Steuern des Clientanwendungszugriffs auf EWS in Exchange

Erfahren Sie mehr zu den Optionen für die Verwaltung des Clientanwendungszugriffs auf EWS.

Jeder EWS-Clientanwendung, die Sie erstellen, muss Zugriff auf Exchange Online, Exchange Online als Teil von Office 365 oder eine Version von Exchange beginnend mit Exchange 2013, bevor diese EWS-Vorgänge aufrufen kann. Test- oder Produktionsserveradministratoren können die Exchange-Verwaltungsshell verwenden, um den Zugriff auf EWS entweder für alle Benutzer und Anwendungen, für einzelne Benutzer oder für einzelne Anwendungen zu beschränken. Die Zugriffssteuerung für EWS basiert auf Control EWS basiert auf Domänenkonten. Wenn eine Verbindung mit Anmeldeinformationen hergestellt wird, die von der lokalen Sicherheitsautorität authentifiziert wurden, gibt der Server einen Fehler zurück, der angibt, dass nur Domänenkonten eine Verbindung herstellen können.

Zugriffssteuerung für EWS-Clients und Benutzer

Ihr Test- und Produktionsserveradministrator kann die Zugriffssteuerung für Clients, die eine Verbindung zu EWS herstellen, folgendermaßen konfigurieren:

  • Indem für alle Clientanwendungen verhindert wird, dass eine Verbindung hergestellt wird.

  • Indem nur bestimmten Clientanwendungen ermöglicht wird, eine Verbindung herzustellen.

  • Indem allen Clientanwendungen ermöglicht wird, eine Verbindung herzustellen, mit Ausnahme derjenigen, die speziell blockiert werden.

  • Indem allen Clientanwendungen ermöglicht wird, eine Verbindung herzustellen.

Anwendungen werden von der Benutzer-Agent-Zeichenfolge identifiziert, die sie in der HTTP-Webanforderung senden.

Wichtig

Das Blockieren auf Anwendungsebene ist kein Sicherheitsfeature. Die Benutzer-Agent-Zeichenfolge kann ganz einfach gefälscht werden. Wenn einer Anwendung Zugriff auf EWS gewährt wird, muss die Anwendung dennoch Anmeldeinformationen bereitstellen, die der Server authentifiziert, bevor die Anwendung eine Verbindung zu EWS herstellen kann.

Administratoren können über die folgenden Methoden die Zugriffssteuerung auch für Postfachbesitzer konfigurieren, die eine Verbindung zu EWS herstellen:

  • Durch Blockieren oder Zulassen ein ganzen Unternehmens.

  • Durch das Blockieren oder Zulassen einer Gruppe von Benutzern, die durch einen rollenbasierten Authentifizierungsbereich identifiziert werden, der Postfachbesitzer ein- oder ausschließt, die keinen Zugriff auf EWS haben.

  • Durch Blockieren oder Zulassen eines einzelnen Postfachbesitzers.

Bestimmte Zugriffssteuerungseinstellungen setzen allgemeine Zugriffssteuerungseinstellungen außer Kraft. Wenn eine Organisation beispielsweise EWS-Zugriff verweigert, einem einzelnen Postfachbesitzer jedoch Anwendungszugriff gewährt wird, hat die einzelne Einstellung Vorrang und der Zugriff wird gewährt.

Delegierung und EWS-Zugriffsverwaltung

Wenn stellvertretende Benutzer, die keinen Zugriff auf EWS haben, Ihre Clientanwendung verwenden, können sie mithilfe von EWS nicht auf das Postfach des Hauptbenutzers zugreifen, auch dann nicht, wenn der Hauptbenutzer Zugriff auf EWS hat. Wenn der stellvertretende Benutzer über EWS-Zugriff verfügt, kann der Stellvertreter Ihre EWS-Clientanwendung verwenden, um auf das Postfach des Hauptbenutzers zuzugreifen, auch wenn der Hauptbenutzer keinen Zugriff auf EWS hat.

Identitätswechsel und EWS-Zugriffsverwaltung

Clientanwendungen, die im Auftrag von Postfachbesitzern eine Verbindung zu EWS herstellen, können die EWS-Einstellungen des Postfachbesitzers möglicherweise nicht verwenden. Angenommen, eine Anwendung, die E-Mails für ein Unternehmen archiviert, muss, unabhängig von den Einstellungen des Postfachbenutzers eine Verbindung zu EWS herstellen. Andere Programme, z. B. E-Mail-Clients, müssen die EWS-Einstellungen des Postfachbesitzers verwenden.

Administratoren sollten ein Identitätswechselkonto für jede Anwendung oder Anwendungsklasse erstellen, die sie auf ihrem Server verwenden. Dadurch kann der Administrator den rollenbasierten Zugriffssteuerungsbereich für alle Benutzer konfigurieren, die nicht über EWS-Berechtigungen verfügen.

Um Identitätswechselkonten zu aktivieren, sollte der Test- oder Produktionsserveradministrator eine der folgenden Aktionen ausführen:

  • Hinzufügen der Gruppe der authentifizierten Benutzer zur Gruppe „Prä-Windows 2000 kompatibler Zugriff".

  • Hinzufügen der Exchange Server-Gruppe zur Windows-Autorisierungszugriffsgruppe.

Cmdlets der Exchange-Verwaltungsshell für Zugriffssteuerung

Administratoren verwenden die folgenden Cmdlets der Exchange-Verwaltungsshell, um die EWS-Zugriffssteuerung zu konfigurieren:

Siehe auch