Quand vous connectez Paperbox à Microsoft 365 (Exchange Online) via une application / compte de service, cette application peut, par défaut, avoir accès à beaucoup (voire toutes) les boîtes aux lettres du tenant. Pour renforcer le contrôle, vous pouvez limiter Paperbox à uniquement les boîtes aux lettres que vous autorisez explicitement.
Dans ce tutoriel, on utilise un assureur fictif comme exemple :
Domaine de l’assureur (client) :
johns-insurance.comGroupe de périmètre (scope) :
[email protected]Boîte aux lettres exemple :
[email protected]
Important : remplacez tous les exemples par les valeurs du tenant Microsoft 365 du client. Les domaines/adresses utilisés ici sont uniquement des exemples.
Ce que vous allez mettre en place
Un groupe de sécurité à extension messagerie (mail-enabled security group) qui définit le périmètre Paperbox
L’appartenance à ce groupe = boîtes aux lettres auxquelles Paperbox peut accéder
Une Application Access Policy qui applique ce périmètre
Des commandes de test pour valider l’accès autorisé/refusé
Avant de commencer
Prérequis
Droits d’administration dans le tenant Microsoft 365 du client (Exchange admin ou Global admin)
Accès à Exchange Online PowerShell
Valeurs à renseigner
Domaine du client :
<DOMAINE_CLIENT>(ex.johns-insurance.com)Email du groupe de périmètre (dans le tenant client) :
<EMAIL_GROUPE_SCOPE>(ex.[email protected])Boîte aux lettres de test autorisée :
<BAL_TEST_AUTORISEE>(ex.[email protected])Boîte aux lettres de test bloquée :
<BAL_TEST_BLOQUEE>(ex.[email protected])
Étape 1 — Se connecter à Exchange Online PowerShell
Ouvrez PowerShell et connectez-vous à Exchange Online dans le tenant du client :
Connect-ExchangeOnline
Assurez-vous de vous authentifier avec un compte admin du client (dans le domaine, par ex. johns-insurance.com).
Étape 2 — Créer (ou choisir) un groupe de sécurité à extension messagerie
Ce groupe définit les boîtes aux lettres auxquelles Paperbox aura accès.
Option A : créer un nouveau groupe
À renseigner :
<NOM_GROUPE><ALIAS_GROUPE>
New-DistributionGroup `
-Name "<NOM_GROUPE>" `
-Alias "<ALIAS_GROUPE>" `
-Type Security
Ensuite, récupérez l’adresse SMTP principale (Primary SMTP) et utilisez-la comme <EMAIL_GROUPE_SCOPE> :
Get-DistributionGroup "<NOM_GROUPE>" | Format-List PrimarySmtpAddress
Exemple :
Option B : utiliser un groupe existant
Si le client dispose déjà d’un groupe de sécurité à extension messagerie approprié, notez son adresse email et utilisez-la comme :
<EMAIL_GROUPE_SCOPE>
Étape 3 — Ajouter les boîtes aux lettres autorisées au groupe
Ajoutez chaque boîte aux lettres que Paperbox doit pouvoir accéder. Répétez pour chaque adresse.
À renseigner :
<EMAIL_GROUPE_SCOPE>(groupe dans le tenant client)<EMAIL_BAL>(boîte aux lettres dans le tenant client)
Add-DistributionGroupMember `
-Identity "<EMAIL_GROUPE_SCOPE>" `
-Member "<EMAIL_BAL>"
Exemple (tenant assureur) :
groupe :
[email protected]boîte aux lettres :
[email protected]
Tout ce qui n’est pas dans ce groupe est hors périmètre.
Étape 4 — Créer l’Application Access Policy
Cette policy limite l’application Paperbox aux boîtes aux lettres présentes dans le groupe de périmètre.
À renseigner :
<EMAIL_GROUPE_SCOPE><DESCRIPTION_POLICY>
New-ApplicationAccessPolicy `
-AppId "42dc8c0c-c869-4479-b884-592d310ca746" `
-PolicyScopeGroupId "<EMAIL_GROUPE_SCOPE>" `
-AccessRight RestrictAccess `
-Description "<DESCRIPTION_POLICY>"
Suggestion de description :
Restreindre Paperbox aux boîtes aux lettres du groupe de périmètre Paperbox.
Étape 5 — Tester la policy
Tester une boîte aux lettres autorisée
À renseigner :
<BAL_TEST_AUTORISEE>
Test-ApplicationAccessPolicy `
-Identity "<BAL_TEST_AUTORISEE>" `
-AppId "42dc8c0c-c869-4479-b884-592d310ca746"
Résultat attendu : Allowed / Autorisé
Tester une boîte aux lettres bloquée
À renseigner :
<BAL_TEST_BLOQUEE>
Test-ApplicationAccessPolicy `
-Identity "<BAL_TEST_BLOQUEE>" `
-AppId "42dc8c0c-c869-4479-b884-592d310ca746"
Résultat attendu : Denied / Refusé
Dépannage
Vérifier l’appartenance au groupe
Si les tests ne donnent pas le résultat attendu, vérifiez que la boîte aux lettres est bien membre du groupe :
Get-DistributionGroupMember "<EMAIL_GROUPE_SCOPE>"
Problèmes PowerShell / module
Vérifiez la version PowerShell :
$PSVersionTable.PSVersion
Si vous rencontrez des erreurs de version/module, mettez PowerShell à jour et assurez-vous d’utiliser une version récente du module Exchange Online PowerShell.