Featured
- Get link
- X
- Other Apps
Controlando o acesso de aplicações no Exchange Online com RBAC
A segurança de ambientes Microsoft 365 demanda atenção especial ao gerenciamento de permissões concedidas a aplicações. A prática de fornecer acesso total a todas as caixas de correio representa risco elevado, por isso recomenda-se aplicar o RBAC (Role-Based Access Control) para definir exatamente quais privilégios cada aplicação deve ter. No contexto do Exchange Online, isso significa restringir permissões de leitura, envio ou modificação de e-mail, calendário e contatos apenas aos recursos realmente necessários.
O que é RBAC para aplicações no Exchange Online
RBAC para aplicações permite que você atribua funções específicas a aplicações registradas no Microsoft Entra ID (antigo Azure AD), de modo que elas operem com permissões controladas e limitadas. Em vez de conceder direitos globais indevidamente, você define roles (funções), escopos personalizados (scopes) e regras que determinam precisamente as tarefas que cada aplicação pode executar.
As permissões (roles) de aplicação suportadas variam conforme o protocolo utilizado. O Microsoft Graph oferece mais granularidade e opções, enquanto o protocolo EWS (Exchange Web Services) tem suporte limitado a uma role de acesso total (“EWS.AccessAsApp”). Note que o suporte ao EWS para acessos como aplicação será descontinuado a partir de 1º de outubro de 2026, tornando essencial a migração para Graph sempre que possível.
Principais passos para configurar RBAC para aplicações
Com base no guia prático, aqui estão os passos necessários:
-
Registrar a aplicação no Microsoft Entra ID
Crie ou identifique uma aplicação (App Registration). Obtenha seu Application ID e Object ID, que serão usados nos comandos de permissões. -
Determinar as roles necessárias
Selecione as permissões adequadas de aplicação no Microsoft Graph ou outras suportadas. Por exemplo,Mail.Read,Mail.Send,Mail.ReadWrite, ou combinações que atendam apenas às necessidades mínimas. Evite dar mais do que o necessário. -
Criar escopo gerenciado personalizado (Management Scope)
Defina um escopo que delimite quais caixas de correio ou usuários serão afetados. Pode ser um departamento (por exemplo, RH), um grupo de usuários ou uma caixa específica. Isso evita que a aplicação tenha permissão sobre toda a organização. -
Atribuir a role para a aplicação com escopo personalizado
Use cmdlets do PowerShell do Exchange Online para associar a aplicação à role desejada, limitando o escopo conforme definido. Comandos comoNew-ManagementRoleAssignmentpermitem isso, incluindo a criação de múltiplas roles se necessário. -
Testar a configuração
Verifique se a aplicação de fato só tem permissão para os recursos permitidos e nada além. Comandos comoGet-ManagementRoleAssignmenteTest-ServicePrincipalAuthorizationajudam a validar o que está em escopo ou fora dele.
Cuidados e boas práticas
-
Princípio do menor privilégio: sempre conceda apenas aquilo que a aplicação precisa — nem mais nem menos.
-
Migração para Graph: considerando o fim do suporte ao EWS para acessos como aplicação em 2026, todas as novas implementações devem usar Microsoft Graph.
-
Auditoria contínua: revisite regularmente quais roles estão atribuídas, onde estão as permissões, se há roles abandonadas ou que concedam mais que o necessário.
-
Segurança de credenciais: garanta que a aplicação utilize credenciais seguras, como certificados ou secrets, com rotação periódica; limite quem pode gerenciar essas aplicações.
Configurar RBAC para aplicações no Exchange Online é fundamental para aumentar a segurança e a governança em ambientes corporativos. Por meio de roles específicas, escopos personalizados e atuação mínima necessária, as organizações conseguem evitar acessos excessivos ou indevidos. O uso do Microsoft Graph, em lugar de EWS, torna-se cada vez mais urgente com a descontinuação prevista do suporte.
Me acompanhe em outras redes sociais: iamjuliaribeiro | Instagram, Twitch | Linktree
- Get link
- X
- Other Apps
Popular Posts
Fim do salvamento local no Office 365 e a migração para a nuvem
- Get link
- X
- Other Apps
Automatizando a Sincronização do SharePoint no Windows com Microsoft Intune
- Get link
- X
- Other Apps

Comments
Post a Comment