Regole di Accesso client in Exchange Online

  • Articolo

Sintesi: informazioni su come gli amministratori possono utilizzare le regole di Accesso client per consentire o bloccare diversi tipi di connessioni client a Exchange Online.

Le regole di Accesso client consentono di controllare l'accesso all'organizzazione Exchange Online basata su proprietà client o richieste di accesso client. Le regole di Accesso client sono come le regole del flusso di posta (note anche come regole di trasporto) per le connessioni client all'organizzazione Exchange Online. È possibile impedire ai client di connettersi a Exchange Online in base al relativo indirizzo IP (IPv4 e IPv6), al tipo di autenticazione e ai valori delle proprietà utente e al protocollo, all'applicazione, al servizio o alla risorsa in uso per la connessione. Ad esempio:

  • Consentire l'accesso ai client Exchange ActiveSync da indirizzi IP specifici e bloccare tutti gli altri client ActiveSync.
  • Bloccare l'accesso a Exchange Web Services (EWS) per gli utenti in reparti, città o paesi/aree geografiche specifici.
  • Bloccare l'accesso a una rubrica offline (OAB) per utenti specifici in base ai loro nomi utente.
  • Impedisci l'accesso client mediante l'autenticazione federata.
  • Impedisci l'accesso client mediante Exchange Online PowerShell.
  • Bloccare l'accesso all'interfaccia di amministrazione di Exchange classica per gli utenti in un paese o un'area geografica specifici.

Per le procedure sulle regole di Accesso client, vedere Procedure per le regole di Accesso client in Exchange Online.

Nota

Bloccare l'accesso all'account del servizio quando si usa la rappresentazione EWS non è supportato con le regole di accesso client.

A partire da ottobre 2022, l'accesso alle regole di accesso client è stato disabilitato per tutte le organizzazioni Exchange Online esistenti che non le usavano. A ottobre 2023, il supporto per le regole di accesso client terminerà per tutte le organizzazioni Exchange Online. Per altre informazioni, vedere Deprecation of Client Access Rules in Exchange Online.For more information, see Deprecation of Client Access Rules in Exchange Online.

Componenti delle regole di Accesso client

Una regola è composta da condizioni, eccezioni, un'azione e un valore di priorità.

  • Condizioni: identificare le connessioni client a cui applicare l'azione. Per un elenco completo di condizioni, vedere la sezione Condizioni ed eccezioni della regola di Accesso client più avanti in questo articolo. Quando una connessione client soddisfa le condizioni di una regola, l'azione viene applicata alla connessione client e la valutazione della regola viene arrestata (non vengono applicate altre regole alla connessione).

  • Eccezioni: identificare facoltativamente le connessioni client a cui l'azione non deve essere applicata. Le eccezioni sostituiscono le condizioni e impediscono l'esecuzione dell'azione della regola su una connessione, anche nel caso in cui la connessione soddisfi tutte le condizioni configurate. La valutazione della regola continua per le connessioni client autorizzate dall'eccezione, ma una regola successiva potrebbe influire sulla connessione.

  • Azione: specifica le operazioni da eseguire per le connessioni client che corrispondono alle condizioni nella regola e non corrispondono a nessuna delle eccezioni. Le azioni valide sono:

    • Consentire la connessione (il AllowAccess valore per il parametro Action ).

    • Bloccare la connessione (il DenyAccess valore per il parametro Action ).

      Nota: quando si bloccano le connessioni per uno specifico protocollo, potrebbero essere interessate anche altre applicazioni che si basano sullo stesso protocollo.

  • Priorità: indica l'ordine in cui le regole vengono applicate alle connessioni client (un numero inferiore indica una priorità più alta). La priorità predefinita si basa sul momento di creazione della regola; le regole meno recenti hanno una priorità superiore rispetto a quelle più nuove, mentre le regole con priorità superiore vengono elaborate prima delle regole con priorità inferiore. Nota: l'elaborazione delle regole si arresta una volta che la connessione client soddisfa le condizioni nella regola.

    Per ulteriori informazioni sull'impostazione del valore di priorità alle regole, vedere Usare PowerShell di Exchange Online per impostare la priorità delle regole di Accesso client.

Come vengono valutate le regole di Accesso client

Nella tabella seguente viene descritto come vengono valutate più regole con la stessa condizione e come viene valutata una regola con più condizioni, valori di condizione ed eccezioni.

Componente Logica Commenti
Più regole che contengono la stessa condizione La prima regola viene applicata e le regole successive vengono ignorate Ad esempio, se la regola con la priorità più elevata blocca le connessioni Outlook sul Web e si crea un'altra regola che consente le connessioni Outlook sul Web per uno specifico intervallo di indirizzi IP, tutte le connessioni Outlook sul Web vengono comunque bloccate dalla prima regola. Anziché creare un'altra regola per Outlook sul Web, è necessario aggiungere un'eccezione alla regola di Outlook sul Web esistente per consentire le connessioni dall'intervallo di indirizzi IP specificato.
Più condizioni in una regola E Una connessione client deve soddisfare tutte le condizioni nella regola. Ad esempio, le connessioni EWS dagli utenti nel reparto Contabilità.
Una condizione con più valori in una regola OPPURE Per le condizioni che consentono più valori, la connessione deve soddisfare una qualsiasi delle condizioni specificate (non tutte). Ad esempio, le connessioni EWS o IMAP4.
Più eccezioni in una regola OPPURE Se una connessione client soddisfa una qualsiasi delle eccezioni, le azioni non verranno applicate alla connessione client. La connessione non deve necessariamente soddisfare tutte le eccezioni. Ad esempio, l'autenticazione di base o l'indirizzo IP 19.2.168.1.1.

È possibile verificare l'effetto delle regole di Accesso client su una specifica connessione client (quali regole verrebbero soddisfatte e l'eventuale effetto sulla connessione). Per ulteriori informazioni, vedere Utilizzare Exchange Online PowerShell per testare regole di Accesso client.

Nota

Le regole di accesso client vengono valutate dopo l'autenticazione e non possono essere usate per bloccare i tentativi di connessione o autenticazione non elaborati.

Note importanti

Connessioni client dalla rete interna

Le connessioni dalla rete locale non vengono automaticamente autorizzate a ignorare le regole di Accesso client. Di conseguenza, quando si creano regole di Accesso client che bloccano le connessioni client a Exchange Online, occorre prendere in considerazione il potenziale effetto sulle connessioni dalla rete interna. Il metodo consigliato per consentire alle connessioni client interne di ignorare le regole di Accesso client consiste nel creare una regola con la priorità più elevata che consenta le connessioni client dalla rete interna (tutti gli indirizzi IP o specifici indirizzi IP). In questo modo, le connessioni client saranno sempre consentite, indipendentemente da eventuali altre regole create in futuro.

Le regole di Accesso client e le applicazioni di livello intermedio

Molte applicazioni che accedono Exchange Online usano un'architettura di livello intermedio (i client comunicano con l'applicazione di livello intermedio e l'applicazione di livello intermedio comunica con Exchange Online). Una regola di Accesso client che consente solo l'accesso dalla rete locale potrebbe bloccare le applicazioni di livello intermedio. Pertanto, le regole devono consentire gli indirizzi IP delle applicazioni di livello intermedio.

Le applicazioni di livello intermedio di proprietà di Microsoft (ad esempio, Outlook per iOS e Android) ignoreranno il blocco delle regole di Accesso cliente e saranno sempre consentite. Per fornire un controllo maggiore su queste applicazioni, è necessario utilizzare le funzionalità di controllo disponibili nelle applicazioni.

Intervallo delle modifiche alle regole

Per migliorare le prestazioni complessive, le regole di Accesso Client utilizzano una cache, ovvero le modifiche apportate alle regole non sono immediatamente effettive. La prima regola creata nell'organizzazione può richiedere fino a 24 ore per essere effettiva. Dopo questo periodo, la modifica, l'aggiunta o la rimozione di regole può impiegare fino a un'ora per essere effettiva.

Amministrazione

È possibile usare PowerShell solo per gestire le regole di accesso client, quindi è necessario prestare attenzione alle regole che bloccano l'accesso a PowerShell remoto. Se si crea una regola che blocca l'accesso a PowerShell remoto o se si crea una regola che blocca tutti i protocolli per tutti, si perderà la possibilità di correggere manualmente le regole. Sarà necessario chiamare il servizio clienti e il supporto tecnico Microsoft e verrà creata una regola che consente l'accesso remoto a PowerShell da qualsiasi posizione in modo da poter correggere le proprie regole. Si noti che l'applicazione di questa nuova regola può richiedere fino a un'ora.

Come procedura consigliata, creare una regola di accesso client con la priorità più alta per mantenere l'accesso a PowerShell remoto. Ad esempio:

New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

Tipi e protocolli di autenticazione nelle regole di accesso client

Non tutti i tipi di autenticazione sono supportati per tutti i protocolli nelle regole di accesso client. I tipi di autenticazione supportati per protocollo sono descritti in questa tabella:

Protocollo AdfsAuthentication BasicAuthentication CertificateBasedAuthentication NonBasicAuthentication OAuthAuthentication
ExchangeActiveSync n/d supportato supportato n/d supportato
ExchangeAdminCenter1 supportato supportato n/d n/d n/d
IMAP4 n/d supportato n/d n/d supportato
OutlookWebApp supportato supportato n/d n/d n/d
POP3 n/d supportato n/d n/d supportato
RemotePowerShell n/d supportato n/d supportato n/d

1 Questo protocollo si applica solo all'interfaccia di amministrazione di Exchange classica.

Condizioni ed eccezioni della regola di Accesso client

Le condizioni e le eccezioni nelle regole di Accesso client identificano le connessioni client a cui una regola viene applicata o non viene applicata. Ad esempio, se la regola blocca l'accesso dai client di Exchange ActiveSync, è possibile configurare la regola in modo da consentire le connessioni Exchange ActiveSync da uno specifico intervallo di indirizzi IP. La sintassi è la stessa per una condizione e l'eccezione corrispondente. L'unica differenza è che le condizioni specificano le connessioni client da includere, mentre le eccezioni specificano quelle da escludere.

Nella tabella seguente vengono descritte le condizioni e le eccezioni disponibili nelle regole di Accesso client:

Parametro della condizione in Exchange Online PowerShell Parametro dell'eccezione in Exchange Online PowerShell Descrizione
AnyOfAuthenticationTypes ExceptAnyOfAuthenticationTypes I valori validi sono:
  • AdfsAuthentication
  • BasicAuthentication
  • CertificateBasedAuthentication
  • NonBasicAuthentication
  • OAuthAuthentication

È possibile specificare più valori separati da virgole. È possibile usare le virgolette per ogni singolo valore ("value1","value2"), ma non per tutti i valori (non usare "value1,value2").
Nota: se si specifica ExceptAnyOfAuthenticationTypes, AnyOfAuthenticationTypes è necessario specificare anche .
AnyOfClientIPAddressesOrRanges ExceptAnyOfClientIPAddressesOrRanges Sono supportati gli indirizzi IPv4 e IPv6. I valori validi sono:
  • Un singolo indirizzo IP: ad esempio, 192.168.1.1 o 2001:DB8::2AA:FF:C0A8:640A.
  • Intervallo di indirizzi IP: ad esempio, 192.168.0.1-192.168.0.254 o 2001:DB8::2AA:FF:C0A8:640A-2001:DB8::2AA:FF:C0A8:6414.
  • IP cidr (Classless Inter-Domain Routing): ad esempio, 192.168.3.1/24 o 2001:DB8::2AA:FF:C0A8:640A/64.

È possibile specificare più valori separati da virgole.

Per altre informazioni sugli indirizzi IPv6 e sulla sintassi, vedere questo argomento di Exchange 2013: Nozioni di base sugli indirizzi IPv6.
AnyOfProtocols ExceptAnyOfProtocols I valori validi sono:
  • ExchangeActiveSync
  • ExchangeAdminCenter1
  • ExchangeWebServices
  • IMAP4
  • OfflineAddressBook
  • OutlookAnywhere (include MAPI su HTTP)
  • OutlookWebApp (Outlook sul Web)
  • POP3
  • PowerShellWebServices
  • RemotePowerShell
  • REST

È possibile specificare più valori separati da virgole. È possibile usare virgolette intorno a ogni singolo valore (" value1","value2"), ma non intorno a tutti i valori (non usare "value1,value2").
Nota: se non si usa questa condizione in una regola, la regola viene applicata a tutti i protocolli.
Ambito n/d Specifica il tipo di connessioni cui viene applicata la regola. I valori validi sono:
  • Users: la regola si applica solo alle connessioni dell'utente finale.
  • All: la regola si applica a tutti i tipi di connessioni (utenti finali e app di livello intermedio).
UsernameMatchesAnyOfPatterns ExceptUsernameMatchesAnyOfPatterns Accetta il testo e il carattere jolly (*) per identificare il nome dell'account dell'utente nel formato <Domain>\<UserName> ( ad esempio, contoso.com\jeff o *jeff*, ma non jeff*). I caratteri non alfanumerici non richiedono un carattere di escape.
È possibile specificare più valori separati da virgole.
UserRecipientFilter n/d Utilizza la sintassi del filtro OPath per identificare l'utente cui viene applicata la regola. Ad esempio, "City -eq 'Redmond'". Gli attributi filtrabili sono:
  • City
  • Company
  • CountryOrRegion
  • Da CustomAttribute1 a CustomAttribute15
  • Department
  • Office
  • PostalCode
  • StateOrProvince
  • StreetAddress
    I criteri di ricerca usano la sintassi "<Property> -<Comparison operator> '<Value>'".
  • <Property> è una proprietà filtrabile.
  • -<Comparison Operator> è un operatore di confronto OPATH. Ad esempio -eq , per le corrispondenze esatte (i caratteri jolly non sono supportati) e -like per il confronto di stringhe (che richiede almeno un carattere jolly nel valore della proprietà). Per ulteriori informazioni sugli operatori di confronto, vedere about_Comparison_Operators.
  • <Value> è il valore della proprietà. I valori di testo con o senza spazi o valori con caratteri jolly (*) devono essere racchiusi tra virgolette (ad esempio, '<Value>' o '*<Value>'). Non usare virgolette con il valore $null di sistema (per valori vuoti).

È possibile concatenare più criteri di ricerca usando gli operatori -and logici e -or. Ad esempio, "<Criteria1> -and <Criteria2>" o "(<Criteria1> -and <Criteria2>) -or <Criteria3>". Per altre informazioni sulla sintassi del filtro OPATH, vedere Informazioni aggiuntive sulla sintassi OPATH.

1 Questo protocollo si applica solo all'interfaccia di amministrazione di Exchange classica.