Quando si concede il consenso alla nostra applicazione di Sincronizzazione del calendario in Entra ID, si fornisce all'API Graph di deskbird l'accesso a tutti i calendari all'interno di un tenant Microsoft 365. Si consiglia di implementare una Politica di Accesso all'Applicazione e un Ambito di Gestione per limitare l'accesso a specifici calendari e garantire un accesso controllato.
La Politica di Accesso all'Applicazione può essere configurata per limitare o negare l'accesso all'API Graph ai membri di un gruppo di sicurezza abilitato alla posta.
-
Permessi
Ci sono due opzioni di permesso che possono essere applicate all'interno della Politica di Accesso all'Applicazione, in base alle vostre esigenze per concedere o negare l'accesso alle cassette postali aggiunte al gruppo di sicurezza abilitato alla posta:
a) DenyAccess: Questa opzione nega l'accesso alle cassette postali all'interno del gruppo consentendo l'accesso a tutte le altre cassette postali.
b) RestrictAccess: Questa opzione consente l'accesso alle cassette postali all'interno del gruppo limitando l'accesso a tutte le altre cassette postali.
Configurando attentamente la Politica di Accesso all'Applicazione e l'Ambito di Gestione, è possibile garantire il livello appropriato di controllo dell'accesso ai calendari della vostra organizzazione.
Per saperne di più su New-ApplicationAccessPolicy su Microsoft qui.
-
Come configurare una Politica di Accesso all'Applicazione:
Utilizzare i seguenti script PowerShell per creare un nuovo gruppo di sicurezza abilitato alla posta, una Politica di Accesso all'Applicazione e l'Ambito di Gestione, per limitare l'accesso a specifiche cassette postali.
- Accedi con il tuo account amministratore di Microsoft 365 ed esegui i seguenti script per creare la sessione.
| 1 | Set-ExecutionPolicy RemoteSigned |
| 2 | $UserCredential = Get-Credential |
| 3 | Connect-ExchangeOnline -Credential $UserCredential |
| 4 | $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection |
| 5 | Import-PSSession $Session -AllowClobber |
- Verifica che il tuo account di servizio Microsoft 365 non abbia diritti di impersonificazione completa.
- Crea un nuovo gruppo di sicurezza abilitato alla posta per gestire le cassette postali, a cui consentirai o negherai l'accesso.
| 6 | New-DistributionGroup -Name "Inserisci il nome del nuovo gruppo di sicurezza" -Alias "Inserisci l'Alias" -Type security |
- Crea una Politica di Accesso all'Applicazione sul gruppo di sicurezza abilitato alla posta.
| 7 |
New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "Inserisci l'ID dell'app AD del Fornitore di Token" -PolicyScopeGroupId "Inserisci l'ID della cassetta postale del gruppo di sicurezza abilitato alla posta" -Description "Politica di Accesso Limitato al Gruppo" - AccessRight: Sostituisci "RestrictAccess" con "DenyAccess" per negare l'accesso ai calendari nel gruppo di sicurezza e consentire l'accesso a tutti gli altri calendari. - AppId: Usa l'ID dell'applicazione di Sincronizzazione del calendario di deskbird: "2136158e-a6bb-4e81-896d-5b898d0d2475" |
- Richiedi l'identità del gruppo (necessaria quando le cassette postali vengono aggiunte al gruppo di sicurezza)
| 8 | $DG = Get-DistributionGroup -Identity "Inserisci ID Casella di Posta del Gruppo" |