Clientzugriffsregeln in Exchange Online

Zusammenfassung: Hier erfahren Sie, wie Administratoren Clientzugriffsregeln verwenden können, um verschiedene Arten von Clientverbindungen mit Exchange Online zuzulassen oder zu blockieren.

Clientzugriffsregeln helfen Ihnen bei der Steuerung des Zugriffs auf Ihre Exchange Online-Organisation basierend auf Clienteigenschaften oder Clientzugriffsanforderungen. Clientzugriffsregeln sind wie E-Mail-Flussregeln (auch bekannt als Transportregeln) für Clientverbindungen mit Ihrer Exchange Online-Organisation. Sie können verhindern, dass Clients eine Verbindung mit Exchange Online herstellen, basierend auf ihrer IP-Adresse (IPv4 und IPv6), dem Authentifizierungstyp und den Werten der Benutzereigenschaft sowie des Protokolls, der Anwendung, des Diensts oder der Ressource, die sie zum Herstellen der Verbindung verwenden. Zum Beispiel:

  • Lassen Sie den Zugriff auf Exchange ActiveSync-Clients von bestimmten IP-Adressen zu und blockieren Sie alle anderen ActiveSync-Clients.
  • Blockieren Sie den Zugriff auf Exchange-Webdienste (EWS) für Benutzer in bestimmten Abteilungen, Städten oder Ländern/Regionen.
  • Blockieren Sie den Zugriff auf ein Offlineadressbuch (OAB) für bestimmte Benutzer basierend auf ihren Benutzernamen.
  • Verhindern des Clientzugriffs über Verbundauthentifizierung.
  • Verhindern des Clientzugriffs mit Exchange Online PowerShell.
  • Blockieren sie den Zugriff auf das klassische Exchange Admin Center (EAC) für Benutzer in einem bestimmten Land oder einer bestimmten Region.

Die Verfahren in Bezug auf Clientzugriffsregeln finden Sie unter Verfahren für Clientzugriffsregeln in Exchange Online.

Hinweis

Das Blockieren des Dienstkontozugriffs bei Verwendung des EWS-Identitätswechsels wird von Clientzugriffsregeln nicht unterstützt.

Ab Oktober 2022 haben wir den Zugriff auf Clientzugriffsregeln für alle vorhandenen Exchange Online Organisationen deaktiviert, die diese nicht verwendet haben. Im Oktober 2023 endet die Unterstützung für Clientzugriffsregeln für alle Exchange Online Organisationen. Weitere Informationen finden Sie unter Einstellung von Clientzugriffsregeln in Exchange Online.

Clientzugriffsregeln – Komponenten

Eine Regel besteht aus Bedingungen, Ausnahmen, einer Aktion und einem Eigenschaftswert:

  • Bedingungen: Identifizieren Sie die Clientverbindungen, auf die die Aktion angewendet werden soll. Eine vollständige Liste der Bedingungen finden Sie im Abschnitt Bedingungen und Ausnahmen für Clientzugriffsregel weiter unten in diesem Thema. Wenn eine Clientverbindung den Bedingungen einer Regel entspricht, wird die Aktion auf die Clientverbindung angewendet, und die Regelauswertung wird beendet (es werden keine Regeln mehr auf die Verbindung angewendet).

  • Ausnahmen: Identifiziert optional die Clientverbindungen, auf die die Aktion nicht angewendet werden soll. Mit Ausnahmen werden Bedingungen außer Kraft gesetzt, und es wird verhindert, dass die Regelaktion auf eine Verbindung angewendet wird, und zwar auch dann, wenn die Verbindung allen konfigurierten Bedingungen entspricht. Die Regelauswertung wird für Clientverbindungen fortgesetzt, die von der Ausnahme zugelassen werden, aber eine nachfolgende Regel könnte sich auf die Verbindung auswirken.

  • Aktion: Gibt an, welche Aufgaben für Clientverbindungen durchgeführt werden, die den Bedingungen in der Regel entsprechen und keiner Ausnahme entsprechen. Gültige Aktionen sind:

    • Lassen Sie die Verbindung zu (der AllowAccess Wert für den Action-Parameter ).

    • Blockieren Sie die Verbindung (der DenyAccess Wert für den Action-Parameter ).

      Hinweis: Wenn Sie Verbindungen für ein bestimmtes Protokoll blockieren, sind möglicherweise auch andere Anwendungen betroffen, die auf dasselbe Protokoll zugreifen.

  • Priorität: Zeigt die Reihenfolge an, in der die Regeln auf Clientverbindungen angewendet werden. Die standardmäßige Priorität basiert auf dem Erstellungsdatum der Regel (ältere Regeln haben eine höhere Priorität als neuere Regeln), und Regeln mit höherer Priorität werden vor Regeln mit niedrigerer Priorität verarbeitet. Die Regelbearbeitung wird beendet, wenn die Clientverbindung den Bedingungen in der Regel entspricht.

    Weitere Informationen zum Festlegen der Prioritätswerte für Regeln finden Sie unter Verwenden von Exchange Online PowerShell zum Festlegen der Priorität von Clientzugriffsregeln.

Auswertung von Clientzugriffsregeln

In der folgenden Tabelle wird beschrieben, wie mehrere Regeln mit derselben Bedingung ausgewertet werden und wie eine Regel mit mehreren Bedingungen, Bedingungswerten und Ausnahmen ausgewertet wird.

Komponente Logik Kommentare
Mehrere Regeln, die dieselbe Bedingung enthalten Die erste Regel wird angewendet , und nachfolgende Regeln werden ignoriert. Wenn beispielsweise die Regel mit der höchsten Priorität Outlook im Web-Verbindungen blockiert und Sie eine andere Regel erstellen, die Outlook im Web-Verbindungen für einen speziellen IP-Adressbereich zulässt, werden alle Outlook im Web-Verbindungen weiterhin durch die erste Regel blockiert. Statt eine weitere Regel für Outlook im Web zu erstellen, müssen Sie eine Ausnahme zur vorhandenen Outlook im Web-Regel hinzufügen, um Verbindungen vom angegebenen IP-Adressbereich zuzulassen.
Mehrere Bedingungen in einer Regel UND Eine Clientverbindung muss allen Bedingungen in der Regel entsprechen. Beispielsweise EWS-Verbindungen von Benutzern in der Buchhaltung.
Eine Bedingung mit mehreren Werten in einer Regel ODER Für Bedingungen, die mehrere Werte zulassen, muss die Verbindung einer (nicht allen) der angegebenen Bedingungen entsprechen. Beispielsweise EWS- oder IMAP4-Verbindungen.
Mehrere Ausnahmen in einer Regel ODER Wenn eine Clientverbindung einer der Ausnahmen entspricht, werden die Aktionen nicht auf die Clientverbindung angewendet. Die Verbindung muss nicht allen Ausnahmen entsprechen. Beispielsweise IP-Adresse 19.2.168.1.1 oder Standardauthentifizierung.

Sie können testen, wie Clientzugriffsregeln sich auf eine bestimmte Clientverbindung auswirken würden (welche Regeln übereinstimmen würden und daher Einfluss auf die Verbindung hätten). Weitere Informationen finden Sie unter Verwenden von Exchange Online PowerShell zum Testen von Clientzugriffsregeln.

Hinweis

Clientzugriffsregeln werden nach der Authentifizierung ausgewertet und können nicht verwendet werden, um unformatierte Verbindungen oder Authentifizierungsversuche zu blockieren.

Wichtige Hinweise:

Clientverbindungen aus dem internen Netzwerk

Verbindungen aus Ihrem lokalen Netzwerk dürfen Clientzugriffsregeln nicht automatisch umgehen. Daher müssen Sie beim Erstellen von Clientzugriffsregeln, die Clientverbindungen mit Exchange Online blockieren, berücksichtigen, wie Sich dies auf Verbindungen aus Ihrem internen Netzwerk auswirken kann. Die bevorzugte Methode zum Umgehen von Clientzugriffsregeln durch interne Clientverbindungen besteht darin, eine Regel mit der höchsten Priorität zu erstellen, die Clientverbindungen aus Ihrem internen Netzwerk zulässt (alle oder bestimmte IP-Adressen). Auf diese Weise sind die Clientverbindungen immer zulässig, unabhängig von anderen Blockierungsregeln, die Sie in Zukunft erstellen.

Client-Zugriffsregeln und Anwendungen auf mittlerer Ebene

Viele Anwendungen, die auf Exchange Online zugreifen, verwenden eine Architektur der mittleren Ebene (Clients kommunizieren mit der Anwendung der mittleren Ebene und die Anwendung der mittleren Ebene spricht mit Exchange Online). Eine Client-Zugriffsregel, die nur den Zugriff von Ihrem lokalen Netzwerk zulässt, blockiert möglicherweise Anwendungen auf mittlerer Ebene. Deshalb müssen Ihre Regeln die IP-Adressen von Anwendungen auf mittlerer Ebene zulassen.

Anwendungen der mittleren Ebene im Besitz von Microsoft (z. B. Outlook für iOS und Android) umgehen die Blockierung durch Clientzugriffsregeln und sind immer zulässig. Um zusätzliche Kontrolle über diese Anwendungen bereitzustellen, müssen Sie die Funktionen des Steuerelements verwenden, das in den Anwendung verfügbar ist.

Anzeigedauer für Regeländerungen

Um die allgemeine Leistung zu verbessern, verwenden Client-Zugriffsregeln einen Zwischenspeicher, was bedeutet, dass Änderungen an Regeln nicht sofort wirksam werden. Bei der ersten Regel, die Sie in Ihrer Organisation erstellen, kann es bis zu 24 Stunden dauern, bis sie wirksam wird. Danach kann es bis zu einer Stunde dauern, bis das Ändern, Hinzufügen oder Entfernen von Regeln wirksam wird.

Verwaltung

Sie können PowerShell nur zum Verwalten von Clientzugriffsregeln verwenden. Daher müssen Sie bei Regeln vorsichtig sein, die den Zugriff auf Remote-PowerShell blockieren. Wenn Sie eine Regel erstellen, die Ihren Zugriff auf Remote-PowerShell blockiert, oder Sie eine Regel erstellen, die alle Protokolle für alle Benutzer blockiert, verlieren Sie die Möglichkeit, die Regeln selbst zu reparieren. Sie müssen sich an den Microsoft-Kundendienst und-Support wenden, die daraufhin eine Regel erstellen, mit deren Hilfe Sie Remote-PowerShell-Zugriff von einem beliebigen Ort haben, sodass Sie Ihre eigenen Regeln reparieren können. Beachten Sie, dass es bei dieser neuen Regel bis zu eine Stunde dauern kann, bis sie wirksam wird.

Als bewährte Methode erstellen Sie eine Clientzugriffsregel mit der höchsten Priorität, um den Zugriff auf Remote-PowerShell zu erhalten. Zum Beispiel:

New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

Authentifizierungstypen und Protokolle in Clientzugriffsregeln

Nicht alle Authentifizierungstypen werden für alle Protokolle in Clientzugriffsregeln unterstützt. In dieser Tabelle werden die unterstützten Authentifizierungsarten pro Protokoll beschrieben:

Protokoll AdfsAuthentication BasicAuthentication CertificateBasedAuthentication NonBasicAuthentication OAuthAuthentication
ExchangeActiveSync n/v unterstützt unterstützt N/V unterstützt
ExchangeAdminCenter1 unterstützt unterstützt N/V n/v n/v
IMAP4 N/V unterstützt N/V N/V unterstützt
OutlookWebApp unterstützt unterstützt N/V n/v n/v
POP3 N/V unterstützt N/V N/V unterstützt
RemotePowerShell N/V unterstützt N/V unterstützt n/v

1 Dieses Protokoll gilt nur für das klassische Exchange Admin Center (EAC).

Clientzugriffsregel-Bedingungen und -Ausnahmen

Bedingungen und Ausnahmen in Clientzugriffsregeln identifizieren die Clientverbindungen, auf die die Regel angewendet oder nicht angewendet wird. Wenn beispielsweise die Regel den Zugriff durch Exchange ActiveSync-Clients blockiert, können Sie die Regel so konfigurieren, dass sie Exchange ActiveSync-Verbindungen von einem bestimmten Bereich von IP-Adressen zulässt. Die Syntax ist für eine Bedingung und die entsprechende Ausnahme identisch. Der einzige Unterschied ist: Bedingungen geben die einzuschließenden Clientverbindungen an, während Ausnahmen auszuschließende Clientverbindungen angeben.

Diese Tabelle beschreibt die Bedingungen und Ausnahmen, die in Clientzugriffsregeln zur Verfügung stehen:

Bedingungsparameter in Exchange Online PowerShell Ausnahmenparameter in Exchange Online PowerShell Beschreibung
AnyOfAuthenticationTypes ExceptAnyOfAuthenticationTypes Gültige Werte sind:
  • AdfsAuthentication
  • BasicAuthentication
  • CertificateBasedAuthentication
  • NonBasicAuthentication
  • OAuthAuthentication

Es können mehrere Werte durch Kommata getrennt angegeben werden. Sie können die einzelnen Werte in Anführungszeichen einschließen ("value1","value2"), jedoch nicht alle Werte (Verwenden Sie nicht "value1,value2").
Hinweis: Wenn angegeben ExceptAnyOfAuthenticationTypeswird, AnyOfAuthenticationTypes muss auch angegeben werden.

AnyOfClientIPAddressesOrRanges ExceptAnyOfClientIPAddressesOrRanges IPv4- und IPv6-Adressen werden unterstützt. Gültige Werte sind:
  • Eine einzelne IP-Adresse: Beispiel: 192.168.1.1 oder 2001:DB8::2AA:FF:C0A8:640A.
  • Ein IP-Adressbereich: Beispiel: 192.168.0.1-192.168.0.254 oder 2001:DB8::2AA:FF:C0A8:640A-2001:DB8::2AA:FF:C0A8:6414.
  • Classless Inter-Domain Routing (CIDR) IP: Beispiel: 192.168.3.1/24 oder 2001:DB8::2AA:FF:C0A8:640A/64.

Es können mehrere Werte durch Kommata getrennt angegeben werden.

Weitere Informationen zu IPv6-Adressen und zur Syntax finden Sie in diesem Exchange 2013-Thema: IPv6-Adressgrundlagen.

AnyOfProtocols ExceptAnyOfProtocols Gültige Werte sind:
  • ExchangeActiveSync
  • ExchangeAdminCenter1
  • ExchangeWebServices
  • IMAP4
  • OfflineAddressBook
  • OutlookAnywhere (einschließlich MAPI über HTTP)
  • OutlookWebApp (Outlook im Web)
  • POP3
  • PowerShellWebServices
  • RemotePowerShell
  • REST

Es können mehrere Werte durch Kommata getrennt angegeben werden. Sie können Anführungszeichen um jeden einzelnen Wert (" Wert1","Wert2"), aber nicht um alle Werte herum verwenden (verwenden Sie nicht "Wert1,Wert2").
Hinweis: Wenn Sie diese Bedingung nicht in einer Regel verwenden, wird die Regel auf alle-Protokolle angewendet.

Scope n/v Gibt den Typ der Verbindungen an, auf die die Regel angewendet wird. Gültige Werte sind:
  • Users: Die Regel gilt nur für Endbenutzerverbindungen.
  • All: Die Regel gilt für alle Typen von Verbindungen (Endbenutzer und Middle-Tier Apps).
UsernameMatchesAnyOfPatterns ExceptUsernameMatchesAnyOfPatterns Akzeptiert Text und das Platzhalterzeichen (*) zum Identifizieren des Kontonamens des Benutzers im Format <Domain>\<UserName> (z. B. oder *jeff*, contoso.com\jeff aber nicht jeff*). Für nicht alphanumerische Zeichen sind keine Escapezeichen erforderlich.
Mehrere Werte können durch Kommas getrennt angegeben werden.
UserRecipientFilter n/v Verwendet OPath-Filtersyntax zur Identifizierung des Benutzers, auf den die Regel angewendet wird. Beispiel: "City -eq 'Redmond'". Filterbare Attribute:
  • City
  • Company
  • CountryOrRegion
  • CustomAttribute1 in CustomAttribute15
  • Department
  • Office
  • PostalCode
  • StateOrProvince
  • StreetAddress
    Das Suchkriterium verwendet die Syntax "<Property> -<Comparison operator> '<Value>'".
  • <Property> ist eine filterbare Eigenschaft.
  • Bei -<Comparison Operator> handelt es sich um einen OPATH-Vergleichsoperator. Beispielsweise -eq für genaue Übereinstimmungen (Wildcards werden nicht unterstützt) und -like für den Zeichenfolgenvergleich (der mindestens einen Wildcard im Eigenschaftswert erfordert). Weitere Informationen über Vergleichsoperatoren finden Sie unter about_Comparison_Operators.
  • <Value> ist der Eigenschaftswert. Textwerte mit oder ohne Leerzeichen oder Werte mit Platzhalterzeichen (*) müssen in Anführungszeichen eingeschlossen werden (z. B '<Value>' . oder '*<Value>'). Verwenden Sie keine Anführungszeichen mit dem Systemwert $null (für leere Werte).

Sie können mehrere Suchkriterien mithilfe der logischen Operatoren -and und -or miteinander verketten. Zum Beispiel "<Criteria1> -and <Criteria2>" oder "(<Criteria1> -and <Criteria2>) -or <Criteria3>". Weitere Informationen zur OPATH-Filtersyntax finden Sie unter Zusätzliche Informationen zur OPATH-Syntax.

1 Dieses Protokoll gilt nur für das klassische Exchange Admin Center (EAC).