Правила клиентского доступа в Exchange OnlineClient Access Rules in Exchange Online

Сводка: Узнайте, как администраторы могут использовать правила доступа клиента разрешить или заблокировать различных типов клиентские подключения к Exchange Online.Summary: Learn how administrators can use Client Access Rules to allow or block different types of client connections to Exchange Online.

Справка правил доступа клиента управления доступом к организации Exchange Online на основе свойства клиента или запросы доступа клиентов. Правила доступа к клиента похожи на правила потока почты (также известной как правила транспорта) для клиентских подключений к организации Exchange Online. Вы можете запретить подключение к Exchange Online на основании их IP-адрес, тип проверки подлинности и значений свойств пользователя и протокол, приложения, службы или ресурса, который используется для подключения клиентов. Например:Client Access Rules help you control access to your Exchange Online organization based on client properties or client access requests. Client Access Rules are like mail flow rules (also known as transport rules) for client connections to your Exchange Online organization. You can prevent clients from connecting to Exchange Online based on their IP address, authentication type, and user property values, and the protocol, application, service, or resource that they're using to connect. For example:

  • Разрешение доступа к клиентов Exchange ActiveSync с определенным IP-адресов и блокировка других клиентов ActiveSync.Allow access to Exchange ActiveSync clients from specific IP addresses, and block all other ActiveSync clients.

  • Заблокируйте доступ для веб-служб Exchange (EWS) для пользователей в конкретных отделов, города или страны.Block access to Exchange Web Services (EWS) for users in specific departments, cities, or countries.

  • блокировка доступа к автономной адресной книге для определенных пользователей, указанных по именам;Block access to an offline address book (OAB) for specific users based on their usernames.

  • предотвращение клиентского доступа с использованием федеративной проверки подлинности;Prevent client access using federated authentication.

  • Предотвращение клиентского доступа с помощью Exchange Online PowerShell.Prevent client access using Exchange Online PowerShell.

  • Заблокируйте доступ в центр администрирования Exchange (EAC) для пользователей в определенных странах или регионах.Block access to the Exchange admin center (EAC) for users in a specific country or region.

Процедуры для работы с правилами клиентского доступа описаны в статье Procedures for Client Access Rules in Exchange Online.For Client Access Rule procedures, see Procedures for Client Access Rules in Exchange Online.

Компоненты правил клиентского доступаClient Access Rule components

Правило состоит из условий, исключений, действия и значения приоритета.A rule is made of conditions, exceptions, an action, and a priority value.

  • Условия: определение клиентских подключений, чтобы применить действие. Полный список условий обратитесь к разделу правила доступа клиента условий и исключений данного раздела. Если подключение к клиенту соответствует условиям правила, действие применяется к подключение клиента и останавливает оценки правила (без дополнительных правил не применяются к подключению).Conditions: Identify the client connections to apply the action to. For a complete list of conditions, see the Client Access Rule conditions and exceptions section later in this topic. When a client connection matches the conditions of a rule, the action is applied to the client connection, and rule evaluation stops (no more Rules are applied to the connection).

  • Исключения: при необходимости идентификации клиентских подключений, которые не следует применить действие. Исключения переопределить условия и запретить действие правила применять к подключения, даже в том случае, если подключение сопоставляет все настроенные условия. Правило оценки по-прежнему производится для клиентских подключений, разрешенных исключения, но последующие правила по-прежнему могут повлиять на подключение.Exceptions: Optionally identify the client connections that the action shouldn't apply to. Exceptions override conditions and prevent the rule action from being applied to a connection, even if the connection matches all of the configured conditions. Rule evaluation continues for client connections that are allowed by the exception, but a subsequent rule could still affect the connection.

  • Действие: Указывает, что следует сделать для клиентских подключений, которые соответствуют условиям этого правила, а не соответствует ни одному из исключений. Необходимо допустимое действия.Action: Specifies what to do to client connections that match the conditions in the rule, and don't match any of the exceptions. Valid actions are:

    • Разрешить подключение ( AllowAccess значение для параметра Действие ).Allow the connection (the AllowAccess value for the Action parameter).

    • Блокировать подключение ( DenyAccess значение для параметра Действие ).Block the connection (the DenyAccess value for the Action parameter).

      Примечание. Блокировка подключений по определенному протоколу может повлиять на другие приложения, использующие этот протокол.Note: When you block connections for a specific protocol, other applications that rely on the same protocol might also be affected.

  • Приоритет: Указывает порядок применения правил для клиентских подключений (меньшее число обозначает более высокий приоритет). При создании правила на основе приоритета по умолчанию (старые правила имеют более высокий приоритет, чем новые правила), и более высокого приоритета правила обрабатываются раньше, чем меньше приоритет правила. Не забывайте, правила останавливает обработку после подключения клиента соответствует условиям этого правила.Priority: Indicates the order that the rules are applied to client connections (a lower number indicates a higher priority). The default priority is based on when the rule is created (older rules have a higher priority than newer rules), and higher priority rules are processed before lower priority rules. Remember, rule processing stops once the client connection matches the conditions in the rule.

    Дополнительные сведения об установке значения приоритета для правил см. в статье Установка приоритета правил клиентского доступа с помощью Exchange Online PowerShell.For more information about setting the priority value on rules, see Use Exchange Online PowerShell to set the priority of Client Access Rules.

Как оцениваются правила клиентского доступаHow Client Access Rules are evaluated

В приведенной ниже таблице описывается оценка нескольких правил, включающих одно и то же условие, а также правил с несколькими условиями, значениями условий и исключениями.How multiple rules with the same condition are evaluated, and how a rule with multiple conditions, condition values, and exceptions are evaluated are described in the following table.

КомпонентComponent Логический операторLogic КомментарииComments
Несколько правил, содержащих одно условиеMultiple rules that contain the same condition
Первое правило применяется, а последующие пропускаютсяThe first rule is applied, and subsequent rules are ignored
Например наивысший приоритет правила блокирует Outlook на веб-подключений, а создать другое правило, обеспечивающий Outlook web подключений для определенного диапазона IP-адресов, все Outlook на веб-подключений по-прежнему блокирует первое правило. Вместо создания другое правило для Outlook в Интернете, необходимо добавить исключение в существующий Outlook web правила для подключений из указанного диапазона IP-адресов.For example, if your highest priority rule blocks Outlook on the web connections, and you create another rule that allows Outlook on the web connections for a specific IP address range, all Outlook on the web connections are still blocked by the first rule. Instead of creating another rule for Outlook on the web, you need to add an exception to the existing Outlook on the web rule to allow connections from the specified IP address range.
Несколько условий в одном правилеMultiple conditions in one rule
ИAND
Клиентское подключение должно соответствовать всем условиям правила. Пример: подключения EWS от пользователей в отделе бухгалтерского учета.A client connection must match all conditions in the rule. For example, EWS connections from users in the Accounting department.
Одно условие с несколькими значениями в правилеOne condition with multiple values in a rule
ИЛИOR
Для условий, в которых разрешено несколько значений, подключение должно соответствовать одному (не всем) из указанных условий. Примеры: подключения EWS или IMAP4.For conditions that allow more than one value, the connection must match any one (not all) of the specified conditions. For example, EWS or IMAP4 connections.
Несколько исключений в одном правилеMultiple exceptions in one rule
ИЛИOR
Если клиентское подключение соответствует какому-либо из исключений, то к нему не применяются действия. Подключению не обязательно соответствовать всем исключениям. Примеры: IP-адрес 19.2.168.1.1 или обычная проверка подлинности.If a client connection matches any one of the exceptions, the actions are not applied to the client connection. The connection doesn't have to match all the exceptions. For example, IP address 19.2.168.1.1 or Basic authentication.

Вы можете проверить, как правила клиентского доступа повлияют на то или иное клиентское подключение (какие правила будут к нему применяться). Дополнительные сведения см. в статье Тестирование правил клиентского доступа с помощью Exchange Online PowerShell.You can test how a specific client connection would be affected by Client Access Rules (which rules would match and therefore affect the connection). For more information, see Use Exchange Online PowerShell to test Client Access Rules.

Важные замечанияImportant notes

Клиентские подключения из внутренней сетиClient connections from your internal network

Подключения из локальной сети не могут автоматически пропускать правила доступа клиентов. Таким образом при создании правила доступа клиентов, которые блокируют клиентские подключения к Exchange Online, необходимо учитывать как могут влиять подключения от вашей внутренней сети. Создание наивысший приоритет правила, обеспечивающий клиентских подключений из внутренней сети является предпочтительным для разрешения внутренних клиентов подключений пропускать правила доступа клиента (всех или определенных IP-адресов). Таким образом, клиентские подключения разрешено всегда, независимо от того, все блокирующие правила, созданные в будущем.Connections from your local network aren't automatically allowed to bypass Client Access Rules. Therefore, when you create Client Access Rules that block client connections to Exchange Online, you need to consider how connections from your internal network might be affected. The preferred method to allow internal client connections to bypass Client Access Rules is to create a highest priority rule that allows client connections from your internal network (all or specific IP addresses). That way, the client connections are always allowed, regardless of any other blocking rules that you create in the future.

Правила клиентского доступа и приложения среднего уровняClient Access Rules and middle-tier applications

Многие приложения, доступ к Exchange Online используйте архитектуры среднего уровня (talk клиента для приложения среднего уровня и говорит приложения среднего уровня в Exchange Online). Правила доступа клиента, который допускает только доступ из локальной сети могут блокировать среднего уровня приложений. В результате правила, необходимо разрешить IP-адреса среднего уровня приложений.Many applications that access Exchange Online use a middle-tier architecture (client talk to the middle-tier application, and the middle-tier application talks to Exchange Online). A Client Access Rule that only allows access from your local network might block middle-tier applications. So, your rules need to allow the IP addresses of middle-tier applications.

Приложения среднего уровня, принадлежащие корпорации Майкрософт (например, Outlook для iOS) и Android (en) обходили блокировки правилами клиентского доступа и будет разрешено. Чтобы предоставить дополнительные контроль над этими приложениями, необходимо использовать возможности управления, доступные в приложениях.Middle-tier applications owned by Microsoft (for example, Outlook for iOS and Android) will bypass blocking by Client Access Rules, and will always be allowed. To provide additional control over these applications, you need to use the control capabilities that are available in the applications.

Время изменения правилTiming for rule changes

Для повышения общей производительности правила клиентского доступа используют кэш, поэтому изменения правил вступают в силу не сразу. Чтобы первое правило, созданное в организации, вступило в силу, может потребоваться до 24 часов. После этого изменение, добавление и удаление правил может занимать до одного часа.To improve overall performance, Client Access Rules use a cache, which means changes to rules don't immediately take effect. The first rule that you create in your organization can take up to 24 hours to take effect. After that, modifying, adding, or removing rules can take up to one hour to take effect.

АдминистрированиеAdministration

Remote PowerShell можно использовать только для управления правилами доступа клиентов, поэтому необходимо соблюдать осторожность правил, заблокируйте доступ к удаленной оболочки PowerShell. Если создать правило, которое блокирует доступ к удаленной консоли PowerShell или при создании правила, который блокирует все протоколы для всех пользователей, будут потеряны возможность самостоятельного решения правила. Вам потребуется вызова служба поддержки клиентов и поддержки, и они будут создать правило, которое предоставляет удаленный доступ к PowerShell из в любом месте, можно устранить собственные правила. Обратите внимание на то, что может потребоваться до одного часа для него новый вступили в силу.You can only use remote PowerShell to manage Client Access Rules, so you need to be careful about rules that block your access to remote PowerShell. If you create a rule that blocks your access to remote PowerShell, or if you create a rule that blocks all protocols for everyone, you'll lose the ability to fix the rules yourself. You'll need to call Microsoft Customer Service and Support, and they will create a rule that gives you remote PowerShell access from anywhere so you can fix your own rules. Note that it can take up to one hour for this new rule to take effect.

Рекомендуется создайте правило доступа клиентов с наивысшим приоритетом, чтобы сохранить доступ к удаленной оболочки PowerShell. Например:As a best practice, create a Client Access Rule with the highest priority to preserve your access to remote PowerShell. For example:

New-ClientAccessRule -Name AllowRemotePS -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

Типы проверки подлинности и протоколыAuthentication types and protocols

Не все типы проверки подлинности поддерживаются для всех протоколов. В следующей таблице описываются поддерживаемые типы проверки подлинности каждого протокола:Not all authentication types are supported for all protocols. The supported authentication types per protocol are described in this table:

AdfsAuthenticationAdfsAuthentication BasicAuthenticationBasicAuthentication CertificateBasedAuthenticationCertificateBasedAuthentication NonBasicAuthenticationNonBasicAuthentication Параметра OAuthAuthenticationOAuthAuthentication
ExchangeActiveSync
н/дn/a
поддерживаетсяsupported
поддерживаетсяsupported
н/дn/a
поддерживаетсяsupported
ExchangeAdminCenter
поддерживаетсяsupported
поддерживаетсяsupported
н/дn/a
н/дn/a
н/дn/a
ExchangeWebServices
н/дn/a
н/дn/a
н/дn/a
н/дn/a
н/дn/a
IMAP4
н/дn/a
н/дn/a
н/дn/a
н/дn/a
н/дn/a
OfflineAddressBook
н/дn/a
н/дn/a
н/дn/a
н/дn/a
н/дn/a
OutlookAnywhere
н/дn/a
н/дn/a
н/дn/a
н/дn/a
н/дn/a
OutlookWebApp
поддерживаетсяsupported
поддерживаетсяsupported
н/дn/a
н/дn/a
н/дn/a
POP3
н/дn/a
н/дn/a
н/дn/a
н/дn/a
н/дn/a
PowerShellWebServices
н/дn/a
н/дn/a
н/дn/a
н/дn/a
н/дn/a
RemotePowerShell
н/дn/a
поддерживаетсяsupported
н/дn/a
поддерживаетсяsupported
н/дn/a
REST
н/дn/a
н/дn/a
н/дn/a
н/дn/a
н/дn/a
UniversalOutlook
н/дn/a
н/дn/a
н/дn/a
н/дn/a
н/дn/a

Условия и исключения для правил клиентского доступаClient Access Rule conditions and exceptions

Условия и исключения в правилах клиентского доступа определите клиентских подключений, что правило применяется к или не применяются к. Например если блоки правила доступа к клиентам Exchange ActiveSync, можно настроить правила, чтобы разрешить подключения к Exchange ActiveSync, из определенного диапазона IP-адресов. То же самое, условие и соответствующее исключение используется следующий синтаксис. Единственное отличие — условия укажите клиентских подключений для включения, пока исключения укажите клиентских подключений, чтобы исключить.Conditions and exceptions in Client Access Rules identify the client connections that the rule is applied to or not applied to. For example, if the rule blocks access by Exchange ActiveSync clients, you can configure the rule to allow Exchange ActiveSync connections from a specific range of IP addresses. The syntax is the same for a condition and the corresponding exception. The only difference is conditions specify client connections to include, while exceptions specify client connections to exclude.

В приведенной ниже таблице описываются условия и исключения, доступные в правилах клиентского доступа.This table describes the conditions and exceptions that are available in Client Access Rules:

Параметр условие в Exchange Online PowerShellCondition parameter in Exchange Online PowerShell Параметр исключения в Exchange Online PowerShellException parameter in Exchange Online PowerShell ОписаниеDescription
AnyOfAuthenticationTypesAnyOfAuthenticationTypes
ExceptAnyOfAuthenticationTypesExceptAnyOfAuthenticationTypes
Допустимые значения:Valid values are:
AdfsAuthentication
BasicAuthentication
CertificateBasedAuthentication
NonBasicAuthentication
OAuthAuthentication
Можно указать несколько значений, разделенных запятыми. Можно использовать каждого отдельного значения в кавычки (» значение1«,» значение2«), но не вокруг все значения (не используйте « значение1, значение2»).You can specify multiple values separated by commas. You can use quotation marks around each individual value (" value1"," value2"), but not around all values (don't use " value1, value2").
AnyOfClientIPAddressesOrRangesAnyOfClientIPAddressesOrRanges
ExceptAnyOfClientIPAddressesOrRangesExceptAnyOfClientIPAddressesOrRanges
Допустимые значения:Valid values are:
Один IP-адрес: например, 192.168.1.1.A single IP address: For example, 192.168.1.1.
Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254.An IP address range: For example, 192.168.0.1-192.168.0.254.
IP-адрес бесклассовую междоменного маршрутизацию (CIDR): например, 192.168.3.1/24.Classless Inter-Domain Routing (CIDR) IP: For example, 192.168.3.1/24.
Можно указать несколько значений, разделенных запятыми.You can specify multiple values separated by commas.
AnyOfProtocolsAnyOfProtocols
ExceptAnyOfProtocolsExceptAnyOfProtocols
Допустимые значения:Valid values are:
ExchangeActiveSync
ExchangeAdminCenter
ExchangeWebServices
IMAP4
OfflineAddressBook
OutlookAnywhere(в том числе MAPI по протоколу HTTP)OutlookAnywhere (includes MAPI over HTTP)
OutlookWebApp(Outlook в Интернете)OutlookWebApp (Outlook on the web)
POP3
PowerShellWebServices
RemotePowerShell
REST
UniversalOutlook(Почта и календарь приложения)UniversalOutlook (Mail and Calendar app)
Можно указать несколько значений, разделенных запятыми. Можно использовать каждого отдельного значения в кавычки (» значение1«,» значение2«), но не вокруг все значения (не используйте « значение1, значение2»).You can specify multiple values separated by commas. You can use quotation marks around each individual value (" value1"," value2"), but not around all values (don't use " value1, value2").
Примечание: Если не используется это условие в правиле, правило будет применяться для всех протоколов.Note: If you don't use this condition in a rule, the rule is applied to all protocols.
Область примененияScope
н/дn/a
Задает тип подключений, к которым применяется правило. Допускаются следующие значения:Specifies the type of connections that the rule applies to. Valid values are:
Users: Правило применяется только к подключений конечных пользователей.Users: The rule only applies to end-user connections.
All: Правило применяется ко всем типам подключения (конечные пользователи и приложения среднего уровня).All: The rule applies to all types of connections (end-users and middle-tier apps).
UsernameMatchesAnyOfPatternsUsernameMatchesAnyOfPatterns
ExceptUsernameMatchesAnyOfPatternsExceptUsernameMatchesAnyOfPatterns
Принимает текст и подстановочный знак (*) для идентификации учетной записи пользователя в формате <Domain>\<UserName> (например, contoso.com\jeff или *jeff*, но не jeff*). Символы не требуется escape-символ.Accepts text and the wildcard character (*) to identify the user's account name in the format <Domain>\<UserName> (for example, contoso.com\jeff or *jeff*, but not jeff*). Non-alphanumeric characters don't require an escape character.
Можно указать несколько значений, разделенных запятыми.You can specify multiple values separated by commas.
UserRecipientFilterUserRecipientFilter
н/дn/a
Использует синтаксис OPath фильтра для идентификации пользователей, к которому применяется правило. Например {City -eq 'Redmond'}. Фильтруемые атрибуты являются:Uses OPath filter syntax to identify the user that the rule applies to. For example, {City -eq 'Redmond'}. The filterable attributes are:
City
Company
CountryOrRegion
CustomAttribute1КомуCustomAttribute15CustomAttribute1to CustomAttribute15
Department
Office
PostalCode
StateOrProvince
StreetAddress
Условия поиска использует синтаксис {<Property> -<Comparison operator> '<Value>'}.The search criteria uses the syntax {<Property> -<Comparison operator> '<Value>'}.
<Property>— Это фильтруемые свойства.<Property> is a filterable property.
-<Comparison Operator>— это оператор сравнения OPATH. Например -eq для точного совпадения (подстановочные знаки не поддерживаются) и -like для сравнения строк (для которого требуется по крайней мере один подстановочные знаки в значение свойства). Дополнительные сведения об операторах сравнения можно about_Comparison_Operators.-<Comparison Operator> is an OPATH comparison operator. For example -eq for exact matches (wildcards are not supported) and -like for string comparison (which requires at least one wildcard in the property value). For more information about comparison operators, see about_Comparison_Operators.
<Value>— Это значение свойства. Текстовые значения или без пробелов и значений с помощью подстановочных знаков (*) должны быть заключены в кавычки (например, '<Value>' или '*<Value>'). Не используйте кавычки со значением системы $null (для пустых значений) или целых чисел.<Value> is the property value. Text values with or without spaces or values with wildcards (*) need to be enclosed in quotation marks (for example, '<Value>' or '*<Value>'). Don't use quotation marks with the system value $null (for blank values) or integers.
Можно объединять несколько условий поиска, вместе с логическими операторами -and и -or. Например {<Criteria1>) -and <Criteria2>} или {(<Criteria1> -and <Criteria2>) -or <Criteria3>}.You can chain multiple search criteria together using the logical operators -and and -or. For example, {<Criteria1>) -and <Criteria2>} or {(<Criteria1> -and <Criteria2>) -or <Criteria3>}.