本文為機器翻譯文章。如需檢視英文版,請選取 [原文] 核取方塊。您也可以將滑鼠指標移到文字上,即可在快顯視窗顯示英文原文。
譯文
原文

Exchange Online 中的用戶端存取規則

Exchange Online
 

適用版本:Exchange Online

上次修改主題的時間:2017-11-28

摘要: 了解管理員如何使用用戶端存取規則來允許或封鎖不同類型的Exchange Online的用戶端連線。

用戶端存取規則協助您控制用戶端存取要求或用戶端屬性為基礎的Exchange Online組織的存取。用戶端存取規則是類似郵件流程規則 (也稱為傳輸規則) Exchange Online組織的用戶端連線。您可以防止用戶端連線至Exchange Online根據其 IP 位址、 驗證類型和使用者屬性值和通訊協定、 應用程式、 服務、 或他們正在使用連線的資源。例如:

  • 允許從特定的 IP 位址Exchange ActiveSync用戶端存取和封鎖所有其他ActiveSync用戶端。

  • 封鎖存取網頁型 Outlook (前身為網頁型 Outlook) 的特定群組的成員。

  • 封鎖存取Exchange Web 服務 (EWS) 的特定部門、 城市 (英文) 或國家/地區的使用者。

  • 根據其使用者名稱的特定使用者的 [封鎖離線通訊錄 (OAB) 存取。

  • 防止使用同盟的驗證的用戶端存取。

  • 防止使用Exchange Online PowerShell的用戶端存取。

  • 封鎖存取Exchange 系統管理中心 (EAC) 中特定的國家或地區的使用者。

用戶端存取規則程序,請參閱程序的用戶端存取規則 in Exchange Online

規則是由的條件、 例外狀況、 動作和優先順序值。

  • 條件  識別要套用的動作的用戶端連線。如條件的完整清單,請參閱本主題稍後的用戶端存取規則條件和例外狀況] 區段。當用戶端連線符合規則的條件時,巨集指令會套用至用戶端連線和規則評估停駐點 (沒有多個規則會套用到連線)。

  • 例外狀況  (選用) 識別巨集指令不應該套用至用戶端連線。例外條件會覆寫和即使連線會比對所有已設定條件的防止從套用至連線的規則動作。規則評估會繼續執行用戶端連線所允許的例外狀況,但後續規則仍會影響連線。

  • 巨集指令  這會指定用戶端連線符合的條件規則中並不符合任何例外狀況。有效的動作是:

    • 允許連線 ( Action參數AllowAccess值)。

    • 封鎖的連線 ( Action參數DenyAccess值)。

    請注意: 當您封鎖特定通訊協定的連線時,請在相同的通訊協定依賴其他應用程式可能也會受到影響。

  • 優先順序  指出規則會套用至用戶端連線 (較低的數字表示較高的優先順序) 順序。預設的優先順序時建立規則根據 (舊規則有較高的優先順序比較新的規則) 和之前較低優先順序規則處理較高的優先順序規則。請記住,一旦用戶端連線符合的條件規則中規則處理停駐點。

    如需設定規則的優先順序值的詳細資訊,請參閱Use Exchange Online PowerShell 來設定用戶端存取規則的優先順序

如何將多個相同的條件規則所評估,並與多個條件、 條件值、 例外狀況規則的評估方式下表所述。

 

元件 邏輯 註解

多個規則包含相同的條件

第一個規則會套用,則後續規則會略過

例如,如果您最高優先順序規則封鎖網頁型 Outlook連線,以及您建立可讓網頁型 Outlook連線特定的 IP 位址範圍的另一個規則,所有網頁型 Outlook連線仍第一個規則封鎖。而不是建立另一個規則網頁型 Outlook,您需要新增至允許來自指定 IP 位址範圍新增連線至現有的網頁型 Outlook規則的例外狀況。

一個規則中的多個條件

AND

用戶端連線必須符合規則中的所有條件。例如,EWS 連線會計部門中的使用者。

包含規則中的多個值的一個條件

允許多個值的條件、 連線必須符合其中任何一個 (不是所有) 指定的條件。例如,EWS 或 IMAP4 的連線。

一個規則中的多個例外狀況

如果用戶端連線符合任一例外狀況,動作會不會套用至用戶端連線。連線沒有符合所有例外狀況。例如,IP 位址 19.2.168.1.1 或基本驗證。

您可以測試的特定用戶端連線方式會影響用戶端存取規則 (哪些規則會比對與因此會影響連線)。如需詳細資訊,請參閱Use Exchange Online PowerShell 來測試用戶端存取規則

從區域網路連線不會自動可以略過用戶端存取規則。因此,當您建立封鎖Exchange Online的用戶端連線的用戶端存取規則,您需要考慮可能會影響內部網路的連線。若要允許內部用戶端連線至略過用戶端存取規則的慣用的方法是建立可讓用戶端從內部網路連線的最高優先順序規則 (所有或特定 IP 位址)。如此一來,用戶端連線永遠允許,不論任何其他封鎖您建立的規則未來。

存取Exchange Online的許多應用程式使用的中介層架構 (中間層應用程式的用戶端 talk 和Exchange Online中間層應用程式與)。只允許從區域網路存取用戶端存取規則可能會封鎖中間層應用程式。如此,您的規則需要允許的中介層應用程式的 IP 位址。

Microsoft (例如 Outlook for iOS) 及 Android 所擁有的中介層應用程式將會略過封鎖的用戶端存取規則,而且一律會允許。若要提供其他控制這些應用程式,您需要使用之應用程式中可用的控制項功能。

若要改善的整體效能,用戶端存取規則會使用快取,這表示變更規則不立即生效。在組織中建立的第一個規則可能需要 24 小時的時間才會生效。後,修改、 加入或移除的規則可能需要一小時才會生效。

您僅可使用遠端 PowerShell 來管理用戶端存取規則,因此您必須小心封鎖遠端 PowerShell 您存取規則的相關。如果您建立規則封鎖遠端 powershell,在存取或如果您建立規則,封鎖所有通訊協定的所有人,您將會失去自行規則的能力。您需要呼叫 Microsoft 客戶服務與支援部門,並會建立可以讓您遠端 PowerShell 存取從任何地方以便修正您自己的規則的規則。請注意,可能需要一小時才會生效這個新的規則。

條件和例外狀況的用戶端存取規則來識別此規則會套用到或不會套用至用戶端連線。例如,如果規則封鎖存取Exchange ActiveSync用戶端,您可以設定規則以允許來自特定 IP 位址範圍Exchange ActiveSync連線。下列的語法為相同的條件及相對應的例外狀況。唯一的不同是條件指定包含時例外規則指定要排除的用戶端連線的用戶端連線。

此表說明條件和用戶端存取規則中可用的例外狀況:

 

條件中Exchange Online PowerShell參數 Exchange Online PowerShell中的例外狀況參數 描述

AnyOfAuthenticationTypes

ExceptAnyOfAuthenticationTypes

有效值為:

  • AdfsAuthentication

  • BasicAuthentication

  • CertificateBasedAuthentication

  • NonBasicAuthentication

  • OAuthAuthentication

您可以指定多個以逗號分隔的值。

AnyOfClientIPAddressesOrRanges

ExceptAnyOfClientIPAddressesOrRanges

有效值為:

  • 單一 IP 位址   例如,192.168.1.1

  • IP 位址範圍   例如,192.168.0.1-192.168.0.254

  • 無類別網域間路由選擇 (CIDR) IP   例如,192.168.3.1/24

您可以指定多個以逗號分隔的值。

AnyOfProtocols

ExceptAnyOfProtocols

有效值為:

  • ExchangeActiveSync

  • ExchangeAdminCenter

  • ExchangeWebServices

  • IMAP4

  • OfflineAddressBook

  • OutlookAnywhere(包括 MAPI over HTTP)

  • OutlookWebApp (網頁型 Outlook)

  • POP3

  • PowerShellWebServices

  • RemotePowerShell

  • REST

您可以指定多個以逗號分隔的值。

請注意: 如果您未使用此條件規則中,規則會套用至所有通訊協定。

Scope

不適用

會指定此規則會套用至連線類型。有效值如下:

  • Users  此規則只適用於使用者的連線。

  • All  規則套用至所有類型的連線 (使用者和中間層應用程式)。

UsernameMatchesAnyOfPatterns

ExceptUsernameMatchesAnyOfPatterns

接受文字和萬用字元 (*) 來識別使用者的帳戶名稱。非英數字元不需要的逸出字元。

您可以指定多個以逗號分隔的值。

UserRecipientFilter

不適用

使用 OPath 篩選語法來識別此規則會套用至使用者。例如, {City -eq 'Redmond'}。可篩選屬性為:

  • City

  • Company

  • CountryOrRegion

  • CustomAttribute1CustomAttribute15

  • Department

  • Office

  • PostalCode

  • StateOrProvince

  • StreetAddress

搜尋準則會使用語法{<Property> -<Comparison operator> '<Value>'}

  • <Property> 是可篩選的屬性。

  • -<Comparison Operator> 是 OPATH 比較運算子。例如-eq完全相符 (不支援萬用字元) 和-like的字串比較 (這需要至少一個萬用字元在屬性值)。如需比較運算子的詳細資訊,請參閱 < about_Comparison_Operators

  • <Value> 為此屬性值。使用或不含空格的文字值或使用萬用字元 (*) 的值必須以引號括住 (例如'<Value>''*<Value>')。不要使用引號 (適用於空白值) 的系統值$null或整數。

您可以使用邏輯運算子 -and-or 將多個搜尋準則鏈結在一起。例如,{<Criteria1>) -and <Criteria2>}{(<Criteria1> -and <Criteria2>) -or <Criteria3>}

 
顯示: