Reglas de acceso de cliente en Exchange Online

  • Artículo

Resumen: obtenga información sobre cómo los administradores pueden usar reglas de acceso de cliente para permitir o bloquear diferentes tipos de conexiones de cliente a Exchange Online.

Las reglas de acceso de cliente le ayudan a controlar el acceso a la organización de Exchange Online en función de las propiedades de cliente o las solicitudes de acceso de cliente. Las reglas de acceso de cliente son como las reglas de flujo de correo (también conocidas como reglas de transporte) para las conexiones de cliente a la organización Exchange Online. Puede impedir que los clientes se conecten a Exchange Online en función de su dirección IP (IPv4 e IPv6), el tipo de autenticación y los valores de propiedad de usuario, y el protocolo, la aplicación, el servicio o el recurso que usan para conectarse. Por ejemplo:

  • Permitir el acceso a Exchange ActiveSync clientes desde direcciones IP específicas y bloquear todos los demás clientes de ActiveSync.
  • Bloquear el acceso a Exchange Web Services (EWS) para los usuarios de departamentos, ciudades o países o regiones específicos.
  • Bloquear el acceso a una libreta de direcciones sin conexión (OAB) para usuarios específicos en función de sus nombres de usuario.
  • Impedir el acceso de cliente mediante la autenticación federada.
  • Impedir el acceso de clientes mediante Exchange Online PowerShell.
  • Bloquear el acceso al Centro de administración de Exchange clásico (EAC) para los usuarios de un país o región concretos.

Para ver los procedimientos de regla de acceso de cliente, consulte Procedimientos para reglas de acceso de cliente en Exchange Online.

Nota:

Bloquear el acceso a la cuenta de servicio cuando se usa la suplantación de EWS no es compatible con las reglas de acceso de cliente.

A partir de octubre de 2022, hemos deshabilitado el acceso a las reglas de acceso de cliente para todas las organizaciones Exchange Online existentes que no las usaban. En octubre de 2023, la compatibilidad con las reglas de acceso de cliente finalizará para todas las organizaciones Exchange Online. Para obtener más información, vea Desuso de las reglas de acceso de cliente en Exchange Online.

Componentes de la regla de acceso de cliente

Una regla se compone de condiciones, excepciones, una acción y un valor de prioridad.

  • Condiciones: identifique las conexiones de cliente a las que se va a aplicar la acción. Para obtener una lista completa de las condiciones, consulte la sección Condiciones y excepciones de la regla de acceso de cliente más adelante en este tema. Cuando una conexión de cliente coincide con las condiciones de una regla, la acción se aplica a la conexión de cliente y la evaluación de reglas se detiene (no se aplican más reglas a la conexión).

  • Excepciones: opcionalmente, identifique las conexiones de cliente a las que no se debe aplicar la acción. Las excepciones invalidan las condiciones e impiden que la acción de regla se aplique a una conexión, incluso si la conexión coincide con todas las condiciones configuradas. La evaluación de reglas continúa para las conexiones de cliente permitidas por la excepción, pero una regla posterior podría seguir afectando a la conexión.

  • Acción: especifica qué hacer con las conexiones de cliente que coinciden con las condiciones de la regla y no coinciden con ninguna de las excepciones. Las acciones válidas son:

    • Permitir la conexión (el AllowAccess valor del parámetro Action ).

    • Bloquee la conexión (el DenyAccess valor del parámetro Action ).

      Nota: Al bloquear las conexiones para un protocolo específico, otras aplicaciones que dependen del mismo protocolo también podrían verse afectadas.

  • Prioridad: indica el orden en que se aplican las reglas a las conexiones de cliente (un número inferior indica una prioridad mayor). La prioridad predeterminada se basa en el momento en que se crea la regla (las reglas anteriores tienen mayor prioridad que las más recientes) y las reglas de prioridad más alta se procesan antes que las de prioridad más baja. Recuerde que el procesamiento de reglas se detiene una vez que la conexión de cliente coincide con las condiciones de la regla.

    Para obtener más información sobre cómo establecer el valor de prioridad en las reglas, consulte Uso de Exchange Online PowerShell para establecer la prioridad de las reglas de acceso de cliente.

Cómo se evalúan las reglas de acceso de cliente

En la tabla siguiente se describe cómo se evalúan varias reglas con la misma condición y cómo se evalúa una regla con varias condiciones, valores de condición y excepciones.

Componente Lógica Comentarios
Varias reglas que contienen la misma condición Se aplica la primera regla y se omiten las reglas posteriores. Por ejemplo, si la regla de mayor prioridad bloquea Outlook en la Web conexiones y crea otra regla que permite conexiones Outlook en la Web para un intervalo de direcciones IP específico, la primera regla sigue bloqueando todas las conexiones Outlook en la Web. En lugar de crear otra regla para Outlook en la Web, debe agregar una excepción a la regla de Outlook en la Web existente para permitir conexiones desde el intervalo de direcciones IP especificado.
Varias condiciones en una regla Y Una conexión de cliente debe coincidir con todas las condiciones de la regla. Por ejemplo, conexiones EWS de usuarios en el departamento de contabilidad.
Una condición con varios valores en una regla O Para las condiciones que permiten más de un valor, la conexión debe coincidir con cualquiera (no todas) de las condiciones especificadas. Por ejemplo, conexiones EWS o IMAP4.
Varias excepciones en una regla O Si una conexión de cliente coincide con cualquiera de las excepciones, las acciones no se aplican a la conexión de cliente. La conexión no tiene que coincidir con todas las excepciones. Por ejemplo, la dirección IP 19.2.168.1.1 o la autenticación básica.

Puede probar cómo una conexión de cliente específica se vería afectada por las reglas de acceso de cliente (qué reglas coincidirían y, por tanto, afectarían a la conexión). Para obtener más información, consulte Uso de Exchange Online PowerShell para probar las reglas de acceso de cliente.

Nota:

Las reglas de acceso de cliente se evalúan después de la autenticación y no se pueden usar para bloquear intentos de conexión o autenticación sin procesar.

Notas importantes

Conexiones de cliente desde la red interna

Las conexiones de la red local no pueden omitir automáticamente las reglas de acceso de cliente. Por lo tanto, al crear reglas de acceso de cliente que bloquean las conexiones de cliente a Exchange Online, debe tener en cuenta cómo podrían verse afectadas las conexiones desde la red interna. El método preferido para permitir que las conexiones de cliente internas omitan las reglas de acceso de cliente es crear una regla de máxima prioridad que permita conexiones de cliente desde la red interna (todas o direcciones IP específicas). De este modo, las conexiones de cliente siempre se permiten, independientemente de cualquier otra regla de bloqueo que cree en el futuro.

Reglas de acceso de cliente y aplicaciones de nivel intermedio

Muchas aplicaciones que acceden a Exchange Online usan una arquitectura de nivel intermedio (los clientes hablan con la aplicación de nivel intermedio y la aplicación de nivel intermedio se comunica con Exchange Online). Una regla de acceso de cliente que solo permite el acceso desde la red local podría bloquear las aplicaciones de nivel intermedio. Por lo tanto, las reglas deben permitir las direcciones IP de las aplicaciones de nivel intermedio.

Las aplicaciones de nivel intermedio propiedad de Microsoft (por ejemplo, Outlook para iOS y Android) omitirán el bloqueo por las reglas de acceso de cliente y siempre se permitirán. Para proporcionar control adicional sobre estas aplicaciones, debe usar las funcionalidades de control que están disponibles en las aplicaciones.

Tiempo para los cambios de regla

Para mejorar el rendimiento general, las reglas de acceso de cliente usan una memoria caché, lo que significa que los cambios en las reglas no surten efecto inmediatamente. La primera regla que cree en su organización puede tardar hasta 24 horas en surtir efecto. Después de eso, la modificación, adición o eliminación de reglas puede tardar hasta una hora en surtir efecto.

Administración

Solo puede usar PowerShell para administrar las reglas de acceso de cliente, por lo que debe tener cuidado con las reglas que bloquean el acceso a PowerShell remoto. Si crea una regla que bloquea el acceso a PowerShell remoto o si crea una regla que bloquea todos los protocolos para todos, perderá la capacidad de corregir las reglas usted mismo. Tendrá que llamar al servicio de atención al cliente y soporte técnico de Microsoft, y crearán una regla que le proporcione acceso remoto a PowerShell desde cualquier lugar para que pueda corregir sus propias reglas. Tenga en cuenta que esta nueva regla puede tardar hasta una hora en surtir efecto.

Como procedimiento recomendado, cree una regla de acceso de cliente con la máxima prioridad para conservar el acceso a PowerShell remoto. Por ejemplo:

New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

Tipos y protocolos de autenticación en reglas de acceso de cliente

No todos los tipos de autenticación se admiten para todos los protocolos de reglas de acceso de cliente. Los tipos de autenticación admitidos por protocolo se describen en esta tabla:

Protocolo AdfsAuthentication BasicAuthentication CertificateBasedAuthentication NonBasicAuthentication OAuthAuthentication
ExchangeActiveSync No aplicable compatible compatible No aplicable compatible
ExchangeAdminCenter1 compatible compatible N/D N/D N/D
IMAP4 N/D compatible N/D N/D compatible
OutlookWebApp compatible compatible N/D N/D N/D
POP3 N/D compatible N/D N/D compatible
RemotePowerShell No aplicable compatible No aplicable compatible No aplicable

1 Este protocolo solo se aplica al Centro de administración de Exchange (EAC) clásico.

Condiciones y excepciones de la regla de acceso de cliente

Las condiciones y excepciones de las reglas de acceso de cliente identifican las conexiones de cliente a las que se aplica o no la regla. Por ejemplo, si la regla bloquea el acceso por Exchange ActiveSync clientes, puede configurar la regla para permitir conexiones Exchange ActiveSync desde un intervalo específico de direcciones IP. La sintaxis es la misma para una condición y la excepción correspondiente. La única diferencia es que las condiciones especifican las conexiones de cliente que se van a incluir, mientras que las excepciones especifican las conexiones de cliente que se van a excluir.

En esta tabla se describen las condiciones y excepciones que están disponibles en reglas de acceso de cliente:

Parámetro condition en Exchange Online PowerShell Parámetro exception en Exchange Online PowerShell Descripción
AnyOfAuthenticationTypes ExceptAnyOfAuthenticationTypes Los valores admitidos son:
  • AdfsAuthentication
  • BasicAuthentication
  • CertificateBasedAuthentication
  • NonBasicAuthentication
  • OAuthAuthentication

Puede especificar distintos valores separados por comas. Puede usar comillas alrededor de cada valor individual ("value1","value2"), pero no alrededor de todos los valores (no use "value1,value2").
Nota: Si se especifica ExceptAnyOfAuthenticationTypes, AnyOfAuthenticationTypes también se debe especificar .
AnyOfClientIPAddressesOrRanges ExceptAnyOfClientIPAddressesOrRanges Se admiten direcciones IPv4 e IPv6. Los valores admitidos son:
  • Una única dirección IP: por ejemplo, 192.168.1.1 o 2001:DB8::2AA:FF:C0A8:640A.
  • Intervalo de direcciones IP: por ejemplo, 192.168.0.1-192.168.0.254 o 2001:DB8::2AA:FF:C0A8:640A-2001:DB8::2AA:FF:C0A8:6414.
  • IP de enrutamiento de Inter-Domain sin clase (CIDR): por ejemplo, 192.168.3.1/24 o 2001:DB8::2AA:FF:C0A8:640A/64.

Puede especificar distintos valores separados por comas.

Para obtener más información sobre las direcciones IPv6 y la sintaxis, vea este tema de Exchange 2013: Conceptos básicos de direcciones IPv6.
AnyOfProtocols ExceptAnyOfProtocols Los valores admitidos son:
  • ExchangeActiveSync
  • ExchangeAdminCenter1
  • ExchangeWebServices
  • IMAP4
  • OfflineAddressBook
  • OutlookAnywhere (incluye MAPI a través de HTTP)
  • OutlookWebApp (Outlook en la Web)
  • POP3
  • PowerShellWebServices
  • RemotePowerShell
  • REST

Puede especificar distintos valores separados por comas. Puede usar comillas alrededor de cada valor individual (" value1","value2"), pero no alrededor de todos los valores (no use "value1,value2").
Nota: Si no usa esta condición en una regla, la regla se aplica a todos los protocolos.
Scope No aplicable Especifica el tipo de conexiones a las que se aplica la regla. Los valores admitidos son:
  • Users: la regla solo se aplica a las conexiones de usuario final.
  • All: la regla se aplica a todos los tipos de conexiones (usuarios finales y aplicaciones de nivel intermedio).
UsernameMatchesAnyOfPatterns ExceptUsernameMatchesAnyOfPatterns Acepta texto y el carácter comodín (*) para identificar el nombre de cuenta del usuario en el formato <Domain>\<UserName> (por ejemplo, contoso.com\jeff o *jeff*, pero no jeff*). Los caracteres que no son alfanuméricos no requieren un carácter de escape.
Puede especificar distintos valores separados por comas.
UserRecipientFilter No aplicable Usa la sintaxis de filtro de OPath para identificar al usuario al que se aplica la regla. Por ejemplo, "City -eq 'Redmond'". Los atributos filtrables son:
  • City
  • Company
  • CountryOrRegion
  • CustomAttribute1 a CustomAttribute15
  • Department
  • Office
  • PostalCode
  • StateOrProvince
  • StreetAddress
    Los criterios de búsqueda usan la sintaxis "<Property> -<Comparison operator> '<Value>'".
  • <Property> es una propiedad filtrable.
  • -<Comparison Operator> es un operador de comparación de OPATH. Por ejemplo -eq , para coincidencias exactas (no se admiten caracteres comodín) y -like para la comparación de cadenas (que requiere al menos un carácter comodín en el valor de propiedad). Para obtener más información sobre los operadores de comparación, consulte about_Comparison_Operators.
  • <Value> es el valor de la propiedad. Los valores de texto con o sin espacios o valores con caracteres comodín (*) deben incluirse entre comillas (por ejemplo, '<Value>' o '*<Value>'). No use comillas con el valor $null del sistema (para valores en blanco).

Puede encadenar varios criterios de búsqueda mediante los operadores lógicos -and y -or. Por ejemplo, "<Criteria1> -and <Criteria2>" o "(<Criteria1> -and <Criteria2>) -or <Criteria3>". Para obtener más información sobre la sintaxis de filtro de OPATH, consulte Información adicional sobre la sintaxis de OPATH.

1 Este protocolo solo se aplica al Centro de administración de Exchange (EAC) clásico.