New-ApplicationAccessPolicy
Esse cmdlet só está disponível no serviço baseado em nuvem.
Importante
As Políticas de Acesso de Aplicações são substituídas pelo Controle de Acesso Baseado em Funções para Aplicações. Para saber mais, veja Role Based Controle de Acesso for Exchange Applications (Controle de Acesso Baseado em Funções para Aplicações do Exchange). Não crie novas Políticas de Acesso a Aplicações, uma vez que estas políticas irão eventualmente exigir a migração para o Controle de Acesso Baseado em Funções para Aplicações.
Utilize o cmdlet New-ApplicationAccessPolicy para restringir ou negar o acesso a um conjunto específico de caixas de correio por uma aplicação que utiliza APIs (Rest do Outlook, Microsoft Graph ou Exchange Web Services (EWS)). Estas políticas complementam os âmbitos de permissão declarados pela aplicação.
Para saber mais sobre os conjuntos de parâmetros na seção Sintaxe, abaixo, consulte Exchange cmdlet syntax.
Sintaxe
Default (Default)
New-ApplicationAccessPolicy
-AccessRight <ApplicationAccessPolicyRight>
-AppId <String[]>
-PolicyScopeGroupId <RecipientIdParameter>
[-Confirm]
[-Description <String>]
[-WhatIf]
[<CommonParameters>]
Description
Para executar esse cmdlet, você precisa ter permissões. Embora este artigo liste todos os parâmetros do cmdlet, poderá não ter acesso a alguns parâmetros se não estiverem incluídos nas permissões que lhe foram atribuídas. Para localizar as permissões necessárias para executar qualquer cmdlet ou parâmetro em sua organização, confira Find the permissions required to run any Exchange cmdlet.
Pode criar um número limitado de políticas na sua organização com base numa quantidade fixa de espaço. Se a sua organização ficar sem espaço para estas políticas, obtém o erro: "O tamanho total das Políticas de Acesso de Aplicações excedeu o limite.". Para maximizar o número de políticas e reduzir a quantidade de espaço consumido pelas políticas, defina uma descrição de carateres de espaço para a política. Este método permite aproximadamente 300 políticas (em comparação com um limite anterior de 100 políticas).
Embora o acesso a recursos baseados no âmbito, como Mail.Read ou Calendar.Read, seja eficaz para garantir que a aplicação só consegue ler e-mails ou eventos numa caixa de correio e não fazer mais nada, as políticas de acesso de aplicações permitem aos administradores impor limites baseados numa lista de caixas de correio. Por exemplo, as aplicações desenvolvidas para um país/região não devem ter acesso a dados de outros países/regiões. Em alternativa, ou uma aplicação de integração CRM só deve aceder a calendários na organização Vendas e nenhum outro departamento.
Todos os pedidos de API com as APIs REST do Outlook ou as APIs do Microsoft Graph para uma caixa de correio de destino efetuada por uma aplicação são verificados com as seguintes regras (pela mesma ordem):
- Se existirem várias políticas de acesso a aplicações para o mesmo par de Caixa de Correio de Aplicação e Destino, a política DenyAccess é priorizada em comparação com uma política RestrictAccess.
- Se existir uma política DenyAccess para a Caixa de Correio de Aplicação e de Destino, o pedido de acesso da aplicação é negado (mesmo que exista uma política RestrictAccess).
- Se existirem políticas RestrictAccess que correspondam à Aplicação e à Caixa de Correio de Destino, é concedido acesso à aplicação.
- Se existirem políticas Restringir para a Aplicação e a Caixa de Correio de Destino não for membro dessas políticas, será negado à aplicação acesso à caixa de correio de destino.
- Se nenhuma das condições acima for cumprida, é concedido à aplicação acesso à caixa de correio de destino pedida.
Exemplos
Exemplo 1
New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5", "6ac794ca-2697-4137-8754-d2a78ae47d93" -PolicyScopeGroupId "Engineering Staff" -Description "Engineering Group Policy"
Este exemplo cria uma nova política de acesso à aplicação com as seguintes definições:
- AccessRight: DenyAccess
- AppIDs: 3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5 e 6ac794ca-2697-4137-8754-d2a78ae47d93
- PolicyScopeGroupId: Equipa de Engenharia
- Descrição: Política de Grupo de Engenharia
Exemplo 2
New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app's access to members of security group EvenUsers."
Este exemplo cria uma nova política de acesso à aplicação com as seguintes definições:
- AccessRight: RestrictAccess
- AppIDs: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
- PolicyScopeGroupId: EvenUsers@AppPolicyTest2.com
- Descrição: restrinja o acesso desta aplicação aos membros do grupo de segurança EvenUsers.
Exemplo 3
New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId OddUsers@AppPolicyTest2.com -Description "Deny this app access to members of security group OddUsers."
Este exemplo cria uma nova política de acesso à aplicação com as seguintes definições:
- AccessRight: DenyAccess
- AppIDs: e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
- PolicyScopeGroupId: OddUsers@AppPolicyTest2.com
- Descrição: negar o acesso desta aplicação aos membros do grupo de segurança OddUsers.
Parâmetros
-AccessRight
Aplicável: Exchange Online, Suplemento de segurança incorporado para caixas de correio no local
O parâmetro AccessRight especifica o tipo de restrição que pretende atribuir na política de acesso da aplicação. Os valores válidos são:
- RestrictAccess: permite que a aplicação associada aceda apenas a dados associados a caixas de correio especificadas pelo parâmetro PolicyScopeGroupID.
- DenyAccess: permite que a aplicação associada aceda apenas a dados que não estejam associados a caixas de correio especificadas pelo parâmetro PolicyScopeGroupID.
Propriedades do parâmetro
| Tipo: | ApplicationAccessPolicyIdParameter |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | True |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-AppId
Aplicável: Exchange Online, Suplemento de segurança incorporado para caixas de correio no local
O parâmetro Identity especifica o GUID das aplicações a incluir na política. Para encontrar o valor de GUID de um aplicativo, execute o comando Get-App | Format-Table -Auto DisplayName,AppId.
Pode especificar vários valores GUID de aplicação separados por vírgulas ou pode especificar * para indicar todas as aplicações.
Propriedades do parâmetro
| Tipo: | String[] |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | True |
| Valor do pipeline: | True |
| Valor do pipeline pelo nome da propriedade: | True |
| Valor dos argumentos restantes: | False |
-Confirm
Aplicável: Exchange Online, Suplemento de segurança incorporado para caixas de correio no local
A opção Confirm especifica se a solicitação de confirmação deve ser mostrada ou ocultada. Como essa opção afeta o cmdlet dependerá do fato de o cmdlet exigir ou não confirmação antes de continuar.
- Cmdlets destrutivos (por exemplo, Remover- cmdlets) têm uma pausa interna que força você a confirmar o comando antes de continuar. Para estes cmdlets, você pode pular o pedido de confirmação usando esta sintaxe exata:
-Confirm:$false. - A maioria dos outros cmdlets (por exemplo, New- e Set-) não tem uma pausa interna. Para esses cmdlets, especificar a opção Confirm sem um valor introduz uma pausa que força você a confirmar o comando antes de continuar.
Propriedades do parâmetro
| Tipo: | SwitchParameter |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
| Aliases: | cf |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-Description
Aplicável: Exchange Online, Suplemento de segurança incorporado para caixas de correio no local
O parâmetro Description especifica uma descrição para a política. Se o valor contiver espaços, coloque-o entre aspas (").
Propriedades do parâmetro
| Tipo: | String |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
-PolicyScopeGroupID
Aplicável: Exchange Online, Suplemento de segurança incorporado para caixas de correio no local
O parâmetro PolicyScopeGroupID especifica o destinatário a definir na política. Os tipos de destinatário válidos são principais de segurança no Exchange Online (utilizadores ou grupos, incluindo grupos aninhados, que podem ter permissões atribuídas aos mesmos). Por exemplo:
- Caixas de correio com contas de utilizador associadas (UserMailbox)
- Utilizadores de correio, também conhecidos como utilizadores com capacidade de correio (MailUser)
- Grupos de segurança com capacidade de correio (MailUniversalSecurityGroup)
É possível usar qualquer valor que identifique o destinatário com exclusividade. Por exemplo:
- Nome
- Nome
- Nome diferenciado (DN)
- Nome para exibição
- GUID
Para verificar se um destinatário é um principal de segurança, execute um dos seguintes comandos: Get-Recipient -Identity <RecipientIdentity> | Select-Object IsValidSecurityPrincipal ou Get-Recipient -ResultSize unlimited | Format-Table -Auto Name,RecipientType,RecipientTypeDetails,IsValidSecurityPrincipal.
Só pode especificar principais de segurança com este parâmetro. Por exemplo, os seguintes tipos de destinatários não funcionam:
- Caixas de correio de deteção (DiscoveryMailbox)
- Grupos de distribuição dinâmicos (DynamicDistributionGroup)
- Grupos de distribuição (MailUniversalDistributionGroup)
- Contactos de correio (MailContact)
- Pastas públicas com capacidade de correio (PublicFolder)
- Grupos do Microsoft 365 (GroupMailbox)
- Caixas de correio de recursos (RoomMailbox ou EquipmentMailbox)
- Caixas de correio partilhadas (SharedMailbox)
Se precisar de definir o âmbito da política para caixas de correio partilhadas, pode adicionar as caixas de correio partilhadas como membros de um grupo de segurança com capacidade de correio.
Propriedades do parâmetro
| Tipo: | RecipientIdParameter |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | True |
| Valor do pipeline: | True |
| Valor do pipeline pelo nome da propriedade: | True |
| Valor dos argumentos restantes: | False |
-WhatIf
Aplicável: Exchange Online, Suplemento de segurança incorporado para caixas de correio no local
A opção WhatIf simula as ações do comando. Você pode usar essa opção para exibir as alterações que ocorreriam sem realmente aplicar essas alterações. Não é preciso especificar um valor com essa opção.
Propriedades do parâmetro
| Tipo: | SwitchParameter |
| Valor padrão: | None |
| Dá suporte a curingas: | False |
| DontShow: | False |
| Aliases: | wi |
Conjuntos de parâmetros
(All)
| Cargo: | Named |
| Obrigatório: | False |
| Valor do pipeline: | False |
| Valor do pipeline pelo nome da propriedade: | False |
| Valor dos argumentos restantes: | False |
CommonParameters
Este cmdlet suporta os parâmetros comuns: -Debug, -ErrorAction, -ErrorVariable, -InformationAction, -InformationVariable, -OutBuffer, -OutVariable, -PipelineVariable, -ProgressAction, -Verbose, -WarningAction e -WarningVariable. Para obter mais informações, confira about_CommonParameters.