Impersonación con EWS
Cómo trabajar con la suplantación de identidad utilizando ExMixedFolders o EEAttachments
Si utilizas una política de contraseñas en la que el usuario debe cambiar la contraseña cada mes, puede que necesites usar la suplantación de identidad (impersonation) con EWS.
Mediante la suplantación de identidad (impersonation), un usuario adquiere la capacidad de actuar en nombre de otro. Con esta funcionalidad, puede crear un usuario específico como cuenta de servicio para ExMixedFolders que tenga acceso a los datos de otros usuarios. Además, es posible excluir a este usuario de las políticas de contraseñas habituales.
Para asignar los permisos al usuario de servicio, puede seguir los siguientes pasos:
para Microsoft 365, Exchange Online:
For Exchange Online, the assignment of the ApplicationImpersonation role will no longer work from May 2024. Microsoft wants to retire this option. In order to still be able to access multiple mailboxes, ExMixedFolders or EEAttachments must now be configured as an app in Azure.
Para Exchange Online, la asignación del rol ApplicationImpersonation dejará de funcionar a partir de mayo de 2024. Microsoft va a retirar esta opción. Para poder seguir accediendo a múltiples buzones, ahora se deben configurar ExMixedFolders o EEAttachments como una aplicación en Azure.
Exchange 2010 - 2019 / SE
Opción 1 (Centro de administración de Exchange):
Cree un nuevo usuario que utilizaremos en ExMixedFolders o EEAttachments para conectarse a los buzones de correo de otros usuarios (p. ej., EWSService).
Añada dicho usuario al grupo "Organization Management". Los miembros de este grupo tienen acceso a los buzones de otros usuarios si se les añade a la regla "ApplicationImpersonation", tal como vemos en la siguiente imagen.
En el Centro de administración de Exchange, dentro de Permisos => Roles de administrador, encontrará un rol llamado "ApplicationImpersonation" que brinda la posibilidad de suplantar a otros usuarios.
Siga estos pasos para añadir esta función:
Cree un nuevo grupo de roles de administrador.
Introduzca un nombre y añada "ApplicationImpersonation" como rol.
Añada nuestro usuario de servicio (EWSService), el cual tendrá acceso a los buzones de otros usuarios a través de ExMixedFolders.
También puede realizar esta acción a través de "Usuarios y equipos de Active Directory".
Option 2 (Exchange Management Console):
Todos los usuarios a cuyos datos necesite acceder el usuario de servicio deben agruparse en un ámbito (scope). Puede realizar esto en PowerShell mediante el comando New-ManagementScope.
New-ManagementScope -name:ImpGroup1 -RecipientRestrictionFilter:"Name -eq 'testuser1' -or Name -eq 'testuser2'"
Cada ámbito debe asignarse a un Rol de administración (ManagementRole). Puede hacerlo con New-ManagementRoleAssignment.
New-ManagementRoleAssignment -Name:ImpRuleAss1 -Role:ApplicationImpersonation -User:'suser@somebytes.local' -CustomRecipientWriteScope:ImpGroup1
ExMixedFolders puede generar este script por usted. Para ello, debe tener configurada como mínimo una conexión de servicio con la opción de Suplantación (Impersonation) activada y una tarea de sincronización (Synctask) que incluya al menos un usuario al que desee suplantar.
Una vez que ExMixedFolders disponga de esta información, puede obtener el script haciendo clic con el botón derecho en el panel de conexiones del servidor y seleccionando "Commands to configure Impersonation". Tras revisarlo, puede introducir este script en su Consola de administración de Exchange.