Si vous l'accordez lors de son intégration, Microsoft Graph API aura accès à tous les calendriers d'un locataire Microsoft 365. Nous recommandons d'adopter une stratégie d'accès aux applications et une étendue de gestion personnalisée pour limiter l'accès à des calendriers spécifiques et donc garantir un accès contrôlé.
La stratégie d'accès aux applications peut être configurée pour restreindre ou refuser l'accès à Microsoft Graph API aux membres d'un groupe de sécurité à extension messagerie.
-
Permissions
En fonction de vos besoins, deux options d'autorisation sont envisageables dans le cadre de votre stratégie d'accès aux applications, permettant d'accorder ou de refuser l'accès aux boîtes aux lettres du groupe de sécurité à extension messagerie :
a) DenyAccess : Cette option refuse l'accès aux boîtes aux lettres du groupe tout en permettant l'accès aux autres boîtes aux lettres.
b) RestrictAccess : Cette option permet l'accès aux boîtes aux lettres du groupe mais l'accès à toutes les autres boîtes aux lettres est restreint.
Une bonne configuration de votre stratégie d'accès aux applications et l'étendue de gestion personnalisée vous garantit de contrôler convenablement les accès aux calendriers de votre entreprise.
Pour en savoir plus sur l'applet de commande New-ApplicationAccessPolicy de Microsoft cliquez ici.
-
Voici comment configurer une stratégie d'accès aux applications :
Utilisez les scripts PowerShell suivants pour créer un nouveau groupe de sécurité à extension messagerie, une stratégie d'accès aux applications et l'étendue de gestion personnalisée. Vous pourrez ainsi restreindre l'accès à des boîtes aux lettres spécifiques.
Connectez-vous avec votre compte administrateur Microsoft 365 et exécutez les scripts suivants pour créer la session.
1 | Set-ExecutionPolicy RemoteSigned |
2 | $UserCredential = Get-Credential |
3 | Connect-ExchangeOnline -Credential $UserCredential |
4 | $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection |
5 | Import-PSSession $Session -AllowClobber |
- Vérifiez que votre compte de service Microsoft 365 n'a pas de droits d'emprunt d'identité complets.
- Créez un nouveau groupe de sécurité à extension messagerie qui vous permettra d'accorder ou de refuser l'accès aux boîtes aux lettres.
6 | New-DistributionGroup -Name "Enter the name of new security group" -Alias "Enter the Alias" -Type security |
- Créez une stratégie d'accès aux applications sur le groupe de sécurité à extension messagerie.
7 | New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "Enter Token Provider AD App ID" -PolicyScopeGroupId "Enter Email Enabled Security Group Mailbox ID" -Description "Restricted Access Group Policy" |
-
Demandez l'appartenance à un groupe (cela se révèle nécessaire lorsque vous ajoutez des boîtes aux lettres au groupe de sécurité).
8 | $DG = Get-DistributionGroup -Identity "Enter Group Mailbox ID" |