Règles d’accès au client dans Exchange 2019
Les règles d’accès client vous aident à contrôler l’accès à votre organisation Exchange 2019 dans le Centre d’administration Exchange (EAC) et PowerShell distant en fonction des propriétés du client ou des demandes d’accès client. Les règles d’accès au client sont similaires aux règles de flux de courrier (également appelées règles de transport) pour les connexions CAE et PowerShell distantes à votre organisation Exchange. Vous pouvez empêcher les clients CAE et PowerShell distants de se connecter à Exchange en fonction de leur adresse IP (IPv4 et IPv6), du type d’authentification et des valeurs de propriété utilisateur. Par exemple :
- Empêcher l’accès au client à l’aide de PowerShell distant (qui inclut également Exchange Management Shell).
- Bloquer l’accès au CAE pour les utilisateurs d’un pays ou d’une région spécifique.
Pour les procédures de règle d’accès client, consultez Procédures pour les règles d’accès au client dans Exchange Server.
Composants des règles d’accès client
Une règle est constituée de conditions, d’exceptions, d’une action et d’une valeur de priorité.
Conditions : identifiez les connexions clientes auxquelles appliquer l’action. Pour obtenir une liste complète des conditions, consultez la section Conditions et exceptions des règles d'accès client, plus loin dans cette rubrique. Lorsqu’une connexion cliente correspond aux conditions d’une règle, l’action est appliquée à la connexion cliente et l’évaluation de la règle s’arrête (plus aucune règle n’est appliquée à la connexion).
Exceptions : identifiez éventuellement les connexions clientes auxquelles l’action ne doit pas s’appliquer. Les exceptions ont la priorité sur les conditions et empêchent l'application d'actions à une connexion, même si elle remplit toutes les conditions configurées. L'évaluation de la règle se poursuit pour les connexions client autorisées par l'exception, mais une règle ultérieure peut toujours agir sur la connexion.
Action : spécifie ce qu’il faut faire pour les connexions clientes qui correspondent aux conditions de la règle et qui ne correspondent à aucune des exceptions. Les actions valides sont :
Autorisez la connexion (valeur
AllowAccessdu paramètre Action ).Bloquer la connexion (valeur
DenyAccessdu paramètre Action ).Remarque : lorsque vous bloquez des connexions pour un protocole spécifique, les autres applications qui reposent sur ce protocole peuvent également être affectées.
Priorité : indique l’ordre dans lequel les règles sont appliquées aux connexions clientes (un nombre inférieur indique une priorité plus élevée). La priorité par défaut repose sur la date de création de la règle (les règles plus anciennes ont une priorité plus élevée que les règles plus récentes), et les règles à plus haute priorité sont traitées avant les règles de moindre priorité. N'oubliez pas que le traitement de la règle s'interrompt une fois que la connexion client répond aux conditions de la règle.
Pour plus d’informations sur la définition de la valeur de priorité sur les règles, consultez Utiliser Exchange Management Shell pour définir la priorité des règles d’accès au client.
Procédure d’évaluation des règles d’accès client
La manière dont plusieurs règles présentant une même condition sont évaluées, et donc une règle comportant plusieurs conditions, plusieurs valeurs de condition et plusieurs exceptions est évaluée est présentée dans le tableau ci-dessous.
| Composant | Logique | Commentaires |
|---|---|---|
| Plusieurs règles qui contiennent la même condition | La première règle est appliquée, et les règles suivantes sont ignorées. | Par exemple, si votre règle de priorité la plus élevée bloque les connexions PowerShell distantes et que vous créez une autre règle qui autorise les connexions PowerShell distantes pour une plage d’adresses IP spécifique, toutes les connexions PowerShell distantes sont toujours bloquées par la première règle. Au lieu de créer une autre règle pour PowerShell distant, vous devez ajouter une exception à la règle PowerShell distante existante pour autoriser les connexions à partir de la plage d’adresses IP spécifiée. |
| Plusieurs conditions dans une même règle | AND | Une connexion client doit répondre à toutes les conditions de la règle. Par exemple, les connexions eac à partir d’utilisateurs du service Comptabilité. |
| Une condition avec plusieurs valeurs dans une règle | OU | Pour les conditions qui acceptent plusieurs valeurs, la connexion doit répondre à l'une (et non à la totalité) des conditions spécifiées. Par exemple, les connexions CAE ou PowerShell distantes. |
| Plusieurs exceptions dans une même règle | OU | Si une connexion client correspond à l'une des exceptions, les actions ne sont pas appliquées à cette connexion. La connexion ne doit pas forcément correspondre à toutes les exceptions. Par exemple, l'adresse IP 19.2.168.1.1 ou l'authentification de base. |
Vous pouvez tester le résultat des règles d'accès client sur une connexion client spécifique (quelles règles correspondent et ont donc un impact sur la connexion). Pour plus d’informations, consultez Utiliser Exchange Management Shell pour tester les règles d’accès au client.
Remarques importantes
Connexions client à partir de votre réseau interne
Les connexions à partir de votre réseau local ne sont pas autorisées automatiquement à outrepasser les règles d’accès client. Par conséquent, lorsque vous créez des règles d’accès client qui bloquent les connexions client à Exchange, vous devez prendre en compte la façon dont les connexions de votre réseau interne peuvent être affectées. La méthode préférée pour autoriser les connexions client internes à ignorer les règles d'accès client consiste à créer une règle de priorité plus élevée qui autorise les connexions client à partir de votre réseau interne (toutes les adresses IP ou certaines d'entre elles). Ainsi, les connexions client sont toujours autorisées, quelles que soient les autres règles de blocage que vous créez ultérieurement.
Règles d’accès client et applications intermédiaires
De nombreuses applications qui accèdent à Exchange utilisent une architecture de niveau intermédiaire (les clients communiquent avec l’application de niveau intermédiaire et l’application de niveau intermédiaire communique avec Exchange). Une règle d'accès client qui n'autorise l'accès qu'à partir de votre réseau local risque de bloquer les applications intermédiaires. Par conséquent, vos règles doivent autoriser les adresses IP des applications intermédiaires.
Les applications intermédiaires appartenant à Microsoft (par exemple, Outlook pour iOS et Android) contournent le blocage des règles d'accès client et sont toujours autorisées. Pour fournir un contrôle supplémentaire sur ces applications, vous devez utiliser les fonctionnalités de contrôle disponibles dans les applications.
Délai des changements de règle
Pour améliorer les performances globales, les règles d’accès client utilisent un cache, ce qui signifie que les modifications apportées aux règles n’entrent pas en vigueur immédiatement. La première règle que vous créez dans votre organisation peut mettre jusqu'à 24 heures pour entrer en vigueur. Passé ce délai, la modification, l’ajout ou la suppression de règles peuvent mettre jusqu’à une heure pour entrer en vigueur.
Administration
Vous pouvez uniquement utiliser Exchange Management Shell (PowerShell distant) pour gérer les règles d’accès au client. Vous devez donc faire attention aux règles qui bloquent votre accès à powerShell distant.
Il est recommandé de créer une règle d’accès au client avec la priorité la plus élevée pour conserver votre accès à powerShell distant. Par exemple :
New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1
Types et protocoles d’authentification
Tous les types d’authentification ne sont pas pris en charge pour tous les protocoles. Les types d’authentification pris en charge par protocole dans Exchange Server sont décrits dans ce tableau :
| Protocole | AdfsAuthentication | BasicAuthentication | CertificateBasedAuthentication | NonBasicAuthentication | OAuthAuthAuthentication |
|---|---|---|---|---|---|
ExchangeAdminCenter |
Pris en charge | Pris en charge | s/o | s/o | s/o |
RemotePowerShell |
s/o | Pris en charge | s/o | Pris en charge | s/o |
Conditions et exceptions des règles d’accès client
Les conditions et les exceptions des règles d’accès client identifient les connexions client auxquelles la règle est ou n’est pas appliquée. Par exemple, si la règle bloque l’accès des clients PowerShell distants, vous pouvez configurer la règle pour autoriser les connexions PowerShell distantes à partir d’une plage spécifique d’adresses IP. La syntaxe est identique pour une condition et l'exception correspondante. La seule différence réside dans le fait que les conditions indiquent les connexions client à inclure, tandis que les exceptions indiquent les connexions client à exclure.
Ce tableau décrit les conditions et les exceptions disponibles dans les règles d'accès client :
| Paramètre condition dans l’environnement de ligne de commande Exchange Management Shell | Paramètre d’exception dans l’environnement de ligne de commande Exchange Management Shell | Description |
|---|---|---|
| AnyOfAuthenticationTypes | ExceptAnyOfAuthenticationTypes | Les valeurs valides dans Exchange Server sont les suivantes :
Vous pouvez spécifier plusieurs valeurs séparées par des virgules. Vous pouvez utiliser des guillemets autour de chaque valeur individuelle (« valeur1 », « valeur2 »), mais pas autour de toutes les valeurs (n’utilisez pas « valeur1,valeur2 »). |
| AnyOfClientIPAddressesOrRanges | ExceptAnyOfClientIPAddressesOrRanges | Les adresses IPv4 et IPv6 sont prises en charge. Les valeurs valides sont les suivantes :
Vous pouvez spécifier plusieurs valeurs séparées par des virgules. Pour plus d’informations sur les adresses IPv6 et la syntaxe, consultez cette rubrique Exchange 2013 : Bases des adresses IPv6. |
| AnyOfProtocols | ExceptAnyOfProtocols | Les valeurs valides dans Exchange Server sont les suivantes :
Vous pouvez spécifier plusieurs valeurs séparées par des virgules. Vous pouvez utiliser des guillemets autour de chaque valeur individuelle (« valeur1 », « valeur2 »), mais pas autour de toutes les valeurs (n’utilisez pas « valeur1,valeur2 »). Remarque : Si vous n’utilisez pas cette condition dans une règle, la règle est appliquée aux deux protocoles. |
| Scope | s/o | Spécifie le type des connexions auxquelles la règle s'applique. Les valeurs valides sont les suivantes :
|
| UsernameMatchesAnyOfPatterns | ExceptUsernameMatchesAnyOfPatterns | Accepte le texte et le caractère générique (*) pour identifier le nom de compte de l’utilisateur au format <Domain>\<UserName> (par exemple, ou *jeff*, contoso.com\jeff mais pas jeff*). Les caractères non alphanumériques n’exigent pas de caractère d’échappement. Vous pouvez spécifier plusieurs valeurs séparées par des virgules. |
| UserRecipientFilter | s/o | Utilise la syntaxe de filtre OPath pour identifier l'utilisateur auquel la règle s'applique. Par exemple : "City -eq 'Redmond'". Les attributs filtrables sont les suivants :
Les critères de recherche utilisent la syntaxe
Vous pouvez chaîner plusieurs critères de recherche à l’aide des opérateurs logiques |