Configurar a representação

Saiba como conceder a função de representação a uma conta de serviço usando o Shell de Gerenciamento do Exchange.

A representação permite que um chamador, como um aplicativo de serviço, represente uma conta de usuário. O chamador pode executar operações usando as permissões associadas à conta representada em vez das permissões associadas à conta do chamador.

O Exchange Online, o Exchange Online como parte do Office 365 e as versões do Exchange a partir do Exchange 2013 usam o controle de acesso baseado em função (RBAC) para atribuir permissões às contas. O administrador do servidor Exchange precisará conceder a qualquer conta de serviço que represente outros usuários a função ApplicationImpersonation usando o cmdlet New-ManagementRoleAssignment.

Configurando a função ApplicationImpersonation

Quando você ou o administrador do servidor Exchanger atribui a função ApplicationImpersonation, utilize os seguintes parâmetros do cmdlet New-ManagementRoleAssignment:

  • Nome – O nome amigável da atribuição de função. Cada vez que você atribui uma função, uma entrada é feita na lista de funções do RBAC. Você pode verificar as atribuições de função usando o cmdlet Get ManagementRoleAssignment.
  • Função – A função RBAC a ser atribuída. Ao configurar a representação, você atribui a função ApplicationImpersonation.
  • Usuário – A conta de serviço.
  • CustomRecipientScope – O escopo dos usuários que a conta de serviço pode representar. A conta de serviço só poderá representar outros usuários dentro do escopo especificado. Se nenhum escopo for especificado, a conta de serviço receberá a função ApplicationImpersonation sobre todos os usuários em uma organização. Você pode criar escopos de gerenciamento personalizados usando o cmdlet New-ManagementScope.

Antes de configurar a representação, você precisa:

  • Credenciais administrativas para o Exchange Server.
  • Credenciais de administrador de domínio ou outras credenciais com a permissão para criar e atribuir funções e escopos.
  • Ferramentas de gerenciamento do Exchange. Eles são instalados no computador a partir do qual você executará os comandos.

Para configurar a representação para todos os usuários em uma organização

  1. Abra o Shell de Gerenciamento do Exchange Management Shell. No menu Iniciar, escolha Todos os Programas>Microsoft Exchange Server 2013.

  2. Execute o cmdlet New-ManagementRoleAssignment para adicionar a permissão de representação ao usuário especificado. O exemplo a seguir mostra como configurar a representação para permitir que uma conta de serviço represente todos os outros usuários em uma organização.

    New-ManagementRoleAssignment -name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount 
    

Para configurar a representação para usuários ou grupos de usuários específicos

  1. Abra o Shell de Gerenciamento do Exchange Management Shell. No menu Iniciar, escolha Todos os Programas>Microsoft Exchange Server 2013.

  2. Execute o cmdlet New-ManagementScope para criar um escopo ao qual a função de representação possa ser atribuída. Se um escopo existente estiver disponível, você poderá pular esta etapa. O exemplo a seguir mostra como criar um escopo de gerenciamento para um grupo específico.

     New-ManagementScope -Name:scopeName -RecipientRestrictionFilter:recipientFilter
    

    O parâmetro RecipientRestrictionFilter do cmdlet New-ManagementScope define os membros do escopo. Você pode usar as propriedades do objeto Identity para criar o filtro. O exemplo a seguir é um filtro que restringe o resultado a um único usuário com o nome de usuário "john".

    Name -eq "john"
    
  3. Execute o cmdlet New-ManagementRoleAssignment para adicionar a permissão para representar os membros do escopo especificado. O exemplo a seguir mostra como configurar uma conta de serviço para representar todos os usuários em um escopo.

     New-ManagementRoleAssignment -Name:impersonationAssignmentName -Role:ApplicationImpersonation -User:serviceAccount -CustomRecipientWriteScope:scopeName
    
    

Depois que o administrador conceder as permissões de representação, você poderá usar a conta de serviço para fazer chamadas com as contas de outros usuários. Você pode verificar as atribuições de função usando o cmdlet Get ManagementRoleAssignment.

Confira também