Правила клиентского доступа в Exchange Online

Статья
03/19/2023

Сводка. Узнайте, как администраторы могут использовать правила клиентского доступа для разрешения или блокировки различных типов клиентских подключений к Exchange Online.

Правила клиентского доступа помогают управлять доступом к Exchange Online организации на основе свойств клиента или запросов на доступ клиентов. Правила доступа клиентов похожи на правила потока обработки почты (также известные как правила транспорта) для клиентских подключений к Exchange Online организации. Вы можете запретить клиентам подключаться к Exchange Online на основе их IP-адреса (IPv4 и IPv6), типа проверки подлинности и значений свойств пользователя, а также протокола, приложения, службы или ресурса, которые они используют для подключения. Например:

Разрешите доступ к клиентам Exchange ActiveSync с определенных IP-адресов и заблокируйте все остальные клиенты ActiveSync.
Блокировка доступа к веб-службам Exchange (EWS) для пользователей в определенных отделах, городах или странах и регионах.
блокировка доступа к автономной адресной книге для определенных пользователей, указанных по именам;
предотвращение клиентского доступа с использованием федеративной проверки подлинности;
запрещать доступ клиентов с использованием Exchange Online PowerShell;
Блокировка доступа к классическому Центру администрирования Exchange (EAC) для пользователей в определенной стране или регионе.

Процедуры для работы с правилами клиентского доступа описаны в статье Procedures for Client Access Rules in Exchange Online.

Примечание.

Блокировка доступа к учетной записи службы при использовании олицетворения EWS не поддерживается правилами клиентского доступа.

Начиная с октября 2022 г. мы отключили доступ к правилам доступа клиентов для всех существующих Exchange Online организаций, которые не использовали их. В октябре 2023 г. поддержка правил клиентского доступа будет завершена для всех Exchange Online организаций. Дополнительные сведения см. в статье Отмена правил доступа клиентов в Exchange Online.

Компоненты правил клиентского доступа

Правило состоит из условий, исключений, действия и значения приоритета.

Условия. Определите клиентские подключения, к которому нужно применить действие. Полный список условий см. в разделе Условия и исключения правила клиентского доступа далее в этом разделе. Если клиентское подключение соответствует условиям правила, действие применяется к клиентскому подключению, а оценка правила прекращается (правила больше не применяются к подключению).
Исключения. При необходимости определите клиентские подключения, к которым не должно применяться действие. Исключения переопределяют условия и запрещают применение действий правила к подключению, даже если оно соответствует всем настроенным условиям. Оценка правила продолжается для клиентских подключений, разрешенных исключением, но последующее правило по-прежнему может повлиять на подключение.
Действие. Указывает, что следует делать с клиентскими подключениями, которые соответствуют условиям в правиле и не соответствуют ни одному из исключений. Допустимые действия:
- Разрешить подключение ( AllowAccess значение параметра Action ).
- Блокировать подключение ( DenyAccess значение параметра Action ).
  
  Примечание. Блокировка подключений по определенному протоколу может повлиять на другие приложения, использующие этот протокол.
Приоритет: указывает порядок применения правил к клиентским подключениям (меньшее число указывает на более высокий приоритет). Приоритет, заданный по умолчанию, зависит от времени создания правила (чем старше правило, тем выше приоритет), а проверка в случае правил с высоким приоритетом выполняется раньше, чем в случае правил с низким приоритетом. Помните, что если клиентское подключение соответствует условиям правила, обработка правил останавливается.

Дополнительные сведения об установке значения приоритета для правил см. в статье Установка приоритета правил клиентского доступа с помощью Exchange Online PowerShell.

Как оцениваются правила клиентского доступа

В приведенной ниже таблице описывается оценка нескольких правил, включающих одно и то же условие, а также правил с несколькими условиями, значениями условий и исключениями.

Компонент	Логический оператор	Комментарии
Несколько правил, содержащих одно условие	Первое правило применяется, а последующие пропускаются	Например, если правило с наивысшим приоритетом блокирует подключения Outlook в Интернете и вы создаете другое правило, разрешающее Outlook в Интернете подключения для определенного диапазона IP-адресов, все подключения Outlook в Интернете по-прежнему блокируются первым правилом. Вместо создания другого правила для Outlook в Интернете необходимо добавить исключение в существующее правило Outlook в Интернете, чтобы разрешить подключения из указанного диапазона IP-адресов.
Несколько условий в одном правиле	И	Клиентское подключение должно соответствовать всем условиям правила. Пример: подключения EWS от пользователей в отделе бухгалтерского учета.
Одно условие с несколькими значениями в правиле	ИЛИ	Для условий, в которых разрешено несколько значений, подключение должно соответствовать одному (не всем) из указанных условий. Примеры: подключения EWS или IMAP4.
Несколько исключений в одном правиле	ИЛИ	Если клиентское подключение соответствует какому-либо из исключений, то к нему не применяются действия. Подключению не обязательно соответствовать всем исключениям. Примеры: IP-адрес 19.2.168.1.1 или обычная проверка подлинности.

Вы можете проверить, как правила клиентского доступа повлияют на то или иное клиентское подключение (какие правила будут к нему применяться). Дополнительные сведения см. в статье Тестирование правил клиентского доступа с помощью Exchange Online PowerShell.

Примечание.

Правила доступа клиента оцениваются после проверки подлинности и не могут использоваться для блокировки необработанных попыток подключения или проверки подлинности.

Важные замечания

Клиентские подключения из внутренней сети

Подключениям из локальной сети не разрешается автоматически обходить правила клиентского доступа. Поэтому при создании правил клиентского доступа, которые блокируют клиентские подключения к Exchange Online, необходимо учитывать, как это может повлиять на подключения из внутренней сети. Предпочитаемый способ разрешить внутренним клиентским подключениям обходить правила клиентского доступа — создать правило с самым высоким приоритетом, которое разрешает клиентские подключения из внутренней сети (со всех или только с определенных IP-адресов). Таким образом, клиентские подключения всегда разрешены, независимо от того, какие блокирующие правила будут созданы в будущем.

Правила клиентского доступа и приложения среднего уровня

Многие приложения, которые обращаются к Exchange Online используют архитектуру среднего уровня (клиенты обращаются к приложению среднего уровня, а приложение среднего уровня взаимодействует с Exchange Online). Правило клиентского доступа, разрешающее доступ только из локальной среды, может блокировать приложения среднего уровня. Таким образом, правила должны разрешать доступ с IP-адресов приложений среднего уровня.

Приложения среднего уровня, принадлежащие корпорации Майкрософт (например, Outlook для iOS и Android), будут обходить блокировку правилами доступа клиентов и всегда будут разрешены. Чтобы предоставить дополнительный контроль над этими приложениями, необходимо использовать доступные в них возможности управления.

Время изменения правил

Для повышения общей производительности правила клиентского доступа используют кэш, поэтому изменения правил вступают в силу не сразу. Чтобы первое правило, созданное в организации, вступило в силу, может потребоваться до 24 часов. После этого изменение, добавление и удаление правил может занимать до одного часа.

Администрирование

PowerShell можно использовать только для управления правилами клиентского доступа, поэтому необходимо быть осторожными с правилами, которые блокируют доступ к удаленной службе PowerShell. Если вы создадите правило, которое блокирует доступ к удаленной оболочке PowerShell, или правило, которое блокирует все протоколы для всех пользователей, вы потеряете возможность самостоятельного исправления правил. Вам потребуется обратиться в службу поддержки майкрософт, и они создадут правило, которое предоставляет удаленный доступ к PowerShell из любого места, чтобы вы могли исправить собственные правила. Обратите внимание, что для этого нового правила может потребоваться до одного часа.

Рекомендуется создать правило клиентского доступа с наивысшим приоритетом, чтобы сохранить доступ к удаленной оболочке PowerShell. Например:

New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

Типы и протоколы проверки подлинности в правилах клиентского доступа

Не все типы проверки подлинности поддерживаются для всех протоколов в правилах клиентского доступа. Поддерживаемые типы проверки подлинности для каждого протокола описаны в этой таблице:

Протокол	AdfsAuthentication	BasicAuthentication	CertificateBasedAuthentication	NonBasicAuthentication	OAuthAuthentication
`ExchangeActiveSync`	н/д	поддерживается	поддерживается	н/д	поддерживается
`ExchangeAdminCenter`¹	поддерживается	поддерживается	н/д	н/д	н/д
`IMAP4`	н/д	поддерживается	н/д	н/д	поддерживается
`OutlookWebApp`	поддерживается	поддерживается	н/д	н/д	н/д
`POP3`	н/д	поддерживается	н/д	н/д	поддерживается
`RemotePowerShell`	н/д	поддерживается	н/д	поддерживается	н/д

¹ Этот протокол применяется только к классическому Центру администрирования Exchange (EAC).

Условия и исключения для правил клиентского доступа

Условия и исключения в правилах клиентского доступа определяют, к каким клиентским подключениям правило применяется, а к каким — нет. Например, если правило блокирует доступ клиентов Exchange ActiveSync, можно настроить правило так, чтобы разрешить Exchange ActiveSync подключения из определенного диапазона IP-адресов. В условии и соответствующем исключении используется один и тот же синтаксис. Единственное отличие заключается в том, что условия указывают, к каким клиентским подключениям правило применяется, а исключения — наоборот.

В приведенной ниже таблице описываются условия и исключения, доступные в правилах клиентского доступа.

Параметр Condition в Exchange Online PowerShell	Параметр исключения в Exchange Online PowerShell	Описание
AnyOfAuthenticationTypes	ExceptAnyOfAuthenticationTypes	Допустимые значения: `AdfsAuthentication` `BasicAuthentication` `CertificateBasedAuthentication` `NonBasicAuthentication` `OAuthAuthentication` Вы можете указать несколько значений, разделив их запятыми. Можно использовать кавычки вокруг каждого отдельного значения ("value1","value2"), но не для всех значений (не используйте "value1,value2"). Примечание. Если указан `ExceptAnyOfAuthenticationTypes`параметр , `AnyOfAuthenticationTypes` также должен быть указан.
AnyOfClientIPAddressesOrRanges	ExceptAnyOfClientIPAddressesOrRanges	Поддерживаются адреса IPv4 и IPv6. Допустимые значения: Один IP-адрес: например, 192.168.1.1 или 2001:DB8:2AA:FF:C0A8:640A. Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254 или 2001:DB8:2AA:FF:C0A8:640A-2001:DB8:2AA:FF:C0A8:6414. IP-адрес маршрутизации Inter-Domain (CIDR): например, 192.168.3.1/24 или 2001:DB8:2AA:FF:C0A8:640A/64. Вы можете указать несколько значений, разделив их запятыми. Дополнительные сведения об IPv6-адресах и синтаксисе см. в разделе Exchange 2013: IPv6-адреса основы.
AnyOfProtocols	ExceptAnyOfProtocols	Допустимые значения: `ExchangeActiveSync` `ExchangeAdminCenter`¹ `ExchangeWebServices` `IMAP4` `OfflineAddressBook` `OutlookAnywhere` (включает MAPI через HTTP) `OutlookWebApp` (Outlook в Интернете). `POP3` `PowerShellWebServices` `RemotePowerShell` `REST` Вы можете указать несколько значений, разделив их запятыми. Можно использовать кавычки вокруг каждого отдельного значения ("value1","value2"), но не для всех значений (не используйте "value1,value2"). Примечание. Если в правиле не используется это условие, то правило применяется ко всем протоколам.
Scope	н/д	Задает тип подключений, к которым применяется правило. Допустимые значения: `Users`: правило применяется только к подключениям конечных пользователей. `All`: правило применяется ко всем типам подключений (конечным пользователям и приложениям среднего уровня).
UsernameMatchesAnyOfPatterns	ExceptUsernameMatchesAnyOfPatterns	Принимает текст и подстановочный знак () для идентификации имени учетной записи пользователя в формате `<Domain>\<UserName>` (например, `contoso.com\jeff` или `jeff`, но не `jeff`). Для символов, не являющихся буквенно-цифровыми, не требуются escape-символы. Вы можете указать несколько значений, разделив их запятыми.
UserRecipientFilter	н/д	Указывает пользователя, к которому применяется правило, с помощью синтаксиса фильтра OPath. Например, `"City -eq 'Redmond'"`. Фильтруемые атрибуты: `City` `Company` `CountryOrRegion` `CustomAttribute1` меняется на `CustomAttribute15` `Department` `Office` `PostalCode` `StateOrProvince` `StreetAddress` Для критериев поиска используется следующий синтаксис: `"<Property> -<Comparison operator> '<Value>'"`. `<Property>` является фильтруемым свойством. `-<Comparison Operator>` — оператор сравнения OPATH. Например, `-eq` для точных совпадений (подстановочные знаки не поддерживаются) и `-like` для сравнения строк (для которого требуется по крайней мере один подстановочный знак в значении свойства). Подробнее об операторах сравнения см. в статье about_Comparison_Operators. `<Value>` — это значение свойства. Текстовые значения с пробелами или без нее или значения с подстановочными знаками () должны быть заключены в кавычки (например, `'<Value>'` или `'<Value>'`). Не используйте кавычки с системным значением `$null` (для пустых значений). Можно связать несколько условий поиска вместе с помощью логических операторов `-and` и `-or`. Например, `"<Criteria1> -and <Criteria2>"` или `"(<Criteria1> -and <Criteria2>) -or <Criteria3>"`. Дополнительные сведения о синтаксисе фильтра OPATH см. в разделе Дополнительные сведения о синтаксисе OPATH.