New-ApplicationAccessPolicy

Cette cmdlet est disponible uniquement dans le service cloud.

Utilisez l’applet de commande New-ApplicationAccessPolicy pour restreindre ou refuser l’accès à un ensemble spécifique de boîtes aux lettres par une application qui utilise des API (Outlook REST, Microsoft Graph ou Exchange Web Services (EWS)). Ces stratégies sont complémentaires aux étendues d’autorisation déclarées par l’application.

Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.

Note: Les stratégies d’accès aux applications seront bientôt remplacées par des Access Control basées sur des rôles pour les applications. Pour plus d’informations, consultez Access Control basée sur des rôles pour les applications Exchange.

Syntax

New-ApplicationAccessPolicy
   -AccessRight <ApplicationAccessPolicyRight>
   -AppId <String[]>
   -PolicyScopeGroupId <RecipientIdParameter>
   [-Confirm]
   [-Description <String>]
   [-WhatIf]
   [<CommonParameters>]

Description

Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cette rubrique répertorie tous les paramètres de cette cmdlet, il est possible que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous ont été attribuées. Pour rechercher les autorisations requises pour exécuter une cmdlet ou un paramètre dans votre organisation, voir Find the permissions required to run any Exchange cmdlet.

Vous pouvez créer un nombre limité de stratégies dans votre organisation en fonction d’une quantité d’espace fixe. Si votre organisation manque d’espace pour ces stratégies, vous verrez l’erreur : « La taille totale des stratégies d’accès aux applications a dépassé la limite ». Pour optimiser le nombre de stratégies et réduire la quantité d’espace consommée par les stratégies, définissez une description d’un caractère d’espace pour la stratégie. Cette méthode autorise environ 300 stratégies (contre une limite précédente de 100 stratégies).

Bien que l’accès aux ressources basé sur l’étendue, comme Mail.Read ou Calendar.Read, soit efficace pour garantir que l’application peut uniquement lire les e-mails ou les événements dans une boîte aux lettres et ne rien faire d’autre, les stratégies d’accès aux applications permettent aux administrateurs d’appliquer des limites basées sur une liste de boîtes aux lettres. Par exemple, les applications développées pour un pays ne doivent pas avoir accès aux données d’autres pays. Ou bien, ou une application d’intégration CRM doit uniquement accéder aux calendriers de l’organisation des ventes et à aucun autre service.

Chaque demande d’API utilisant les API REST Outlook ou les API Microsoft Graph à une boîte aux lettres cible effectuée par une application est vérifiée à l’aide des règles suivantes (dans le même ordre) :

  1. S’il existe plusieurs stratégies d’accès aux applications pour la même paire Application et Boîte aux lettres cible, la stratégie DenyAccess est prioritaire sur une stratégie RestrictAccess.
  2. S’il existe une stratégie DenyAccess pour l’application et la boîte aux lettres cible, la demande d’accès de l’application est refusée (même s’il existe une stratégie RestrictAccess).
  3. Si des stratégies RestrictAccess correspondent à l’application et à la boîte aux lettres cible, l’accès est accordé à l’application.
  4. S’il existe des stratégies Restreindre pour l’application et que la boîte aux lettres cible n’est pas membre de ces stratégies, l’application se voit refuser l’accès à la boîte aux lettres cible.
  5. Si aucune des conditions ci-dessus n’est remplie, l’application se voit accorder l’accès à la boîte aux lettres cible demandée.

Exemples

Exemple 1

New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5", "6ac794ca-2697-4137-8754-d2a78ae47d93" -PolicyScopeGroupId "Engineering Staff" -Description "Engineering Group Policy"

Cet exemple crée une stratégie d’accès aux applications avec les paramètres suivants :

  • AccessRight : DenyAccess
  • AppIDs : 3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5 et 6ac794ca-2697-4137-8754-d2a78ae47d93
  • PolicyScopeGroupId : équipe d’ingénierie
  • Description : Ingénierie stratégie de groupe

Exemple 2

New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app's access to members of security group EvenUsers."

Cet exemple crée une stratégie d’accès aux applications avec les paramètres suivants :

  • AccessRight : RestrictAccess
  • AppIDs : e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
  • PolicyScopeGroupId : EvenUsers@AppPolicyTest2.com
  • Description : Limitez l’accès de cette application aux membres du groupe de sécurité EvenUsers.

Exemple 3

New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId OddUsers@AppPolicyTest2.com -Description "Deny this app access to members of security group OddUsers."

Cet exemple crée une stratégie d’accès aux applications avec les paramètres suivants :

  • AccessRight : DenyAccess
  • AppIDs : e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
  • PolicyScopeGroupId : OddUsers@AppPolicyTest2.com
  • Description : Refuser à cette application l’accès aux membres du groupe de sécurité OddUsers.

Paramètres

-AccessRight

Le paramètre AccessRight spécifie le type de restriction que vous souhaitez affecter dans la stratégie d’accès à l’application. Les valeurs valides sont les suivantes :

  • RestrictAccess : permet à l’application associée d’accéder uniquement aux données associées aux boîtes aux lettres spécifiées par le paramètre PolicyScopeGroupID.
  • DenyAccess : permet à l’application associée d’accéder uniquement aux données qui ne sont pas associées aux boîtes aux lettres spécifiées par le paramètre PolicyScopeGroupID.
Type:ApplicationAccessPolicyIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-AppId

Le paramètre Identity spécifie le GUID des applications à inclure dans la stratégie. Pour rechercher la valeur de GUID d’une application, exécutez la commande Get-App | Format-Table -Auto DisplayName,AppId.

Vous pouvez spécifier plusieurs valeurs GUID d’application séparées par des virgules ou vous pouvez spécifier * pour indiquer toutes les applications.

Type:String[]
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Confirm

Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.

  • Les applets de commande destructrices (par exemple, les applets de commande Remove-*) ont une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte : -Confirm:$false.
  • La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n’ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
Type:SwitchParameter
Aliases:cf
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-Description

Le paramètre Description spécifie une description de la stratégie. Si la valeur contient des espaces, placez-la entre guillemets (").

Type:String
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-PolicyScopeGroupID

Le paramètre PolicyScopeGroupID spécifie le destinataire à définir dans la stratégie. Les types de destinataires valides sont des principaux de sécurité dans Exchange Online (utilisateurs ou groupes auxquels des autorisations peuvent être attribuées). Par exemple :

  • Boîtes aux lettres avec des comptes d’utilisateur associés (UserMailbox)
  • Utilisateurs de messagerie, également appelés utilisateurs à extension messagerie (MailUser)
  • Groupes de sécurité à extension messagerie (MailUniversalSecurityGroup)

Vous pouvez utiliser une valeur quelconque qui identifie le destinataire. Par exemple :

  • Nom
  • Nom
  • Nom unique (DN)
  • Nom complet
  • GUID

Pour vérifier qu’un destinataire est un principal de sécurité, exécutez l’une des commandes suivantes : Get-Recipient -Identity <RecipientIdentity> | Select-Object IsValidSecurityPrincipal ou Get-Recipient -ResultSize unlimited | Format-Table -Auto Name,RecipientType,RecipientTypeDetails,IsValidSecurityPrincipal.

Vous ne pouvez pas utiliser de destinataires qui ne sont pas des principaux de sécurité avec ce paramètre. Par exemple, les types de destinataires suivants ne fonctionnent pas :

  • Boîtes aux lettres de découverte (DiscoveryMailbox)
  • Groupes de distribution dynamiques (DynamicDistributionGroup)
  • Groupes de distribution (MailUniversalDistributionGroup)
  • Contacts de messagerie (MailContact)
  • Dossiers publics à extension messagerie (PublicFolder)
  • Groupes Microsoft 365 (GroupMailbox)
  • Boîtes aux lettres de ressources (RoomMailbox ou EquipmentMailbox)
  • Boîtes aux lettres partagées (SharedMailbox)

Si vous avez besoin d’étendre la stratégie à des boîtes aux lettres partagées, vous pouvez ajouter les boîtes aux lettres partagées en tant que membres d’un groupe de sécurité à extension messagerie.

Type:RecipientIdParameter
Position:Named
Default value:None
Required:True
Accept pipeline input:True
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection

-WhatIf

Le commutateur WhatIf simule les actions de la commande. Vous pouvez utiliser ce commutateur pour afficher les modifications qui se produiraient sans réellement appliquer ces modifications. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.

Type:SwitchParameter
Aliases:wi
Position:Named
Default value:None
Required:False
Accept pipeline input:False
Accept wildcard characters:False
Applies to:Exchange Online, Exchange Online Protection