Exchange Online 中的用戶端存取規則

發行項
03/19/2023

摘要：了解系統管理員如何使用用戶端存取規則來允許或封鎖用戶端對 Exchange Online 的不同類型連線。

用戶端存取規則可協助您根據用戶端屬性或用戶端存取要求來控制 Exchange Online 組織的存取權。對於用戶端對 Exchange Online 組織的連線來說，用戶端存取規則就像是郵件流程規則 (也稱為傳輸規則)。您可以根據用戶端的 IP 位址 (IPv4 和 IPv6) 、驗證類型和使用者屬性值，以及用來連線的通訊協定、應用程式、服務或資源，防止用戶端連線到Exchange Online。例如：

允許從特定 IP 位址存取 Exchange ActiveSync 用戶端，並封鎖所有其他 ActiveSync 用戶端。
封鎖特定部門、城市或國家/地區的使用者存取 Exchange Web 服務 (EWS) 。
針對特定使用者，根據其使用者名稱來封鎖離線通訊錄 (OAB) 的存取權。
防止使用同盟驗證進行用戶端存取。
防止使用 Exchange Online PowerShell 進行用戶端存取。
封鎖特定國家或地區的使用者存取傳統 Exchange 系統管理中心 (EAC) 。

如需用戶端存取規則的程序，請參閱 Exchange Online 中的用戶端存取規則程序。

注意事項

用戶端存取規則不支援使用 EWS 模擬時封鎖服務帳戶存取。

從 2022 年 10 月開始，我們已針對所有未使用這些規則的現有Exchange Online組織，停用用戶端存取規則的存取權。在 2023 年 10 月，所有Exchange Online組織的用戶端存取規則支援都將終止。如需詳細資訊，請參閱在Exchange Online 中取代用戶端存取規則。

用戶端存取規則元件

規則是由條件、例外狀況、動作和優先順序值所組成。

條件：可識別要套用動作的用戶端連線。如需條件的完整清單，請參閱本主題稍後的用戶端存取規則條件和例外狀況章節。當用戶端連線符合規則的條件時，系統便會對該用戶端連線套用動作，並停止規則評估 (亦即不會再對該連線套用其他規則)。
例外狀況：(選擇性) 可識別不應套用動作的用戶端連線。例外狀況可覆寫條件並防止規則動作套用到連線，即使連線符合所有設定的條件也是如此。例外狀況所允許的用戶端連線會繼續進行規則評估，但後續規則仍會影響連線。
動作：指定要對符合規則條件，但不符合任何例外狀況的用戶端連線採取什麼動作。有效動作如下：
- 允許連線 (Action 參數的 AllowAccess 值)。
- 封鎖連線 (Action 參數的 DenyAccess 值)。
  
  注意：當您封鎖特定通訊協定的連線時，其他仰賴相同通訊協定的應用程式可能也會受到影響。
優先順序：指出要將規則套用至用戶端連線的順序 (值越小表示優先順序越高)。預設優先順序是以規則的建立時間為基礎 (較舊規則的優先順序高於較新的規則)，而較高優先順序的規則會在較低優先順序的規則之前處理。請記住，一旦用戶端連線符合規則條件時，規則便會停止處理。

如需如何對規則設定優先順序值的詳細資訊，請參閱使用 Exchange Online PowerShell 來設定用戶端存取規則的優先順序。

用戶端存取規則的評估方式

下表會說明如何評估數個有相同條件的規則，以及如何評估有多個條件、條件值和例外狀況的規則。

元件	邏輯	註解
多個規則有相同條件	會套用第一個規則，並忽略後續規則	例如，如果優先順序最高的規則會封鎖 Web 連線上的 Outlook，但您又建立了另一個規則來允許特定 IP 位址範圍的 Web 連線執行 Outlook，則 Web 連線上的所有 Outlook 仍會遭到第一個規則封鎖。您不該在 Web 上為 Outlook 建立另一個規則，而是必須在 Web 規則上對現有 Outlook 新增例外狀況，以允許來自指定 IP 位址範圍的連線。
一個規則有多個條件	AND	用戶端連線必須符合規則中的所有條件。例如，來自會計部門使用者的 EWS 連線。
規則中的一個條件有多個值	OR	對於允許多個值的條件，連線必須符合任何一個 (而非全部) 指定條件。例如，EWS 或 IMAP4 連線。
一個規則有多個例外狀況	OR	如果用戶端連線符合任何一個例外狀況，系統便不會對用戶端連線套用動作。連線不必符合所有例外狀況。例如，IP 位址 192.168.1.1 或基本驗證。

您可以測試特定用戶端連線會如何受到用戶端存取規則影響 (會符合什麼規則，因而會影響連線)。如需詳細資訊，請參閱使用 Exchange Online PowerShell 來測試用戶端存取規則。

注意事項

用戶端存取規則會在驗證之後評估，而且無法用來封鎖原始連線或驗證嘗試。

重要提示

來自內部網路的用戶端連線

系統不會自動允許來自區域網路的連線略過用戶端存取規則。因此，當您建立了用戶端存取規則來封鎖用戶端對 Exchange Online 的連線時，您需要考慮來自內部網路的連線會受到怎樣的影響。若要允許內部的用戶端連線略過用戶端存取規則，比較好的方法是建立最高優先順序的規則以允許來自內部網路 (所有或特定 IP 位址) 的用戶端連線。如此一來，系統便會永遠允許用戶端連線，而不理會其他任何您以後建立的封鎖規則。

用戶端存取規則和中介層應用程式

許多存取 Exchange Online 的應用程式都使用中介層架構 (用戶端與中介層應用程式通訊，中介層應用程式再與 Exchange Online 通訊)。只允許從區域網路存取的用戶端存取規則可能會封鎖中介層應用程式。因此，您的規則必須允許中介層應用程式的 IP 位址。

Microsoft 所擁有的中介層應用程式 (例如 iOS 版和 Android 版 Outlook) 會掠過用戶端存取規則的封鎖，因此系統會永遠允許其執行。為了能夠對這些應用程式進行其他控制，您必須使用應用程式所提供的控制功能。

變更規則的時機

為了提升整體效能，用戶端存取規則會使用快取，這表示規則變更不會立即生效。您在組織中建立的第一個規則最多可能要 24 小時才會生效。在這之後，修改、新增或移除規則最多可能要一小時才會生效。

系統管理

您只能使用 PowerShell 來管理用戶端存取規則，因此您必須小心封鎖遠端 PowerShell 存取的規則。如果您建立規則來封鎖對遠端 PowerShell 的存取，或如果您建立規則來封鎖所有人的所有通訊協定，您就無法再自行修正規則。您必須連絡 Microsoft 客戶服務和支援，由他們建立規則來讓您能夠從任何地方存取遠端 PowerShell，以便您可以修正自己的規則。請注意，最多可能需要一小時，這個新規則才會生效。

最佳做法是建立優先順序最高的用戶端存取規則，以保留對遠端 PowerShell 的存取權。例如：

New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

用戶端存取規則中的驗證類型和通訊協定

用戶端存取規則中的通訊協定並非全都支援所有驗證類型。下表說明每個通訊協定所支援的驗證類型：

Protocol (通訊協定)	AdfsAuthentication	BasicAuthentication	CertificateBasedAuthentication	NonBasicAuthentication	OAuthAuthentication
`ExchangeActiveSync`	n/a	支援	支援	n/a	支援
`ExchangeAdminCenter`¹	支援	支援	n/a	n/a	n/a
`IMAP4`	n/a	支援	n/a	n/a	支援
`OutlookWebApp`	支援	支援	n/a	n/a	n/a
`POP3`	n/a	支援	n/a	n/a	支援
`RemotePowerShell`	n/a	支援	n/a	支援	n/a

¹ 此通訊協定僅適用于傳統 Exchange 系統管理中心 (EAC) 。

用戶端存取規則的條件和例外狀況

用戶端存取規則中的條件和例外狀況可識別用戶端連線是否要套用規則。例如，如果規則封鎖 Exchange ActiveSync 用戶端的存取，則可以設定規則來允許特定 IP 位址範圍的 Exchange ActiveSync 連線。條件和所對應例外狀況的語法是相同的。唯一的差別在於條件會指定要包含的用戶端連線，例外狀況則會指定要排除的用戶端連線。

下表說明用戶端存取規則所提供的條件和例外狀況：

Exchange Online PowerShell 中的條件參數	Exchange Online PowerShell 中的例外狀況參數	描述
AnyOfAuthenticationTypes	ExceptAnyOfAuthenticationTypes	有效值為： `AdfsAuthentication` `BasicAuthentication` `CertificateBasedAuthentication` `NonBasicAuthentication` `OAuthAuthentication` 您可以指定多個以逗號分隔的值。您可以用引號括住每個個別值 ("value1"、"value2")，但不要括住所有值 (不要使用 "value1,value2")。注意：如果指定 `ExceptAnyOfAuthenticationTypes` ， `AnyOfAuthenticationTypes` 也必須指定。
AnyOfClientIPAddressesOrRanges	ExceptAnyOfClientIPAddressesOrRanges	支援 IPv4 和 IPv6 位址。有效值為：單一 IP 位址：例如，192.168.1.1 或 2001：DB8：：2AA：FF：C0A8：640A。 IP 位址範圍：例如，192.168.0.1-192.168.0.254 或 2001：DB8：：2AA：FF：C0A8：640A-2001：DB8：：2AA：FF：C0A8：6414。無類別Inter-Domain路由 (CIDR) IP：例如，192.168.3.1/24 或 2001：DB8：：2AA：FF：C0A8：640A/64。您可以指定多個以逗號分隔的值。有關 IPv6 位址和語法的詳細資訊，請參閱此 Exchange 2013 主題：IPv6 位址基礎。
AnyOfProtocols	ExceptAnyOfProtocols	有效值為： `ExchangeActiveSync` `ExchangeAdminCenter`¹ `ExchangeWebServices` `IMAP4` `OfflineAddressBook` `OutlookAnywhere` (包含透過 HTTP) 的 MAPI `OutlookWebApp` (Outlook 網頁版) `POP3` `PowerShellWebServices` `RemotePowerShell` `REST` 您可以指定多個以逗號分隔的值。您可以用引號括住每個個別值 ("value1"、"value2")，但不要括住所有值 (不要使用 "value1,value2")。注意：如果您不在規則中使用此條件，系統便會將此規則套用至「所有」通訊協定。
Scope	n/a	指定要套用規則的連線類型。有效值為： `Users`：此規則僅適用于使用者連線。 `All`：此規則適用于所有類型的連線， (使用者和仲介層應用程式) 。
UsernameMatchesAnyOfPatterns	ExceptUsernameMatchesAnyOfPatterns	接受文字和萬用字元 () ，以 (或格式識別使用者的帳戶名稱 `<Domain>\<UserName>` ， `contoso.com\jeffjeff` 但不 `jeff`) 。非英數字元不需要逸出字元。您可以指定多個以逗號分隔的值。
UserRecipientFilter	n/a	使用 OPath 篩選語法來識別要套用規則的使用者。例如，`"City -eq 'Redmond'"`。可篩選的屬性如下： `City` `Company` `CountryOrRegion` `CustomAttribute1` 到 `CustomAttribute15` `Department` `Office` `PostalCode` `StateOrProvince` `StreetAddress` 搜尋準則使用語法 `"<Property> -<Comparison operator> '<Value>'"`。 `<Property>` 是可篩選的屬性。 `-<Comparison Operator>` 是 OPATH 比較運算子。例如，`-eq` 代表完全相符 (不支援萬用字元) 且 `-like` 代表字串比較 (這需要屬性值中至少有一個萬用字元)。如需比較運算子的詳細資訊，請參閱 about_Comparison_Operators。 `<Value>` 是屬性值。具有或不含空格的文字值或具有萬用字元的值 () 必須以引號括住 (例如或 `'<Value>''<Value>'`) 。請勿將引號與系統值 `$null` (一起用於空白值) 。您可以使用邏輯運算子 `-and` 和 `-or` 將多個搜尋準則鏈結在一起。例如，`"<Criteria1> -and <Criteria2>"` 或 `"(<Criteria1> -and <Criteria2>) -or <Criteria3>"`。如需 OPATH 篩選語法的詳細資訊，請參閱其他 OPATH 語法資訊。