Índice
Controle de Acesso para Caixas de Correio
A configuração de restrições de acesso a caixas de correio para aplicações é crucial para:
- Limitar o acesso a dados sensíveis de email
- Implementar o princípio do menor privilégio
- Cumprir requisitos regulatórios
- Proteger contra acesso não autorizado
Configuração via Microsoft Graph
Para restringir o acesso de uma aplicação a caixas de correio específicas:
# Conectar ao Microsoft Graph
Connect-MgGraph -Scopes "Application.ReadWrite.All"
# ID da aplicação a ser restringida
$applicationId = "00000000-0000-0000-0000-000000000000"
# IDs das caixas de correio que a aplicação pode acessar
$mailboxIds = @(
"user1@contoso.com",
"user2@contoso.com"
)
# Obter o objeto da aplicação
$application = Get-MgApplication -ApplicationId $applicationId
# Criar a restrição de API
$apiPermission = @{
"resourceAppId" = "00000003-0000-0000-c000-000000000000" # Microsoft Graph
"resourceAccess" = @(
@{
"id" = "e1fe6dd8-ba31-4d61-89e7-88639da4683d" # Mail.Read
"type" = "Scope"
}
)
}
# Atualizar permissões de API da aplicação
$application.RequiredResourceAccess = @($apiPermission)
Update-MgApplication -ApplicationId $applicationId -RequiredResourceAccess $application.RequiredResourceAccess
# Configurar restrições de caixa de correio
$mailboxRestrictions = @{
"@odata.type" = "#microsoft.graph.mailboxSettings"
"restrictedMailboxes" = $mailboxIds
}
# Aplicar as restrições
Update-MgApplicationMailboxSettings -ApplicationId $applicationId -BodyParameter $mailboxRestrictionsVerificação de Configurações
Para verificar as restrições aplicadas:
# Obter configurações de caixa de correio para a aplicação
$mailboxSettings = Get-MgApplicationMailboxSettings -ApplicationId $applicationId
# Exibir caixas de correio restritas
$mailboxSettings.RestrictedMailboxesConsiderações Importantes
- As restrições são aplicadas apenas para consentimentos administrativos, não para consentimentos delegados de utilizador
- A aplicação ainda precisará das permissões adequadas para acessar as caixas de correio permitidas
- As alterações podem levar alguns minutos para serem propagadas
- É necessário revogar e renovar tokens para que as alterações entrem em vigor para sessões ativas
Melhores Práticas
- Documente claramente quais aplicações têm acesso a quais caixas de correio
- Implemente revisões periódicas das restrições configuradas
- Utilize grupos de segurança para gerenciar conjuntos de caixas de correio quando apropriado
- Considere a utilização de políticas de acesso condicional como medida adicional de segurança