PI Services

Le blog des collaborateurs de PI Services

[Exchange Hybride] Boîte aux lettres toujours visible dans Outlook même après la suppression des autorisations

25. octobre 2024 Rana-BELHAJSALAH (0)

Scénario

Les autorisations d'accès total pour une boîte aux lettres partagée ont été supprimées mais la boîte aux lettres est toujours visible dans Outlook. Dans les paramètres du compte Outlook de l'utilisateur, la boîte aux lettres partagée n'apparaît pas comme une boîte aux lettres supplémentaire.

La raison pour laquelle la boîte aux lettres partagée apparaît dans Outlook, mais n'apparaît pas dans les paramètres du compte Outlook, est que le mappage automatique est activé par défaut lorsqu'un utilisateur a accès à une boîte aux lettres partagée ou à la boîte aux lettres d'un autre utilisateur. Lorsque le mappage automatique est activé, Outlook reçoit des informations supplémentaires dans la réponse de découverte automatique qui lui indiquent d'ouvrir la boîte aux lettres supplémentaire.

Résolution

1. Supprimer l'autorisation d'accès complet à la boîte aux lettres

Supprimez l’autorisation d’accès complet à la boîte aux lettres avec la commande Remove-MailboxPermission. Si vous avez déjà supprimé l'autorisation d'accès complet, passez à l'étape suivante. 

Exemple: Remove-MailboxPermission -Identity "test@contoso.com" -User "user@contoso.com" -AccessRights FullAccess'.

2. Ajouter le mappage automatique des autorisations de boîte aux lettres à accès complet

Le paramètre -AutoMapping spécifie s'il faut activer ou désactiver la fonctionnalité de mappage automatique dans Microsoft Outlook. Il utilise la découverte automatique pour ouvrir d'autres boîtes aux lettres pour l'utilisateur. Les valeurs possibles de ce paramètre sont :

$true : Outlook ouvre automatiquement la boîte aux lettres dans laquelle l'utilisateur dispose d'une autorisation d'accès complet. Il s'agit de la valeur par défaut.

$false : Outlook n'ouvre pas automatiquement la boîte aux lettres dans laquelle l'utilisateur dispose d'une autorisation d'accès complet.

Utilisez la cmdlet Add-MailboxPermission pour ajouter une autorisation de boîte aux lettres d’accès complet. Seulement cette fois, ajoutez le paramètre -AutoMapping, y compris la valeur false. Cela empêchera Outlook d'ouvrir la boîte aux lettres d'informations lorsque l'utilisateur ouvrira Outlook.

Exemple: Add-MailboxPermission -Identity "test@contoso.com" -User "user@contoso.com" -AccessRights FullAccess -AutoMapping $false'

3. Supprimer l'autorisation d'accès complet à la boîte aux lettres

Encore une fois, supprimez l’autorisation d’accès complet à la boîte aux lettres via la cmdlet Remove-MailboxPermission

4. Vérifier la boîte aux lettres non visible dans Outlook

Après les actions effectuées ci-dessus, vous verrez que la boîte aux lettres n'apparaît plus dans un délai de maximum une heure..

[Azure] ABAC conditions

25. octobre 2024 Zeineb-SABRI Azure (0)

Introduction

Microsoft Entra autorise les droits d’accès aux ressources sécurisées via le contrôle d’accès en fonction du rôle Azure (Azure RBAC).Lorsqu’un rôle Azure est attribué à un principal de sécurité Microsoft Entra, Azure octroie l’accès à ces ressources pour ce principal de sécurité. Un principal de sécurité Microsoft Entra peut être un utilisateur, un groupe, un principal de service d’application ou une identité managée pour les ressources Azure.

Besoin

La gestion des permissions Azure RBAC au niveau des abonnements Azure se fait de façon centralisée par les administrateur ayant des permissions privilégiées Aussi, les rôles RBAC s'attribue sur des scopes souvent larges.

Dans certains scénario, un contrôle d'accès plus fin que celui offert par RBAC est nécessaire. Par exemple, il peut être indispensable d'accorder l'accès à certaines ressources, mais pas à toutes, dans une hiérarchie. Ou encore accorder les permission uniquement à des ressources ayant des tags spécifiques.

Aussi, des utilisateurs ont parfois besoin de gérer les permissions d'une service principal sur le scope pour lequel ils ont des droits.

Solution 

Azure ABAC (Attribute Based Access Control) c'est les conditions qui se rajoutent au moment de l'attribution de rôle RBAC permettant ainsi une autre vérification que vous pouvez ajouter à votre attribution de rôle pour fournir un contrôle d’accès encore plus précis. 

Exemple d'utilisation : Attribuer à un groupe Entra ID un rôle permettant d'assigner toutes les permissions RBAC à tout type d'identité (utilisateur, groupe, SPN ou identités managées) à l'exception de certaines permissions privilégiées.