Como desabilitar a opção “Gerenciar Complementos” (Manage Add-ins) para os usuários do Exchange Online


Por: Helen Agard e Robson Elias da Silva
Como engenheiros de escalação de Office 365, algumas vezes recebemos solicitações para desabilitar determinadas funcionalidades quando as mesmas podem ser configuradas ou alteradas diretamente pelo usuário final, sem a assistência do Administrator do tenant.
Disponibilizamos aqui o procedimento de como realizar a desativação da opção “Gerenciar Complementos” ou “Manage Add-ins” em todas as mailboxes ou para algumas, conforme a necessidade do administrator, através do RBAC (Role Base Access Control).
 
clip_image002clip_image004
Para saber sobre mais sobre RBAC no Office 365, consulte Permissions in Exchange Online.
Após conectados ao módulo do Azure Powershell (veja no final do artigo como conectar-se), faremos a remoção das seguintes permissões:
Role                                     Name                                  Parameters
——-                                   ——–                                 —————-
Remove-App                     MyBaseOptions             {Confirm, ErrorAction, ErrorVariable, Identity…}
New-App                        MyBaseOptions             {Confirm, ErrorAction, ErrorVariable, OutBuffer…}
Get-App                        MyBaseOptions             {ErrorAction, ErrorVariable, Identity, OutBuffer…}
Enable-App                     MyBaseOptions             {Confirm, ErrorAction, ErrorVariable, Identity…}
Disable-App                    MyBaseOptions             {Confirm, ErrorAction, ErrorVariable, Identity…}
 
Que fazem parte da “Management Role” de usuário "MyBaseOptions".
 
Para checar todas as permissões disponíveis para esta role, execute:
 
Get-ManagementRoleEntry "MyBaseOptions\*"
 
Uma vez identificadas as permissões que serão removidas, recomendamos que se faça uma cópia da Role “original” e não sua alteração direta. Assim, você poderá identificar as permissões padrão quando precisar, criar outras versões com opções diferentes e/ou compará-las com as customizadas caso necessário.
 
Para criar uma nova Role, que herdará todas as permissões da “MyBaseOptions” execute:
 
 New-ManagementRole -Parent "MyBaseOptions" -Name "MyBaseOptionsNoAddon"
 
Onde "MyBaseOptionsNoAddon" é o nome de livre escolha para sua nova Role.
 
Agora que criamos uma “cópia”, vamos remover as permissões de “Apps” da mesma:
 
Remove-ManagementRoleEntry -Identity "MyBaseOptionsNoAddon\Remove-app"
 
Remove-ManagementRoleEntry -Identity "MyBaseOptionsNoAddon\New-app"
 
Remove-ManagementRoleEntry -Identity "MyBaseOptionsNoAddon\Enable-app"
 
Remove-ManagementRoleEntry -Identity "MyBaseOptionsNoAddon\Disable-app"
 
 
Vamos agora criar uma “Função de Usuário” para associar a recém criada “Management Role”.
 
Logado no portal do Office 365, vá em “Exchange -> Permissões -> Funções de Usuário”:
 
clip_image006
 
Clique no sinal de adicionar “+” e digite o nome da função. Neste caso, criaremos com o nome de “Teste”:
 
clip_image008
 
Marque todas as opções disponíveis para deixá-la exatamente igual a “Default Role Assignment Policy”, exceto a opção “MyBaseOptions” que será substituída pela versão customizada “MyBaseOptionsNoAddon”:
 
clip_image010
 
 
Vamos assinalar a nova “Função de Usuário” em uma mailbox para ver o resultado:
 
Set-Mailbox -Identity user@contoso.com -RoleAssignmentPolicy "Teste"
 
Neste ponto, o usuário ainda poderá ver os complementos, mas as opções para alteração estarão desabilitadas:
clip_image012
 
 
clip_image014
 
Caso queira remover também a visualização dos suplementos, execute:
 
Remove-ManagementRoleEntry -Identity "MyBaseOptionsNoAddon\Get-app"
 
O usuário visualizará a seguinte tela:
 
clip_image016
 
Para assinalar a nova Role para todas as mailboxes, execute:
 
Get-Mailbox -ResultSize unlimited / Set-Mailbox -RoleAssignmentPolicy "Teste"
 
Para assinalar a Role para todas as mailboxes criadas a partir daqui, é necessário torná-la a função padrão. Para isso, execute:
 
 
Set-RoleAssignmentPolicy "Teste" -IsDefault $true
 
 
 
Administrar Exchange Online e Azure Active Directory utilizando o módulo do Azure Powershell:
 
 
 
Comments (0)

Skip to main content