Данная статья переведена с помощью средств машинного перевода. Чтобы просмотреть ее на английском языке, установите флажок Английский. Вы также можете просматривать английский текст во всплывающем окне, наводя указатель мыши на переведенный текст.
Перевод
Английский

Правила клиентского доступа в Exchange Online

Exchange Online
 

Применимо к:Exchange Online

Последнее изменение раздела:2018-06-11

Сводка. Узнайте, как администраторы могут использовать правила клиентского доступа, чтобы разрешать или блокировать клиентские подключения различных типов к Exchange Online.

Правила клиентского доступа помогают управлять доступом к организации Exchange Online, учитывая свойства клиента и запросы на клиентский доступ. Правила клиентского доступа подобны правилам потока обработки почты (другое название — правила транспорта) для клиентских подключений к организации Exchange Online. Вы можете запрещать клиентам подключаться к Exchange Online в зависимости от IP-адреса, типа проверки подлинности и значений свойств пользователя, а также протокола, приложения, службы или ресурса, используемого для подключения. Примеры:

  • разрешение доступа к клиентам Exchange ActiveSync с определенных IP-адресов и блокировка всех остальных клиентов ActiveSync;

  • блокировка доступа к веб-службы Exchange (EWS) для пользователей из определенных отделов, городов или стран;

  • блокировка доступа к автономной адресной книге для определенных пользователей, указанных по именам;

  • предотвращение клиентского доступа с использованием федеративной проверки подлинности;

  • предотвращение клиентского доступа с использованием Exchange Online PowerShell;

  • блокирование доступа к Центру администрирования Exchange для пользователей в определенных стране или регионе.

Процедуры для работы с правилами клиентского доступа описаны в статье Процедуры для правил клиентского доступа в Exchange Online.

Правило состоит из условий, исключений, действия и значения приоритета.

  • Условия: определение клиентских подключений, чтобы применить действие. Полный список условий обратитесь к разделу правила доступа клиента условий и исключений данного раздела. Если подключение к клиенту соответствует условиям правила, действие применяется к подключение клиента и останавливает оценки правила (без дополнительных правил не применяются к подключению).

  • Исключения: при необходимости идентификации клиентских подключений, которые не следует применить действие. Исключения переопределить условия и запретить действие правила применять к подключения, даже в том случае, если подключение сопоставляет все настроенные условия. Правило оценки по-прежнему производится для клиентских подключений, разрешенных исключения, но последующие правила по-прежнему могут повлиять на подключение.

  • Действие: Указывает, что следует сделать для клиентских подключений, которые соответствуют условиям этого правила, а не соответствует ни одному из исключений. Необходимо допустимое действия.

    • разрешение подключения (значение AllowAccess параметра Action);

    • Блокировать подключения ( DenyAccess значение для параметра Action ).

    Примечание. Блокировка подключений по определенному протоколу может повлиять на другие приложения, использующие этот протокол.

  • Приоритет: Указывает порядок применения правил для клиентских подключений (меньшее число обозначает более высокий приоритет). При создании правила на основе приоритета по умолчанию (старые правила имеют более высокий приоритет, чем новые правила), и более высокого приоритета правила обрабатываются раньше, чем меньше приоритет правила. Не забывайте, правила останавливает обработку после подключения клиента соответствует условиям этого правила.

    Дополнительные сведения об установке значения приоритета для правил см. в статье Установка приоритета правил клиентского доступа с помощью Exchange Online PowerShell.

В приведенной ниже таблице описывается оценка нескольких правил, включающих одно и то же условие, а также правил с несколькими условиями, значениями условий и исключениями.

 

Компонент Логический оператор Комментарии

Несколько правил, содержащих одно условие

Первое правило применяется, а последующие пропускаются

Например, если правило с высоким приоритетом блокирует подключения Outlook в Интернете, а вы создаете еще одно правило, разрешающее подключения Outlook в Интернете для определенного диапазона IP-адресов, то все подключения Outlook в Интернете все еще блокируются первым правилом. Вместо того чтобы создавать еще одно правило для Outlook в Интернете, необходимо добавить к существующему правилу Outlook в Интернете исключение, разрешающее подключения с указанного диапазона IP-адресов.

Несколько условий в одном правиле

И

Клиентское подключение должно соответствовать всем условиям правила. Пример: подключения EWS от пользователей в отделе бухгалтерского учета.

Одно условие с несколькими значениями

ИЛИ

Для условий, в которых разрешено несколько значений, подключение должно соответствовать одному (не всем) из указанных условий. Примеры: подключения EWS или IMAP4.

Несколько исключений в одном правиле

ИЛИ

Если клиентское подключение соответствует какому-либо из исключений, то к нему не применяются действия. Подключению не обязательно соответствовать всем исключениям. Примеры: IP-адрес 19.2.168.1.1 или обычная проверка подлинности.

Вы можете проверить, как правила клиентского доступа повлияют на то или иное клиентское подключение (какие правила будут к нему применяться). Дополнительные сведения см. в статье Тестирование правил клиентского доступа с помощью Exchange Online PowerShell.

Подключениям из локальной сети не разрешается автоматически обходить правила клиентского доступа. Следовательно, при создании правил клиентского доступа, блокирующих клиентские подключения к Exchange Online, необходимо учитывать, как это повлияет на подключения из внутренней сети. Предпочитаемый способ разрешить внутренним клиентским подключениям обходить правила клиентского доступа — создать правило с самым высоким приоритетом, которое разрешает клиентские подключения из внутренней сети (со всех или только с определенных IP-адресов). Таким образом, клиентские подключения всегда разрешены, независимо от того, какие блокирующие правила будут созданы в будущем.

Многие приложения, получающие доступ к Exchange Online, используют архитектуру среднего уровня (клиент обращается к приложению среднего уровня, а это приложение — к Exchange Online). Правило клиентского доступа, разрешающее доступ только из локальной среды, может блокировать приложения среднего уровня. Таким образом, правила должны разрешать доступ с IP-адресов приложений среднего уровня.

Приложения среднего уровня, принадлежащие Майкрософт (например, Outlook для iOS и Android), обходят блокировку правилами клиентского доступа и всегда разрешены. Чтобы предоставить дополнительный контроль над этими приложениями, необходимо использовать доступные в них возможности управления.

Для повышения общей производительности правила клиентского доступа используют кэш, поэтому изменения правил вступают в силу не сразу. Чтобы первое правило, созданное в организации, вступило в силу, может потребоваться до 24 часов. После этого изменение, добавление и удаление правил может занимать до одного часа.

Remote PowerShell можно использовать только для управления правилами доступа клиентов, поэтому необходимо соблюдать осторожность правил, заблокируйте доступ к удаленной оболочки PowerShell. Если создать правило, которое блокирует доступ к удаленной консоли PowerShell или при создании правила, который блокирует все протоколы для всех пользователей, будут потеряны возможность самостоятельного решения правила. Вам потребуется вызова служба поддержки клиентов и поддержки, и они будут создать правило, которое предоставляет удаленный доступ к PowerShell из в любом месте, можно устранить собственные правила. Обратите внимание на то, что может потребоваться до одного часа для него новый вступили в силу.

Рекомендуется создайте правило доступа клиентов с наивысшим приоритетом, чтобы сохранить доступ к удаленной оболочки PowerShell. Например:

New-ClientAccessRule -Name AllowRemotePS -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

Не все типы проверки подлинности поддерживаются для всех протоколов. В следующей таблице описываются поддерживаемые типы проверки подлинности каждого протокола:

 

  AdfsAuthentication BasicAuthentication CertificateBasedAuthentication NonBasicAuthentication OAuthAuthentication

ExchangeActiveSync

Недопустимая комбинация

поддерживается

поддерживается

Недопустимая комбинация

поддерживается

ExchangeAdminCenter

поддерживается

поддерживается

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

ExchangeWebServices

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

IMAP4

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

OfflineAddressBook

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

OutlookAnywhere

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Н/Д

OutlookWebApp

поддерживается

поддерживается

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

POP3

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

PowerShellWebServices

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

RemotePowerShell

Недопустимая комбинация

поддерживается

Недопустимая комбинация

поддерживается

Недопустимая комбинация

REST

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Недопустимая комбинация

Условия и исключения в правилах клиентского доступа определяют, к каким клиентским подключениям правило применяется, а к каким — нет. Например, если правило блокирует доступ к клиентам Exchange ActiveSync, то вы можете настроить правило, разрешающее подключения Exchange ActiveSync с определенного диапазона IP-адресов. В условии и соответствующем исключении используется один и тот же синтаксис. Единственное отличие заключается в том, что условия указывают, к каким клиентским подключениям правило применяется, а исключения — наоборот.

В приведенной ниже таблице описываются условия и исключения, доступные в правилах клиентского доступа.

 

Параметр условия в Exchange Online PowerShell Параметр исключения в Exchange Online PowerShell Описание

AnyOfAuthenticationTypes

ExceptAnyOfAuthenticationTypes

Допускаются следующие значения:

  • AdfsAuthentication

  • BasicAuthentication

  • CertificateBasedAuthentication

  • NonBasicAuthentication

  • OAuthAuthentication

Можно указать несколько значений, разделенных запятыми. Можно использовать каждого отдельного значения в кавычки (»value1«,»value2«), но не вокруг все значения (не используйте «value1,value2»).

AnyOfClientIPAddressesOrRanges

ExceptAnyOfClientIPAddressesOrRanges

Допускаются следующие значения:

  • Один IP-адрес: например, 192.168.1.1.

  • Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.

  • IP-адрес бесклассовую междоменного маршрутизацию (CIDR): например, 192.168.3.1/24.

Можно указать несколько значений, разделенных запятыми.

AnyOfProtocols

ExceptAnyOfProtocols

Допускаются следующие значения:

  • ExchangeActiveSync

  • ExchangeAdminCenter

  • ExchangeWebServices

  • IMAP4

  • OfflineAddressBook

  • OutlookAnywhere (включает протокол MAPI/HTTP)

  • OutlookWebApp (Outlook в Интернете)

  • POP3

  • PowerShellWebServices

  • RemotePowerShell

  • REST

Можно указать несколько значений, разделенных запятыми. Можно использовать каждого отдельного значения в кавычки (»value1«,»value2«), но не вокруг все значения (не используйте «value1,value2»).

Примечание. Если в правиле не используется это условие, то правило применяется ко всем протоколам.

Scope

Н/Д

Задает тип подключений, к которым применяется правило. Допускаются следующие значения:

  • Users: правило применяется только к подключений конечных пользователей.

  • All: правило применяется ко всем типам подключения (конечные пользователи и приложения среднего уровня).

UsernameMatchesAnyOfPatterns

ExceptUsernameMatchesAnyOfPatterns

Принимает текст и подстановочный знак (*) для определения имени учетной записи пользователя в формате <Domain>\<UserName> (например, contoso.com\jeff или *jeff*, но не jeff*). Символы не требуется escape-символ.

Можно указать несколько значений, разделенных запятыми.

UserRecipientFilter

Н/Д

Указывает пользователя, к которому применяется правило, с помощью синтаксиса фильтра OPath. Пример: {City -eq 'Redmond'}. Фильтруемые атрибуты:

  • City

  • Company

  • CountryOrRegion

  • От CustomAttribute1 до CustomAttribute15

  • Department

  • Office

  • PostalCode

  • StateOrProvince

  • StreetAddress

Для критериев поиска используется следующий синтаксис: {<Property> -<Comparison operator> '<Value>'}.

  • <Property>  — это свойство с поддержкой фильтрации.

  • -<Comparison Operator>  — это оператор сравнения OPATH. Примеры: -eq для точных совпадений (подстановочные знаки не поддерживаются) и -like для сравнения строк (для этого требуется как минимум один подстановочный знак в значении свойства). Дополнительные сведения об операторах сравнения см. в статье Сведения об операторах сравнения.

  • <Value>  — это значение свойства. Текстовые значения (как с пробелами, так и без них) и значения с подстановочными знаками (*) необходимо заключать в кавычки (например, '<Value>' или '*<Value>'). Не используйте кавычки с системным значением $null (для пустых значений) и целыми числами.

Вы можете объединить нескольких критериев поиска, используя логические операторы -and и -or. Например, {<Criteria1>) -and <Criteria2>} или {(<Criteria1> -and <Criteria2>) -or <Criteria3>}.

 
Показ: