому почтовому ящику в базе данных. Варианты делегирования и изменения разрешений для папки лучше всего использовать для предоставления доступа только нескольким пользователям, поскольку вам придется добавлять разрешения для каждого почтового ящика отдельно. На рис. 1 показаны некоторые различия между этими типами доступа.

Рис. 1. Способы доступа к почтовым ящикам других пользователей

Схема, на которой показаны типы доступа к почтовому ящику, связь между владельцами почтовых ящиков и делегатом для каждого типа, а также тип разрешения. Отправка от лица разрешений для делегирования и разрешений папок. Отправка как разрешений для олицетворения.

Олицетворение хорошо подходит для приложений, которые подключаются к Exchange Online, Exchange Online в составе Office 365 и к локальным версиям Exchange и выполняют такие операции, как архивация электронной почты, автоматическая настройка параметров при отсутствии на рабочем месте для пользователей в отпуске и любые другие задачи, для выполнения которых необходимо, чтобы приложение действовало как владелец почтового ящика. Когда приложение использует олицетворение для отправки сообщения, сообщение выглядит как отправленное владельцем почтового ящика. Получатель не сможет установить, что оно было отправлено с помощью учетной записи службы. Делегирование, с другой стороны, дает другой учетной записи электронной почты разрешение на выполнение действий от имени владельца почтового ящика. При отправке сообщения электронной почты представителем в поле "От" указывается владелец почтового ящика, а в поле "Отправитель" — представитель, отправивший сообщение.

Соображения безопасности, связанные с олицетворением

Олицетворение позволяет вызывающей стороне олицетворить определенную учетную запись пользователя. Таким образом вызывающая сторона может выполнять операции, используя вместо разрешений своей учетной записи те разрешения, которые сопоставлены с олицетворенной учетной записью. Поэтому при использовании олицетворения необходимо учитывать перечисленные ниже соображения безопасности.

  • Олицетворение могут применять только учетные записи, которым администратор сервера Exchange назначил роль ApplicationImpersonation.

  • Для локальной среды Exchange следует создать область управления, который ограничивает олицетворение указанной группой учетных записей. Если область управления не создана, роль ApplicationImpersonation назначается всем учетным записям в организации. Если вы настроили гибридную современную проверку подлинности, вы также можете использовать условный доступ Microsoft Entra для применения контроля доступа.

  • Для Exchange Online следует создать область управления, ограничивающую олицетворение указанной группой учетных записей. Если область управления не создана, роль ApplicationImpersonation назначается всем учетным записям в организации. Вы также можете использовать условный доступ Microsoft Entra для применения управления доступом.

  • Как правило, роль ApplicationImpersonation предоставляется служебной учетной записи, предназначенной для отдельного приложения или группы приложений, а не учетной записи пользователя. Вы можете создать столько служебных учетных записей, сколько потребуется.

Вы можете ознакомиться с дополнительной информацией о настройке олицетворения, однако вам необходимо обратиться к своему администратору Exchange, чтобы обеспечить создание служебных учетных записей с необходимыми разрешениями и правами доступа, соответствующим требованиям вашей организации в области безопасности.

Содержание

Соображения, связанные с безопасностью при олицетворении с помощью EWS

При использовании олицетворения с помощью EWS, необходимо всегда правильно устанавливать параметры заголовка X-AnchorMailbox. В противном случае вы можете получить сообщение об ошибке 500 или 503. Это очень важно для показателей производительности и уведомлений в Exchange Online и Exchange 2013. Если не настроить этот заголовок, время выполнения вызова может увеличиться в два и более раз. В некоторых случаях можно также задать время ожидания.

См. также