Wanneer u toestemming verleent aan onze Kalendersynchronisatie-applicatie in Entra ID, geeft dit deskbird Graph API toegang tot alle agenda's binnen een Microsoft 365-tenant. We raden aan om een Application Access Policy en Management Scope te implementeren om toegang tot specifieke agenda's te beperken en gecontroleerde toegang te waarborgen.
De Application Access Policy kan worden geconfigureerd om Graph API-toegang te beperken of te weigeren aan leden van een mail-enabled beveiligingsgroep.
-
Machtigingen
Er zijn twee machtigingsopties die kunnen worden toegepast binnen de Application Access Policy, afhankelijk van uw vereisten voor het verlenen of weigeren van toegang tot de postvakken die aan de mail-enabled beveiligingsgroep zijn toegevoegd:
a) DenyAccess: Deze optie weigert toegang tot postvakken binnen de groep terwijl toegang tot alle andere postvakken wordt toegestaan.
b) RestrictAccess: Deze optie staat toegang toe tot postvakken binnen de groep terwijl toegang tot alle andere postvakken wordt beperkt.
Door de Application Access Policy en Management Scope zorgvuldig te configureren, kunt u het juiste niveau van toegangscontrole voor de agenda's van uw organisatie waarborgen.
Meer informatie over New-ApplicationAccessPolicy bij Microsoft hier.
-
Hoe een Application Access Policy in te stellen:
Gebruik de volgende PowerShell-scripts om een nieuwe mail-enabled beveiligingsgroep, een Application Access Policy en de Management Scope te maken, om toegang tot specifieke postvakken te beperken.
- Log in met uw Microsoft 365-beheeraccount en voer de volgende scripts uit om de sessie te maken.
| 1 | Set-ExecutionPolicy RemoteSigned |
| 2 | $UserCredential = Get-Credential |
| 3 | Connect-ExchangeOnline -Credential $UserCredential |
| 4 | $Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection |
| 5 | Import-PSSession $Session -AllowClobber |
- Controleer of uw Microsoft 365-serviceaccount geen volledige impersonatierechten heeft.
- Maak een nieuwe mail-enabled beveiligingsgroep om de postvakken te beheren, waartoe u toegang wilt verlenen of weigeren.
| 6 | New-DistributionGroup -Name "Voer de naam van de nieuwe beveiligingsgroep in" -Alias "Voer de Alias in" -Type security |
- Maak een Application Access Policy op de mail-enabled beveiligingsgroep.
| 7 |
New-ApplicationAccessPolicy -AccessRight RestrictAccess -AppId "Voer Token Provider AD App ID in" -PolicyScopeGroupId "Voer Email Enabled Security Group Mailbox ID in" -Description "Beperkte Toegang Groepsbeleid" - AccessRight: Vervang "RestrictAccess" door "DenyAccess" om toegang tot de agenda's in de beveiligingsgroep te weigeren en toegang tot alle andere agenda's toe te staan. - AppId: Gebruik de ID van deskbird's Kalendersynchronisatie-applicatie: "2136158e-a6bb-4e81-896d-5b898d0d2475" |
- Vraag de groepsidentiteit aan (nodig wanneer postvakken aan de beveiligingsgroep worden toegevoegd)
| 8 | $DG = Get-DistributionGroup -Identity "Voer Groep Mailbox ID in" |