Procedure per le regole di Accesso client in Exchange Online
Sintesi: informazioni su come visualizzare, creare, modificare, eliminare e verificare le regole di Accesso client in Exchange Online.
Le regole di Accesso client consentono o impediscono le connessioni client all'organizzazione Exchange Online basata su cloud a seconda delle proprietà della connessione. Per ulteriori informazioni sulle regole di Accesso client, vedere Regole di Accesso client in Exchange Online.
Nota
A partire da ottobre 2022, l'accesso alle regole di accesso client è stato disabilitato per tutte le organizzazioni Exchange Online esistenti che non le usavano. A ottobre 2023, il supporto per le regole di accesso client terminerà per tutte le organizzazioni Exchange Online. Per altre informazioni, vedere Deprecation of Client Access Rules in Exchange Online.For more information, see Deprecation of Client Access Rules in Exchange Online.
Verificare che le regole funzionino nel modo previsto. Assicurarsi di testare in modo approfondito ogni regola e le interazioni tra le regole. Per ulteriori informazioni, vedere la sezione Usare PowerShell di Exchange Online per verificare le regole di Accesso client più avanti in questo argomento.
Che cosa è necessario sapere prima di iniziare
Tempo stimato per il completamento di ciascuna procedura: meno di 5 minuti.
Le procedure descritte in questo argomento sono disponibili solo in Exchange Online PowerShell. Per informazioni su come usare Windows PowerShell per connettersi a Exchange Online, vedere Connessione a Exchange Online PowerShell.
Le regole di accesso client supportano gli indirizzi IPv4 e IPv6. Per altre informazioni sugli indirizzi IPv6 e sulla sintassi, vedere questo argomento di Exchange 2013: Nozioni di base sugli indirizzi IPv6.
Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per sapere quali autorizzazioni sono necessarie, vedere "Flusso di posta" nell'argomento Autorizzazioni funzionalità in Exchange Online.
Per informazioni sui tasti di scelta rapida che possono essere applicati alle procedure in questo argomento, vedere Tasti di scelta rapida per l'interfaccia di amministrazione di Exchange.
Consiglio
Problemi? È possibile richiedere supporto nei forum di Exchange. Visitare i forum all'indirizzo Exchange Online o Exchange Online Protection.
Usare Exchange Online PowerShell per visualizzare le regole di accesso client
Per visualizzare un elenco riepilogativo di tutte le regole di Accesso client, eseguire questo comando:
Get-ClientAccessRule
Per visualizzare informazioni dettagliate su una regola specifica, utilizzare questa sintassi:
Get-ClientAccessRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]
Nell'esempio seguente vengono restituite tutte le proprietà della regola denominata "Blocca connessioni client da 192.168.1.0/24".
Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List
In questo esempio vengono restituite solo le proprietà specificate della stessa regola.
Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List Name,Priority,Enabled,Scope,Action
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Get-ClientAccessRule.
Utilizzare Exchange Online PowerShell per creare regole di Accesso client
Per creare regole di Accesso client in Exchange Online PowerShell, utilizzare questa sintassi:
New-ClientAccessRule -Name "<RuleName>" [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]
In questo esempio viene creata una nuova regola di Accesso client denominata Block ActiveSync che blocca l'accesso per i client Exchange ActiveSync, ad eccezione di quelli nell'intervallo di indirizzi IP 192.168.10.1/24.
New-ClientAccessRule -Name "Block ActiveSync" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24
Note:
- Come procedura consigliata, creare una regola di accesso client con la priorità più alta per mantenere l'accesso dell'amministratore a PowerShell remoto. Ad esempio:
New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1. - La regola ha il valore di priorità predefinito, perché non è stato usato il parametro Priority . Per ulteriori informazioni, vedere la sezione Utilizzare Exchange Online PowerShell per impostare la priorità delle regole di Accesso client più avanti in questo argomento.
- La regola è abilitata perché non è stato usato il parametro Enabled e il valore predefinito è
$true.
In questo esempio viene creata una nuova regola di accesso client denominata Restrict EAC Access che blocca l'accesso per l'interfaccia di amministrazione di Exchange classica, tranne se il client proviene da un indirizzo IP nell'intervallo 192.168.10.1/24 o se il nome dell'account utente contiene "tanyas".
New-ClientAccessRule -Name "Restrict EAC Access" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24 -ExceptUsernameMatchesAnyOfPatterns *tanyas*
Per informazioni dettagliate sulla sintassi e sui parametri, vedere New-ClientAccessRule.
Come verificare se l'operazione ha avuto esito positivo
Per verificare la corretta creazione di una regola di Accesso client, effettuare una delle seguenti procedure:
Eseguire questo comando in Exchange Online PowerShell per visualizzare la nuova regola nell'elenco delle regole:
Get-ClientAccessRuleSostituire <RuleName> con il nome della regola ed eseguire questo comando per visualizzare i dettagli della regola:
Get-ClientAccessRule -Identity "<RuleName>" | Format-ListVedere quali regole di Accesso client avrebbero degli effetti su una connessione client specifica a Exchange Online utilizzando il cmdlet Test-ClientAccessRule. Per ulteriori informazioni, vedere la sezione Utilizzare Exchange Online PowerShell per testare regole di Accesso client più avanti in questo argomento.
Utilizzare Exchange Online PowerShell per modificare regole di Accesso client
Nessuna impostazione aggiuntiva è disponibile quando si modifica una regola di Accesso client. Si tratta delle stesse impostazioni disponibili quando è stata creata la regola.
Per modificare una regola di Accesso client in Exchange Online PowerShell, utilizzare questa sintassi:
Set-ClientAccessRule -Identity "<RuleName>" [-Name "<NewName>"] [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]
In questo esempio viene disabilitata la regola di Accesso client esistente denominata Consenti IMAP4.
Set-ClientAccessRule -Identity "Allow IMAP4" -Enabled $false
Un fattore importante quando si modificano le regole di Accesso client consiste nella modifica di condizioni o eccezioni che accettano più valori:
- I valori specificati verranno sostituiti da eventuali valori esistenti.
- Per aggiungere o rimuovere valori senza influire su altri valori esistenti, usare questa sintassi:
@{Add="<Value1>","<Value2>"...; Remove="<Value1>","<Value2>"...}
In questo esempio viene aggiunto l'intervallo di indirizzi IP 172.17.17.27/16 alla regola di Accesso client denominata "Consenti IMAP4 senza modificare i valori degli indirizzi IP esistenti".
Set-ClientAccessRule -Identity "Allow IMAP4" -AnyOfClientIPAddressesOrRanges @{Add="172.17.17.27/16"}
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Set-ClientAccessRule.
Come verificare se l'operazione ha avuto esito positivo
Per verificare la corretta modifica di una regola di Accesso client, effettuare una delle seguenti procedure:
Sostituire <RuleName> con il nome della regola ed eseguire questo comando per visualizzare i dettagli della regola:
Get-ClientAccessRule -Identity "<RuleName>" | Format-ListVedere quali regole di Accesso client avrebbero degli effetti su una connessione client specifica a Exchange Online utilizzando il cmdlet Test-ClientAccessRule. Per ulteriori informazioni, vedere la sezione Utilizzare Exchange Online PowerShell per testare regole di Accesso client più avanti in questo argomento.
Utilizzare Exchange Online PowerShell per impostare la priorità delle regole di Accesso client
Per impostazione predefinita, alle regole di Accesso client viene assegnata una priorità che si basa sull'ordine in cui sono state create (le regole più recenti hanno una priorità più bassa rispetto alle regole precedenti). Un valore di priorità inferiore indica una priorità più alta per la regola e le regole vengono elaborate nell'ordine di priorità (le regole con priorità più elevata vengono elaborate prima di quelle con priorità più bassa). Due regole non possono avere priorità uguale.
La priorità più alta che è possibile impostare in una regola è 1. Il valore più basso che è possibile impostare dipende dal numero di regole. Se si dispone di cinque regole, ad esempio, è possibile utilizzare i valori di priorità da 1 a 5. Modificare la priorità di una regola esistente può avere un effetto a catena su altre regole. Ad esempio, se si dispone di cinque regole (priorità da 1 a 5) e si modifica la priorità di una regola da 5 a 2, la regola esistente con priorità 2 viene modificata a livello di priorità 3 e la regola con priorità 3 viene modificata a livello di priorità 4 e la regola con priorità 4 viene modificata a livello di priorità 5.
Per impostare la priorità di una regola di Accesso client in Exchange Online PowerShell, utilizzare questa sintassi:
Set-ClientAccessRule -Identity "<RuleName>" -Priority <Number>
Nell'esempio seguente la priorità della regola denominata Disabilita IMAP4 viene impostata su 2. Tutte le regole esistenti che hanno una priorità minore o uguale a 2 vengono abbassate di 1 valore (i numeri di priorità vengono aumentati di 1).
Set-ClientAccessRule -Identity "Disable IMAP" -Priority 2
Nota: per impostare la priorità di una nuova regola al momento della creazione, utilizzare il parametro Priority nel cmdlet New-ClientAccessRule.
Come verificare se l'operazione ha avuto esito positivo
Per verificare di avere impostato correttamente la priorità di una regola di Accesso client, effettuare una delle seguenti procedure:
Eseguire il comando seguente in Exchange Online PowerShell per visualizzare l'elenco di regole e i rispettivi valori Priority:
Get-ClientAccessRuleSostituire <RuleName> con il nome della regola ed eseguire questo comando:
Get-ClientAccessRule -Identity "<RuleName>" | Format-List Name,Priority
Utilizzare Exchange Online PowerShell per rimuovere regole di Accesso client
Per rimuovere regole di Accesso client in Exchange Online PowerShell, utilizzare questa sintassi:
Remove-ClientAccessRule -Identity "<RuleName>"
In questo esempio, viene rimossa la regola di Accesso client denominata Blocca POP3.
Remove-ClientAccessRule -Identity "Block POP3"
Nota: per disabilitare una regola di accesso client senza eliminarla, usare il parametro Enabled con il valore $false nel cmdlet Set-ClientAccessRule .
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Remove-ClientAccessRule.
Come verificare se l'operazione ha avuto esito positivo
Per verificare la rimozione corretta di una regola di Accesso client, eseguire il comando riportato di seguito in Exchange Online PowerShell per accertarsi che la regola non è più presente:
Get-ClientAccessRule
Utilizzare Exchange Online PowerShell per testare regole di Accesso client
Per vedere quali regole di Accesso client avrebbero degli effetti su una connessione client specifica a Exchange Online, utilizzare la sintassi seguente:
Test-ClientAccessRule -User <MailboxIdentity> -AuthenticationType <AuthenticationType> -Protocol <Protocol> -RemoteAddress <ClientIPAddress> -RemotePort <TCPPortNumber>
In questo esempio vengono restituite le regole di Accesso client che corrisponderebbero a una connessione client a Exchange Online con queste proprietà:
- Tipo di autenticazione: Basic
- Protocollo:
OutlookWebApp - Indirizzo remoto: 172.17.17.26
- Porta remota: 443
- Utente: julia@contoso.com
Test-ClientAccessRule -User julia@contoso.com -AuthenticationType BasicAuthentication -Protocol OutlookWebApp -RemoteAddress 172.17.17.26 -RemotePort 443
Per informazioni dettagliate sulla sintassi e sui parametri, vedere Test-ClientAccessRule.