Wenn beim Onboarding die Zustimmung erteilt wurde, erhält Graph API-Zugriff auf alle Kalender innerhalb eines Microsoft 365-Tenants. Wir empfehlen die Implementierung einer Anwendungszugriffsrichtlinie und eines Verwaltungsbereichs, um den Zugriff auf bestimmte Kalender einzuschränken und einen kontrollierten Zugriff sicherzustellen.
Die Anwendungszugriffsrichtlinie kann so konfiguriert werden, dass der Graph-API-Zugriff auf Mitglieder einer Mail-aktivierten Sicherheitsgruppe beschränkt oder verweigert wird.
1. Berechtigungen
Es gibt zwei Berechtigungsoptionen, die innerhalb der Anwendungszugriffsrichtlinie angewendet werden können, je nach Anforderungen für die Gewährung oder Verweigerung des Zugriffs auf die Postfächer, die der E-Mail-aktivierten Sicherheitsgruppe hinzugefügt wurden:
a) DenyAccess: Mit dieser Option wird der Zugriff auf Postfächer innerhalb der Gruppe verweigert, während der Zugriff auf alle anderen Postfächer zugelassen wird.
b) RestrictAccess: Diese Option erlaubt den Zugriff auf Postfächer innerhalb der Gruppe, während der Zugriff auf alle anderen Postfächer eingeschränkt wird.
Durch eine sorgfältige Konfiguration der Anwendungszugriffsrichtlinie und des Verwaltungsbereichs kann das richtige Maß an Zugriffskontrolle für die Kalender sicherstellen.
Erfahre mehr über New Application Access Policy bei Microsoft hier.
2. Wie man eine Application Access Policy einrichtet:
Verwende die folgendenen PowerShell-Skripts, um eine neue E-Mail-aktivierte Sicherheitsgruppe, eine Anwendungszugriffsrichtlinie und den Verwaltungsbereich zu erstellen, um den Zugriff auf bestimmte Postfächer zu beschränken.
- Melde dich mit deinem Microsoft 365-Administratorkonto an und führe die folgenden Skripte aus, um die Sitzung zu erstellen.
1 Set-ExecutionPolicy RemoteSigned 2 $UserCredential = Get-Credential 3 Connect-ExchangeOnline -Credential $UserCredential 4 $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection 5 Import-PSSession $Session -AllowClobber - Stelle sicher, dass dein Microsoft 365 Service-Konto keine vollständigen Rechte für die Personifizierung hat.
- Erstelle eine neue E-Mail-aktivierte Sicherheitsgruppe, um die Postfächer zu verwalten, für die du den Zugriff entweder erlaubst oder verweigerst.
6 | New-DistributionGroup -Name "Enter the name of new security group" -Alias "Enter the Alias" -Type security |
- Erstelle eine Anwendungszugriffsrichtlinie für die Mail-aktivierte Sicherheitsgruppe.
7 | New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "Enter Token Provider AD App ID" -PolicyScopeGroupId "Enter Email Enabled Security Group Mailbox ID" -Description "Restricted Access Group Policy" |
- Abfrage der Gruppenidentität (wird benötigt, wenn Postfächer zur Sicherheitsgruppe hinzugefügt werden).
8 | $DG = Get-DistributionGroup -Identity "Enter Group Mailbox ID" |