New-ApplicationAccessPolicy
Cette cmdlet est disponible uniquement dans le service cloud.
Importante
Les stratégies d’accès aux applications sont remplacées par des Access Control basées sur des rôles pour les applications. Pour plus d’informations, consultez Access Control basée sur les rôles pour les applications Exchange. Ne créez pas de stratégies d’accès aux applications, car ces stratégies nécessiteront finalement une migration vers des Access Control basées sur des rôles pour les applications.
Utilisez l’applet de commande New-ApplicationAccessPolicy pour restreindre ou refuser l’accès à un ensemble spécifique de boîtes aux lettres par une application qui utilise des API (Outlook REST, Microsoft Graph ou Exchange Web Services (EWS)). Ces stratégies sont complémentaires aux étendues d’autorisation déclarées par l’application.
Pour plus d’informations sur les jeux de paramètres dans la section Syntaxe ci-après, voir Syntaxe da la cmdlet Exchange.
Syntaxe
Default (Par défaut)
New-ApplicationAccessPolicy
-AccessRight <ApplicationAccessPolicyRight>
-AppId <String[]>
-PolicyScopeGroupId <RecipientIdParameter>
[-Confirm]
[-Description <String>]
[-WhatIf]
[<CommonParameters>]
Description
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette cmdlet. Bien que cet article répertorie tous les paramètres de l’applet de commande, il se peut que vous n’ayez pas accès à certains paramètres s’ils ne sont pas inclus dans les autorisations qui vous sont attribuées. Pour rechercher les autorisations requises pour exécuter une cmdlet ou un paramètre dans votre organisation, voir Find the permissions required to run any Exchange cmdlet.
Vous pouvez créer un nombre limité de stratégies dans votre organization en fonction d’une quantité d’espace fixe. Si votre organization manque d’espace pour ces stratégies, vous obtenez l’erreur : « La taille totale des stratégies d’accès aux applications a dépassé la limite ». Pour optimiser le nombre de stratégies et réduire la quantité d’espace consommée par les stratégies, définissez une description d’un caractère d’espace pour la stratégie. Cette méthode autorise environ 300 stratégies (contre une limite précédente de 100 stratégies).
Bien que l’accès aux ressources basé sur l’étendue, comme Mail.Read ou Calendar.Read, soit efficace pour garantir que l’application peut uniquement lire les e-mails ou les événements dans une boîte aux lettres et ne rien faire d’autre, les stratégies d’accès aux applications permettent aux administrateurs d’appliquer des limites basées sur une liste de boîtes aux lettres. Par exemple, les applications développées pour un pays/une région ne doivent pas avoir accès aux données d’autres pays/régions. Ou, ou une application d’intégration CRM doit uniquement accéder aux calendriers dans le organization ventes et aucun autre service.
Chaque demande d’API utilisant les API REST Outlook ou les API Microsoft Graph à une boîte aux lettres cible effectuée par une application est vérifiée à l’aide des règles suivantes (dans le même ordre) :
- S’il existe plusieurs stratégies d’accès aux applications pour la même paire application et boîte aux lettres cible, la stratégie DenyAccess est prioritaire sur une stratégie RestrictAccess.
- S’il existe une stratégie DenyAccess pour l’application et la boîte aux lettres cible, la demande d’accès de l’application est refusée (même s’il existe une stratégie RestrictAccess).
- Si des stratégies RestrictAccess correspondent à l’application et à la boîte aux lettres cible, l’accès est accordé à l’application.
- S’il existe des stratégies Restreindre pour l’application et que la boîte aux lettres cible n’est pas membre de ces stratégies, l’application se voit refuser l’accès à la boîte aux lettres cible.
- Si aucune des conditions ci-dessus n’est remplie, l’application se voit accorder l’accès à la boîte aux lettres cible demandée.
Exemples
Exemple 1
New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5", "6ac794ca-2697-4137-8754-d2a78ae47d93" -PolicyScopeGroupId "Engineering Staff" -Description "Engineering Group Policy"
Cet exemple crée une stratégie d’accès aux applications avec les paramètres suivants :
- AccessRight : DenyAccess
- AppIDs : 3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5 et 6ac794ca-2697-4137-8754-d2a78ae47d93
- PolicyScopeGroupId : équipe d’ingénierie
- Description : Ingénierie stratégie de groupe
Exemple 2
New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app's access to members of security group EvenUsers."
Cet exemple crée une stratégie d’accès aux applications avec les paramètres suivants :
- AccessRight : RestrictAccess
- AppIDs : e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
- PolicyScopeGroupId : EvenUsers@AppPolicyTest2.com
- Description : Limitez l’accès de cette application aux membres du groupe de sécurité EvenUsers.
Exemple 3
New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId OddUsers@AppPolicyTest2.com -Description "Deny this app access to members of security group OddUsers."
Cet exemple crée une stratégie d’accès aux applications avec les paramètres suivants :
- AccessRight : DenyAccess
- AppIDs : e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
- PolicyScopeGroupId : OddUsers@AppPolicyTest2.com
- Description : Refuser à cette application l’accès aux membres du groupe de sécurité OddUsers.
Paramètres
-AccessRight
Applicable : Exchange Online, module complémentaire de sécurité intégré pour les boîtes aux lettres locales
Le paramètre AccessRight spécifie le type de restriction que vous souhaitez affecter dans la stratégie d’accès à l’application. Les valeurs valides sont les suivantes :
- RestrictAccess : permet à l’application associée d’accéder uniquement aux données associées aux boîtes aux lettres spécifiées par le paramètre PolicyScopeGroupID.
- DenyAccess : permet à l’application associée d’accéder uniquement aux données qui ne sont pas associées aux boîtes aux lettres spécifiées par le paramètre PolicyScopeGroupID.
Propriétés du paramètre
| Type: | ApplicationAccessPolicyIdParameter |
| Valeur par défaut: | None |
| Prend en charge les caractères génériques: | False |
| DontShow: | False |
Jeux de paramètres
(All)
| Position: | Named |
| Obligatoire: | True |
| Valeur du pipeline: | False |
| Valeur du pipeline par nom de propriété: | False |
| Valeur des arguments restants: | False |
-AppId
Applicable : Exchange Online, module complémentaire de sécurité intégré pour les boîtes aux lettres locales
Le paramètre Identity spécifie le GUID des applications à inclure dans la stratégie. Pour rechercher la valeur de GUID d’une application, exécutez la commande Get-App | Format-Table -Auto DisplayName,AppId.
Vous pouvez spécifier plusieurs valeurs GUID d’application séparées par des virgules ou vous pouvez spécifier * pour indiquer toutes les applications.
Propriétés du paramètre
| Type: | String[] |
| Valeur par défaut: | None |
| Prend en charge les caractères génériques: | False |
| DontShow: | False |
Jeux de paramètres
(All)
| Position: | Named |
| Obligatoire: | True |
| Valeur du pipeline: | True |
| Valeur du pipeline par nom de propriété: | True |
| Valeur des arguments restants: | False |
-Confirm
Applicable : Exchange Online, module complémentaire de sécurité intégré pour les boîtes aux lettres locales
Le commutateur Confirme spécifie s’il faut afficher ou masquer l’invite de confirmation. L’incidence de ce commutateur sur la cmdlet varie selon que la cmdlet requiert une confirmation avant de poursuivre.
- Les applets de commande destructrices (par exemple, les applets de commande Remove-*) comportent une pause intégrée qui vous oblige à accuser réception de la commande avant de continuer. Pour ces cmdlets, vous pouvez ignorer l’invite de confirmation à l’aide de cette syntaxe exacte :
-Confirm:$false. - La plupart des autres applets de commande (par exemple, les applets de commande New-* et Set-*) n'ont pas de pause intégrée. Pour ces cmdlets, la spécification du commutateur Confirm sans valeur introduit une pause qui vous oblige à confirmer la commande avant de poursuivre.
Propriétés du paramètre
| Type: | SwitchParameter |
| Valeur par défaut: | None |
| Prend en charge les caractères génériques: | False |
| DontShow: | False |
| Alias: | Cf |
Jeux de paramètres
(All)
| Position: | Named |
| Obligatoire: | False |
| Valeur du pipeline: | False |
| Valeur du pipeline par nom de propriété: | False |
| Valeur des arguments restants: | False |
-Description
Applicable : Exchange Online, module complémentaire de sécurité intégré pour les boîtes aux lettres locales
Le paramètre Description spécifie une description de la stratégie. Si la valeur contient des espaces, placez-la entre guillemets (").
Propriétés du paramètre
| Type: | String |
| Valeur par défaut: | None |
| Prend en charge les caractères génériques: | False |
| DontShow: | False |
Jeux de paramètres
(All)
| Position: | Named |
| Obligatoire: | False |
| Valeur du pipeline: | False |
| Valeur du pipeline par nom de propriété: | False |
| Valeur des arguments restants: | False |
-PolicyScopeGroupID
Applicable : Exchange Online, module complémentaire de sécurité intégré pour les boîtes aux lettres locales
Le paramètre PolicyScopeGroupID spécifie le destinataire à définir dans la stratégie. Les types de destinataires valides sont des principaux de sécurité dans Exchange Online (utilisateurs ou groupes, y compris les groupes imbriqués, qui peuvent avoir des autorisations). Par exemple :
- Boîtes aux lettres avec des comptes d’utilisateur associés (UserMailbox)
- Utilisateurs de messagerie, également appelés utilisateurs à extension messagerie (MailUser)
- Groupes de sécurité à extension messagerie (MailUniversalSecurityGroup)
Vous pouvez utiliser une valeur quelconque qui identifie le destinataire. Par exemple :
- Nom
- Nom
- Nom unique (DN)
- Nom complet
- GUID
Pour vérifier qu’un destinataire est un principal de sécurité, exécutez l’une des commandes suivantes : Get-Recipient -Identity <RecipientIdentity> | Select-Object IsValidSecurityPrincipal ou Get-Recipient -ResultSize unlimited | Format-Table -Auto Name,RecipientType,RecipientTypeDetails,IsValidSecurityPrincipal.
Vous pouvez spécifier uniquement les principaux de sécurité avec ce paramètre. Par exemple, les types de destinataires suivants ne fonctionnent pas :
- Boîtes aux lettres de découverte (DiscoveryMailbox)
- Groupes de distribution dynamiques (DynamicDistributionGroup)
- Groupes de distribution (MailUniversalDistributionGroup)
- Contacts de messagerie (MailContact)
- Dossiers publics à extension messagerie (PublicFolder)
- Groupes Microsoft 365 (GroupMailbox)
- Boîtes aux lettres de ressources (RoomMailbox ou EquipmentMailbox)
- Boîtes aux lettres partagées (SharedMailbox)
Si vous avez besoin d’étendre la stratégie à des boîtes aux lettres partagées, vous pouvez ajouter les boîtes aux lettres partagées en tant que membres d’un groupe de sécurité à extension messagerie.
Propriétés du paramètre
| Type: | RecipientIdParameter |
| Valeur par défaut: | None |
| Prend en charge les caractères génériques: | False |
| DontShow: | False |
Jeux de paramètres
(All)
| Position: | Named |
| Obligatoire: | True |
| Valeur du pipeline: | True |
| Valeur du pipeline par nom de propriété: | True |
| Valeur des arguments restants: | False |
-WhatIf
Applicable : Exchange Online, module complémentaire de sécurité intégré pour les boîtes aux lettres locales
Le commutateur WhatIf simule les actions de la commande. Vous pouvez utiliser ce commutateur pour afficher les modifications qui se produiraient sans réellement appliquer ces modifications. Il n’est pas nécessaire de spécifier une valeur pour ce commutateur.
Propriétés du paramètre
| Type: | SwitchParameter |
| Valeur par défaut: | None |
| Prend en charge les caractères génériques: | False |
| DontShow: | False |
| Alias: | Wi |
Jeux de paramètres
(All)
| Position: | Named |
| Obligatoire: | False |
| Valeur du pipeline: | False |
| Valeur du pipeline par nom de propriété: | False |
| Valeur des arguments restants: | False |
CommonParameters
Cette applet de commande prend en charge les paramètres courants : -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction et -WarningVariable. Pour plus d’informations, consultez about_CommonParameters.