New-ApplicationAccessPolicy
此指令程式只能在雲端式服務中使用。
重要事項
應用程式存取政策被基於角色的應用程式存取控制取代。 欲了解更多,請參閱 Exchange 應用程式的角色基礎存取控制。 不要建立新的應用程式存取政策,因為這些政策最終會要求遷移到基於角色的應用程式存取控制。
使用 New-ApplicationAccessPolicy 指令碼來限制或拒絕應用程式對特定郵箱的存取,該應用程式使用 Outlook REST、Microsoft Graph 或 Exchange Web Services (EWS) ) API (。 這些政策是與應用程式所宣告的權限範圍互補的。
如需下方<語法>一節中參數集的詳細資訊,請參閱 Exchange Cmdlet 語法。
語法
Default (預設值)
New-ApplicationAccessPolicy
-AccessRight <ApplicationAccessPolicyRight>
-AppId <String[]>
-PolicyScopeGroupId <RecipientIdParameter>
[-Confirm]
[-Description <String>]
[-WhatIf]
[<CommonParameters>]
Description
您必須已獲指派權限,才能執行此指令程式。 雖然這篇文章列出了 cmdlet 的所有參數,但如果某些參數未包含在你分配的權限中,你可能無法存取這些參數。 若要尋找在組織中執行任何 Cmdlet 或參數所需的權限,請參閱 Find the permissions required to run any Exchange cmdlet。
你可以根據固定的空間在組織中建立有限數量的政策。 如果您的組織空間不足,這些政策會顯示錯誤:「應用程式存取政策的總容量超過限制。」為了最大化政策數量並減少政策佔用的空間,請為政策設定一個一格的角色描述。 此方法允許約300份保單 (相較於先前限制的100份) 。
雖然像 Mail.Read 或 Calendar.Read 這類基於範圍的資源存取有效,確保應用程式只能讀取郵件或郵件匣內的事件,無法執行其他操作,但應用程式存取政策允許管理員根據郵件匣清單強制執行限制。 例如,為某一國家或地區開發的應用程式不應該能存取其他國家或地區的資料。 或者,CRM 整合應用程式應該只存取銷售組織的行事曆,而不支援其他部門。
應用程式對目標郵箱的每個 API 請求,使用 Outlook REST API 或 Microsoft Graph API 對目標郵箱進行,皆依以下規則 (依照相同順序進行驗證) :
- 若同一對應用程式與目標信箱有多個應用程式存取政策,DenyAccess 政策會優先於限制存取政策。
- 如果應用程式與目標信箱存在 DenyAccess 政策,即使存在 RestrictAccess 政策) ,應用程式的存取請求也會被拒絕 (。
- 如果有任何與應用程式與目標信箱相符的 RestrictAccess 政策,該應用程式就會被授予存取權限。
- 如果應用程式有任何限制政策,而目標信箱不是這些政策的成員,則應用程式將被拒絕存取目標信箱。
- 若上述條件皆未達成,則該應用程式將獲得存取所請求的目標信箱。
範例
範例 1
New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5", "6ac794ca-2697-4137-8754-d2a78ae47d93" -PolicyScopeGroupId "Engineering Staff" -Description "Engineering Group Policy"
此範例建立一個新的應用程式存取政策,包含以下設定:
- 存取權:拒絕存取權
- 應用程式編號:3dbc2ae1-7198-45ed-9f9f-d86ba3ec35b5 與 6ac794ca-2697-4137-8754-d2a78ae47d93
- PolicyScopeGroupId:工程團隊
- 說明:工程群群組原則
範例 2
New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId EvenUsers@AppPolicyTest2.com -Description "Restrict this app's access to members of security group EvenUsers."
此範例建立一個新的應用程式存取政策,包含以下設定:
- 存取權:限制存取權
- AppID:e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
- PolicyScopeGroupId: EvenUsers@AppPolicyTest2.com
- 說明:限制此應用程式的存取權限僅限安全群組 EvenUsers 成員。
範例 3
New-ApplicationAccessPolicy -AccessRight DenyAccess -AppId "e7e4dbfc-046f-4074-9b3b-2ae8f144f59b" -PolicyScopeGroupId OddUsers@AppPolicyTest2.com -Description "Deny this app access to members of security group OddUsers."
此範例建立一個新的應用程式存取政策,包含以下設定:
- 存取權:拒絕存取權
- AppID:e7e4dbfc-046f-4074-9b3b-2ae8f144f59b
- PolicyScopeGroupId: OddUsers@AppPolicyTest2.com
- 說明:拒絕讓安全團體 OddUsers 的成員存取此應用程式。
參數
-AccessRight
適用:Exchange Online,內建本地信箱安全外掛
AccessRight 參數指定你想在應用程式存取政策中指派的限制類型。 有效值為:
- 限制存取權:允許關聯的應用程式只存取由 PolicyScopeGroupID 參數指定的信箱資料。
- DenyAccess:允許關聯的應用程式只存取未與 PolicyScopeGroupID 參數指定的郵箱相關資料。
參數屬性
| 類型: | ApplicationAccessPolicyIdParameter |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-AppId
適用:Exchange Online,內建本地信箱安全外掛
Identity 參數指定要納入政策的應用程式 GUID。 若要尋找應用程式的 GUID 值,請執行 Get-App | Format-Table -Auto DisplayName,AppId 命令。
你可以指定多個應用程式的 GUID 值,並用逗號分隔,或是指定 * 來表示所有應用程式。
參數屬性
| 類型: | String[] |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | True |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-Confirm
適用:Exchange Online,內建本地信箱安全外掛
Confirm 參數會指定要顯示或隱藏確認提示。 這個參數對 Cmdlet 的影響取決於 Cmdlet 是否需要確認才能繼續作業。
- 破壞性的 Cmdlet (如 Remove-* cmdlets) 有內建暫停,它會先強迫您確認命令才會繼續作業。 對於這些 Cmdlet,您可以使用以下確切語法來略過確認提示:
-Confirm:$false。 - 其他大部分的 Cmdlet (如 New-* 和 Set-* cmdlets) 則沒有內建暫停。 在使用這些 Cmdlet 時,指定不含任何值的 Confirm 參數會引入強迫您認可命令後才繼續作業的暫停。
參數屬性
| 類型: | SwitchParameter |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
| 別名: | 參見 |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-Description
適用:Exchange Online,內建本地信箱安全外掛
Description 參數指定政策的描述。 如果值包含空格,請使用引號 (") 括住值。
參數屬性
| 類型: | String |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
-PolicyScopeGroupID
適用:Exchange Online,內建本地信箱安全外掛
PolicyScopeGroupID 參數指定要在政策中定義的接收者。 有效的接收者類型是Exchange Online (使用者或群組(包括巢狀群組)中的安全主體,這些主體可以被分配權限) 。 例如:
- 與使用者帳號相關的信箱 (UserMailbox)
- 郵件使用者,也稱為郵件啟用使用者 (MailUser)
- 啟用郵件的安全群組 (MailUniversalSecurityGroup)
您可以使用唯一識別收件者的任何值。 例如:
- 名稱
- 名稱
- 辨別名稱 (DN)
- 顯示名稱
- GUID
要驗證接收者是否為安全主體,請執行以下任一指令: Get-Recipient -Identity <RecipientIdentity> | Select-Object IsValidSecurityPrincipal 或 Get-Recipient -ResultSize unlimited | Format-Table -Auto Name,RecipientType,RecipientTypeDetails,IsValidSecurityPrincipal。
你可以只指定帶有此參數的安全主體。 例如,以下類型的收款人不適用:
- 發現郵箱 (DiscoveryMailbox)
- 動態分配群組 (DynamicDistributionGroup)
- 分發群組 (MailUniversalDistributionGroup)
- 郵件聯絡人 (MailContact)
- 啟用郵件的公共資料夾 (PublicFolder)
- Microsoft 365 群組 (GroupMailbox)
- 資源信箱 (RoomMailbox 或 EquipmentMailbox)
- 共享信箱 (共享信箱)
如果你需要將政策範圍限定在共享信箱,你可以將這些共享信箱加入啟用郵件的安全群組。
參數屬性
| 類型: | RecipientIdParameter |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
參數集
(All)
| Position: | Named |
| 必要: | True |
| 來自管線的值: | True |
| 來自管線按屬性名稱的值: | True |
| 來自剩餘引數的值: | False |
-WhatIf
適用:Exchange Online,內建本地信箱安全外掛
WhatIf 參數會模擬命令的動作。 使用此參數時,您不需要實際套用變更即可檢視可能會發生的變更。 您不需要使用此參數指定值。
參數屬性
| 類型: | SwitchParameter |
| 預設值: | None |
| 支援萬用字元: | False |
| 不要顯示: | False |
| 別名: | 威斯康辛 |
參數集
(All)
| Position: | Named |
| 必要: | False |
| 來自管線的值: | False |
| 來自管線按屬性名稱的值: | False |
| 來自剩餘引數的值: | False |
CommonParameters
此 cmdlet 支援常見參數:-Debug、-ErrorAction、-ErrorVariable、-InformationAction、-InformationVariable、-OutBuffer、-OutVariable、-PipelineVariable、-ProgressAction、-Verbose、-WarningAction 和 -WarningVariable。 如需詳細資訊,請參閱 about_CommonParameters。