Wolke2k4 11 Geschrieben 19. Januar Melden Teilen Geschrieben 19. Januar Moin zusammen, ich habe hier eine extwas komplexere Situation, bei der mir leider auch nicht alle Details Dritter Beteiligter bekannt sind: - gehostetes DMS System von Dienstleister 1, welches via VPN an das Kundennetz angebunden ist - Hersteller des DMS und somit Dienstleister 2 - Supportdienstleister des DMS und daher Dienstleister 3 - IT-Dienstleister des Kunden und somit Dienstleister 4 - Kunde Soweit erstmal zu den Beteiligten. Nun soll vom DMS ein Zugriff auf ein einziges Exchange Postfach (liegt auf onPrem Exchange 2016 des Kunden) mittels EWS erfolgen (eRechnungen sollen dort abgegriffen werden), für das der Hersteller des DMS gern folgendes realisiert haben möchte (Aufgabe für IT-Dienstleister des Kunden) Sie müssen sicherstellen, dass das Benutzerkonto über die erforderlichen Berechtigungen für Microsoft Exchange Server verfügt, insbesondere das Recht Exchange-Identitätswechsel (Rolle Exchange Impersonation). Mit diesem Recht können Aktionen auf allen Postfächern im Namen der entsprechenden Besitzer ausgeführt werden. Sie benötigen für das Benutzerkonto zum Identitätswechsel nur dann ein Microsoft Exchange-Postfach, wenn Sie xyz Dienst verwenden. Für abc Dienst in Microsoft Outlook ist kein Microsoft Exchange Postfach für den Identitätswechsel notwendig. Sie können die Berechtigungen mit dem folgenden PowerShell-Befehl ändern: New-ManagementRoleAssignment –Name:impersonationAssignmentName – Role:ApplicationImpersonation Wenn Sie dem Benutzerkonto nur Rechte auf bestimmte Postfächer erteilen möchten, können Sie mit einem Filter für einen regulären, gefilterten Empfängerbereich (RecipientRestrictionFilter) die Berechtigungen einschränken. Sie können z.B. einen PowerShell-Befehl angeben, um einen Exchange-Identitätswechsel für das Dienstkonto auf die Postfächer 1 und 2 zu erteilen. Die beiden fett markierten Dienstnamen sind von mir geändert. Das sind Dienste des DMS, die anders benannt sind. Mich würde generell mal eure Einschätzung zu dieser Rechteanforderung interessieren. Glücklicherweise haben wir sonst solche Anwendungsanforderungen nicht. Rein vom Bauchgefühl her ist der unbeschränkte Zugriff auf alle Postfächer schon mal ein NoGo, sodass der Zugriff mindestens auf das eine Postfach beschränkt werden muss. Aber auch sonst halte ich eigentlich nicht viel vom EWS Zugriff von Third Party Anwendungen. Wie schätzt Ihr das ein? Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 19. Januar Melden Teilen Geschrieben 19. Januar vor 8 Minuten schrieb Wolke2k4: Aber auch sonst halte ich eigentlich nicht viel vom EWS Zugriff von Third Party Anwendungen. Warum? Dazu ist der doch da. Und wenn du das per der oben angegebenen Einschränkung hinbekommst, dann ist doch alles gut, oder überseh ich was Offensichtliches? 1 Zitieren Link zu diesem Kommentar
testperson 1.549 Geschrieben 19. Januar Melden Teilen Geschrieben 19. Januar Hi, du kommst ja zusätzlich auch noch per VPN und könntest den Exchange Zugriff auf einem Reverse Proxy terminieren, der dann nur /EWS (für diesen einen User) erlaubt. Den direkten Zugriff auf den Exchange kannst du dann ja im VPN verbieten. (Selbst ohne VPN wäre das ein Ansatz.) Gruß Jan Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 19. Januar Autor Melden Teilen Geschrieben 19. Januar (bearbeitet) Ja, selbst mit RP ist mir OWA und EWS alles nichts. Das ganze Gedöns und angepasse und all das, was so an Sicherheitslücken in der Vergangenheit lief und künftig noch kommt... Microsoft macht hier einfach großen Grütz. Und mir ist das eigentlich deutlich zu viel Aufwand für den Abgriff eines einzigen popligen Postfaches... Grundlegend seht Ihr in der Anpassung der Berechtigungen aber kein Problem? bearbeitet 19. Januar von Wolke2k4 Zitieren Link zu diesem Kommentar
NorbertFe 1.837 Geschrieben 19. Januar Melden Teilen Geschrieben 19. Januar Na dann schick dir Mails dieses Postfachs halt an das zielsystem. Wäre ja dann die Alternative. Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 20. Januar Autor Melden Teilen Geschrieben 20. Januar Das ist eine Alternative, die ich noch klären werde, hatte ich auch schon auf dem Radar. Zitieren Link zu diesem Kommentar
Beste Lösung cj_berlin 1.168 Geschrieben 20. Januar Beste Lösung Melden Teilen Geschrieben 20. Januar Moin, das einzige, was an EWS als Zugriffsprotokoll auszusetzen wäre, ist, dass damit der vollständige Befehlssatz möglich ist, sprich, dass damit auch Mails, Permissions vorausgesetzt, versendet werden können. Daher, wo möglich, NICHT mit Impersonation arbeiten, sondern mit expliziten Berechtigungen, und dort nur das Leserecht erteilen. Muss die Anwendung natürlich in ihrem Code umsetzen. Ansonsten, wenn es nur um Lesezugriff geht, POP3 und IMAP4 sind immer noch möglich - auch da muss die Anwendung dies im Code umsetzen. Schwieriger wird es, wenn die zugreifende Anwendung die Elemente, auf die zugegriffen wird, anpassen muss - zum Beispiel, den Link zum Speicherort im DMS in eine MAPI-Property des archivierten Eintrags injizieren. Das geht wieder nur über EWS oder MAPI, und MAPI willst Du wirklich nicht. Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 20. Januar Autor Melden Teilen Geschrieben 20. Januar (bearbeitet) Danke, das ist, was ich "gesucht" habe! Da kann ich dann auch schon absehen, was der DMS Dienstleister argumentativ vorbringen wird: "Geht nicht, weil blablabla..." Aber das ist dann Nachgeplänkel, um das wir uns dann mit dem Kunden kümmern müssen. Mal schauen, wie das Ganze endet. bearbeitet 20. Januar von Wolke2k4 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.