Al otorgar consentimiento a nuestra aplicación de Sincronización del calendario en Entra ID, se proporciona acceso a la API de Graph de deskbird a todos los calendarios dentro de un inquilino de Microsoft 365. Recomendamos implementar una Política de Acceso a la Aplicación y un Alcance de Gestión para restringir el acceso a calendarios específicos y asegurar un acceso controlado.
La Política de Acceso a la Aplicación se puede configurar para restringir o denegar el acceso a la API de Graph a los miembros de un grupo de seguridad habilitado para correo.
-
Permisos
Hay dos opciones de permisos que se pueden aplicar dentro de la Política de Acceso a la Aplicación, según sus requisitos para otorgar o denegar acceso a los buzones agregados al grupo de seguridad habilitado para correo:
a) DenyAccess: Esta opción niega el acceso a los buzones dentro del grupo mientras permite el acceso a todos los demás buzones.
b) RestrictAccess: Esta opción permite el acceso a los buzones dentro del grupo mientras restringe el acceso a todos los demás buzones.
Al configurar cuidadosamente la Política de Acceso a la Aplicación y el Alcance de Gestión, puede asegurar el nivel adecuado de control de acceso para los calendarios de su organización.
Obtenga más información sobre New-ApplicationAccessPolicy en Microsoft aquí.
-
Cómo configurar una Política de Acceso a la Aplicación:
Utilice los siguientes scripts de PowerShell para crear un nuevo grupo de seguridad habilitado para correo, una Política de Acceso a la Aplicación y el Alcance de Gestión, para restringir el acceso a buzones específicos.
- Inicie sesión con su cuenta de administrador de Microsoft 365 y ejecute los siguientes scripts para crear la sesión.
| 1 | Set-ExecutionPolicy RemoteSigned |
| 2 | $UserCredential = Get-Credential |
| 3 | Connect-ExchangeOnline -Credential $UserCredential |
| 4 | $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection |
| 5 | Import-PSSession $Session -AllowClobber |
- Verifique que su cuenta de servicio de Microsoft 365 no tenga derechos de suplantación completos.
- Cree un nuevo grupo de seguridad habilitado para correo para gestionar los buzones, a los cuales permitirá o denegará el acceso.
| 6 | New-DistributionGroup -Name "Ingrese el nombre del nuevo grupo de seguridad" -Alias "Ingrese el Alias" -Type security |
- Cree una Política de Acceso a la Aplicación en el grupo de seguridad habilitado para correo.
| 7 |
New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "Ingrese el ID de la aplicación AD del proveedor de tokens" -PolicyScopeGroupId "Ingrese el ID del buzón del grupo de seguridad habilitado para correo" -Description "Política de Grupo de Acceso Restringido" - AccessRight: Reemplace "RestrictAccess" con "DenyAccess" para denegar el acceso a los calendarios en el grupo de seguridad y permitir el acceso a todos los demás calendarios. - AppId: Use el ID de la aplicación de Sincronización del calendario de deskbird: "2136158e-a6bb-4e81-896d-5b898d0d2475" |
- Solicite la identidad del grupo (necesaria cuando se agregan buzones al grupo de seguridad)
| 8 | $DG = Get-DistributionGroup -Identity "Ingrese el ID del Buzón del Grupo" |