Scopri le implicazioni della rimozione del ruolo ApplicationImpersonation in Exchange Online e come adeguarti al cambiamento.
La modernizzazione dell’accesso alle applicazioni in ambienti cloud come Exchange Online di Microsoft implica costanti aggiornamenti nelle metodologie e negli strumenti utilizzati. I professionisti IT e gli sviluppatori di software dovranno presto affrontare un cambiamento significativo: a partire da maggio 2024, verrà bloccata l’assegnazione del ruolo di impersonificazione di applicazioni agli account in Exchange Online, per poi eliminare completamente tale ruolo e le relative funzionalità a febbraio 2025.
In passato, fornire a un’applicazione l’accesso a più caselle di posta in un’organizzazione Exchange, in particolare attraverso i servizi web di Exchange (EWS), comportava l’utilizzo del modello di impersonificazione. Questa metodologia permetteva a un’applicazione di agire per conto di altri utenti, offrendo un accesso facile e ampio a molteplici caselle di posta, ma con limitate opzioni per il controllo delle risorse e visibilità esterna a Exchange.
Oggi, il modello di identità Microsoft rappresenta lo standard per costruire applicazioni che si integrano con i dati nel cloud Microsoft. Registrando l’applicazione in Microsoft Entra, è possibile semplificare la distribuzione e l’adozione, rendere le autorizzazioni esplicitamente visibili e standardizzare le applicazioni integrate.
Le applicazioni devono ora possedere una registrazione dell’applicazione, e quando si utilizzano i permessi di applicazione (non delegati), l’app deve usare delle credenziali sicure per accedere. L’uso di EWS richiede di concedere il permesso di applicazione full_access_as_app, che fornisce lo stesso livello di accesso alle cassette postali come faceva l’ApplicationImpersonation. È possibile utilizzare una Politica di Accesso Applicazioni per limitare le risorse a cui l’applicazione può accedere.
Per trovare gli account che utilizzano questo genere di accesso e intraprendere le azioni necessarie, si può utilizzare Exchange Online PowerShell. Le applicazioni EWS che richiedono l’accesso a più caselle postali dovranno essere adeguatamente configurate con OAuth per utilizzare l’accesso solamente come applicazioni.
Implementare un accesso limitato alle risorse utilizzando le Politiche di Accesso Applicazioni o il Controllo di Accesso Basato sui Ruoli per Applicazioni in Exchange Online, permetterà di gestire l’accesso alle caselle postali in base alle necessità specifiche dello scenario in questione.