New-ApplicationAccessPolicy

Dieses Cmdlet ist nur im cloudbasierten Dienst verfügbar.

Verwenden Sie das Cmdlet New-ApplicationAccessPolicy, um den Zugriff auf eine bestimmte Gruppe von Postfächern durch eine Anwendung einzuschränken oder zu verweigern, die APIs (Outlook REST, Microsoft Graph oder Exchange Web Services (EWS)) verwendet. Diese Richtlinien ergänzen die Berechtigungsbereiche, die von der Anwendung deklariert werden.

Informationen zu den Parametersätzen im Abschnitt zur Syntax weiter unten finden Sie unter Syntax der Exchange-Cmdlets.

Hinweis: App-Zugriffsrichtlinien werden bald durch rollenbasierte Access Control für Anwendungen ersetzt. Weitere Informationen finden Sie unter Rollenbasierte Access Control für Exchange-Anwendungen.

Syntax

New-ApplicationAccessPolicy
   -AccessRight <ApplicationAccessPolicyRight>
   -AppId <String[]>
   -PolicyScopeGroupId <RecipientIdParameter>
   [-Confirm]
   [-Description <String>]
   [-WhatIf]
   [<CommonParameters>]

Beschreibung

Bevor Sie dieses Cmdlet ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Auch wenn in diesem Thema alle Parameter für das Cmdlet aufgeführt werden, verfügen Sie möglicherweise nicht über den Zugriff auf einige Parameter, wenn sie nicht in den Ihnen zugewiesenen Berechtigungen enthalten sind. Wie Sie herausfinden, welche Berechtigungen zur Ausführung eines bestimmten Cmdlets oder Parameters in Ihrer Organisation erforderlich sind, können Sie unter Find the permissions required to run any Exchange cmdlet nachlesen.

Sie können eine begrenzte Anzahl von Richtlinien in Ihrer Organisation basierend auf einem festen Speicherplatz erstellen. Wenn In Ihrer Organisation der Speicherplatz für diese Richtlinien ausgeht, wird der folgende Fehler angezeigt: "Die Gesamtgröße der App-Zugriffsrichtlinien hat den Grenzwert überschritten." Um die Anzahl der Richtlinien zu maximieren und den von den Richtlinien belegten Speicherplatz zu reduzieren, legen Sie eine Beschreibung mit einem Leerzeichen für die Richtlinie fest. Diese Methode ermöglicht ungefähr 300 Richtlinien (im Vergleich zu einem früheren Grenzwert von 100 Richtlinien).

Während der bereichsbasierte Ressourcenzugriff wie Mail.Read oder Calendar.Read effektiv ist, um sicherzustellen, dass die Anwendung nur E-Mails oder Ereignisse innerhalb eines Postfachs lesen und keine anderen Aktionen ausführen kann, ermöglichen Anwendungszugriffsrichtlinien Administratoren das Erzwingen von Grenzwerten, die auf einer Liste von Postfächern basieren. Apps, die für ein Land entwickelt wurden, sollten beispielsweise keinen Zugriff auf Daten aus anderen Ländern haben. Oder eine CRM-Integrationsanwendung sollte nur auf Kalender in der Vertriebsorganisation und in anderen Abteilungen zugreifen.

Jede API-Anforderung, die die Outlook-REST-APIs oder Microsoft Graph-APIs an ein Zielpostfach verwendet, die von einer Anwendung ausgeführt wird, wird mit den folgenden Regeln (in der gleichen Reihenfolge) überprüft:

  1. Wenn mehrere Anwendungszugriffsrichtlinien für dasselbe Anwendungs- und Zielpostfachpaar vorhanden sind, wird die DenyAccess-Richtlinie vor einer RestrictAccess-Richtlinie priorisiert.
  2. Wenn eine DenyAccess-Richtlinie für das Anwendungs- und Zielpostfach vorhanden ist, wird die Zugriffsanforderung der App verweigert (auch wenn eine RestrictAccess-Richtlinie vorhanden ist).
  3. Wenn RestrictAccess-Richtlinien vorhanden sind, die mit dem Anwendungs- und Zielpostfach übereinstimmen, wird der App Zugriff gewährt.
  4. Wenn es Richtlinien zum Einschränken für die Anwendung gibt und das Zielpostfach kein Mitglied dieser Richtlinien ist, wird der Anwendung der Zugriff auf das Zielpostfach verweigert.
  5. Wenn keine der oben genannten Bedingungen erfüllt ist, wird der Anwendung Zugriff auf das angeforderte Zielpostfach gewährt.

Beispiele

Beispiel 1

New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5", "6ac794ca-2697-4137-8754-d2a78ae47d93" -PolicyScopeGroupId "Engineering Staff" -Description "Engineering Group Policy"

In diesem Beispiel wird eine neue Anwendungszugriffsrichtlinie mit den folgenden Einstellungen erstellt:

  • AccessRight: DenyAccess
  • AppIDs: 3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5 und 6ac794ca-2697-4137-8754-d2a78ae47d93
  • PolicyScopeGroupId: Technische Mitarbeiter
  • Beschreibung: Engineering Gruppenrichtlinie

Beispiel 2

New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app's access to members of security group EvenUsers."

In diesem Beispiel wird eine neue Anwendungszugriffsrichtlinie mit den folgenden Einstellungen erstellt:

  • AccessRight: RestrictAccess
  • AppIDs: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
  • PolicyScopeGroupId: EvenUsers@AppPolicyTest2.com
  • Beschreibung: Schränken Sie den Zugriff dieser App auf Mitglieder der Sicherheitsgruppe EvenUsers ein.

Beispiel 3

New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId OddUsers@AppPolicyTest2.com -Description "Deny this app access to members of security group OddUsers."

In diesem Beispiel wird eine neue Anwendungszugriffsrichtlinie mit den folgenden Einstellungen erstellt:

  • AccessRight: DenyAccess
  • AppIDs: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
  • PolicyScopeGroupId: OddUsers@AppPolicyTest2.com
  • Beschreibung: Verweigern Sie dieser App den Zugriff auf Mitglieder der Sicherheitsgruppe OddUsers.

Parameter

-AccessRight

Der AccessRight-Parameter gibt den Einschränkungstyp an, den Sie in der Anwendungszugriffsrichtlinie zuweisen möchten. Gültige Werte sind:

  • RestrictAccess: Ermöglicht der zugeordneten App nur den Zugriff auf Daten, die postfächern zugeordnet sind, die durch den PolicyScopeGroupID-Parameter angegeben werden.
  • DenyAccess: Ermöglicht der zugeordneten App nur den Zugriff auf Daten, die nicht postfächern zugeordnet sind, die durch den PolicyScopeGroupID-Parameter angegeben werden.
Type:ApplicationAccessPolicyIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-AppId

Der Parameter Identity gibt die GUID der Apps an, die in die Richtlinie eingeschlossen werden sollen. Um den GUID-Wert einer App zu finden, führen Sie den Befehl Get-App | Format-Table -Auto DisplayName,AppId aus.

Sie können mehrere App-GUID-Werte durch Kommas getrennt angeben, oder Sie können * angeben, um alle Anwendungen anzugeben.

Type:String[]
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Confirm

Die Option "Confirm" gibt an, ob die Bestätigungsaufforderung angezeigt oder ausgeblendet werden soll. Wie diese Option sich auf das Cmdlet auswirkt, hängt davon ab, ob für die Option vor dem Fortfahren eine Bestätigung erforderlich ist.

  • Destruktive Cmdlets (z. B. Remove-*-Cmdlets) verfügen über eine integrierte Pause, die Sie zwingt, den Befehl zu bestätigen, bevor Sie fortfahren. Für diese Cmdlets können Sie die Bestätigungsaufforderung mit genau dieser Syntax überspringen: -Confirm:$false.
  • Die meisten anderen Cmdlets (z. B. New-* und Set-*-Cmdlets) verfügen nicht über eine integrierte Pause. Bei diesen Cmdlets führt das Angeben der Option "Confirm" ohne einen Wert eine Pause ein, die Sie zwingt, den Befehl vor dem Fortfahren zu bestätigen.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Description

Der Description-Parameter gibt eine Beschreibung für die Richtlinie an. Wenn der Wert Leerzeichen enthält, setzen Sie ihn in Anführungszeichen (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PolicyScopeGroupID

Der Parameter PolicyScopeGroupID gibt den Empfänger an, der in der Richtlinie definiert werden soll. Gültige Empfängertypen sind Sicherheitsprinzipale in Exchange Online (Benutzer oder Gruppen, denen Berechtigungen zugewiesen werden können). Beispiel:

  • Postfächer mit zugeordneten Benutzerkonten (UserMailbox)
  • E-Mail-Benutzer, auch als E-Mail-aktivierte Benutzer (MailUser) bezeichnet
  • E-Mail-aktivierte Sicherheitsgruppen (MailUniversalSecurityGroup)

Sie können jeden Wert verwenden, der den Empfänger eindeutig bestimmt. Beispiel:

  • Name
  • Name
  • Distinguished Name (DN)
  • Anzeigename
  • GUID

Um zu überprüfen, ob ein Empfänger ein Sicherheitsprinzipal ist, führen Sie einen der folgenden Befehle aus: Get-Recipient -Identity <RecipientIdentity> | Select-Object IsValidSecurityPrincipal oder Get-Recipient -ResultSize unlimited | Format-Table -Auto Name,RecipientType,RecipientTypeDetails,IsValidSecurityPrincipal.

Sie können mit diesem Parameter keine Empfänger verwenden, die keine Sicherheitsprinzipale sind. Die folgenden Empfängertypen funktionieren beispielsweise nicht:

  • Ermittlungspostfächer (DiscoveryMailbox)
  • Dynamische Verteilergruppen (DynamicDistributionGroup)
  • Verteilergruppen (MailUniversalDistributionGroup)
  • E-Mail-Kontakte (MailContact)
  • E-Mail-aktivierte öffentliche Ordner (PublicFolder)
  • Microsoft 365-Gruppen (GroupMailbox)
  • Ressourcenpostfächer (RoomMailbox oder EquipmentMailbox)
  • Freigegebene Postfächer (SharedMailbox)

Wenn Sie die Richtlinie auf freigegebene Postfächer festlegen müssen, können Sie die freigegebenen Postfächer als Mitglieder einer E-Mail-aktivierten Sicherheitsgruppe hinzufügen.

Type:RecipientIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-WhatIf

Die Option "WhatIf" simuliert die Aktionen des Befehls. Sie können diesen Switch verwenden, um die Änderungen anzuzeigen, die auftreten würden, ohne diese Änderungen tatsächlich anzuwenden. Sie müssen keinen Wert für diese Option angeben.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection