Процедуры для правил клиентского доступа в Exchange OnlineProcedures for Client Access Rules in Exchange Online

Сводка. Узнайте, как создавать, просматривать, менять, удалять и тестировать правила клиентского доступа в Exchange Online.Summary: Learn how to view, create, modify, delete, and test Client Access Rules in Exchange Online.

Правила клиентского доступа разрешают или блокируют доступ клиентов к вашей организации Exchange Online с учетом свойств подключения. Дополнительные сведения о правилах клиентского доступа см. в статье Правила клиентского доступа в Exchange Online.Client Access Rules allow or block client connections to your Exchange Online organization based on the properties of the connection. For more information about Client Access Rules, see Client Access Rules in Exchange Online.

Совет

Убедитесь, что правила работают должным образом. Тщательно тестируйте все правила и взаимодействие между ними. Дополнительные сведения см. в разделе Тестирование правил клиентского доступа в Exchange Online PowerShell этой статьи.Verify that your rules work the way you expect. Be sure to thoroughly test each rule and the interactions between rules. For more information, see the Use Exchange Online PowerShell to test Client Access Rules section later in this topic.

Что нужно знать перед началом работы?What do you need to know before you begin?

  • Предполагаемое время выполнения каждой процедуры: менее 5 минут.Estimated time to complete each procedure: less than 5 minutes.

  • Процедуры, которые рассматриваются в этой статье, доступны только в Exchange Online PowerShell. Сведения о том, как с помощью Оболочка Windows PowerShell подключаться к Exchange Online, см. в статье Подключение к PowerShell для Exchange Online.The procedures in this topic are only available in Exchange Online PowerShell. To learn how to use Windows PowerShell to connect to Exchange Online, see Connect to Exchange Online PowerShell.

  • Для выполнения этих процедур необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в статье запись "Поток обработки почты" в статье Разрешения компонентов в Exchange Online.You need to be assigned permissions before you can perform this procedure or procedures. To see what permissions you need, see the "Mail flow" entry in Feature permissions in Exchange Online.

  • Сочетания клавиш для процедур, описанных в этой статье, приведены в статье Сочетания клавиш в Центре администрирования Exchange.For information about keyboard shortcuts that may apply to the procedures in this topic, see Keyboard shortcuts in the Exchange admin center.

Совет

Возникли проблемы? Обратитесь за помощью к участникам форумов, посвященных Exchange. Посетите форумы по таким продуктам: Exchange Server, Exchange Online или Exchange Online Protection.Having problems? Ask for help in the Exchange forums. Visit the forums at Exchange Server,Exchange Online, or Exchange Online Protection.

Просмотр правил клиентского доступа в Exchange Online PowerShellUse the Exchange Online PowerShell to view Client Access Rules

Следующая команда возвращает сводный список всех правил клиентского доступа:To return a summary list of all Client Access Rules, run this command:

Get-ClientAccessRule

Чтобы получить подробные сведения об определенном правиле, используйте следующий синтаксис:To return detailed information about a specific rule, use this syntax:

Get-ClientAccessRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]

В этом примере возвращаются значения всех свойств правила "Block Client Connections from 192.168.1.0/24".This example returns all the property values for the rule named "Block Client Connections from 192.168.1.0/24".

Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List

В этом примере возвращаются только указанные свойства правила.This example returns only the specified properties for the same rule.

Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List Name,Priority,Enabled,Scope,Action

Подробные сведения о синтаксисе и параметрах см. в статье Get-ClientAccessRule.For detailed syntax and parameter information, see Get-ClientAccessRule.

Создание правил клиентского доступа в Exchange Online PowerShellUse Exchange Online PowerShell to create Client Access Rules

Чтобы создавать правила клиентского доступа в Exchange Online PowerShell, используйте следующий синтаксис:To create Client Access Rules in Exchange Online PowerShell, use this syntax:

New-ClientAccessRule -Name "<RuleName>" [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]

В этом примере создается новое правило клиентского доступа с именем Block ActiveSync, которое блокирует доступ для клиентов Exchange ActiveSync (за исключением клиентов с IP-адресами из диапазона 192.168.10.1/24).This example creates a new Client Access Rule named Block ActiveSync that blocks access for Exchange ActiveSync clients, except for clients in the IP address range 192.168.10.1/24.

New-ClientAccessRule -Name "Block ActiveSync" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24

Примечания.Notes:

В этом примере создается новое правило клиентского доступа с именем ограничить доступ центра администрирования Exchange, который блокирует доступ по центру администрирования Exchange, за исключением Если клиента поступает с IP-адреса в диапазоне 192.168.10.1/24 или имя учетной записи пользователя содержит «tanyas».This example creates a new Client Access Rule named Restrict EAC Access that blocks access for the Exchange admin center, except if the client is coming from an IP address in the 192.168.10.1/24 range or if the user account name contains "tanyas".

New-ClientAccessRule -Name "Restrict EAC Access" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24 -ExceptUsernameMatchesAnyOfPatterns *tanyas* -Priority 1

Подробные сведения о синтаксисе и параметрах см. в статье New-ClientAccessRule.For detailed syntax and parameter information, see New-ClientAccessRule.

Как проверить, что все получилось?How do you know this worked?

Чтобы убедиться, что правило клиентского доступа успешно создано, выполните одно из указанных ниже действий.To verify that you've successfully created a Client Access Rule, use any of these procedures:

  • Выполните следующую команду Exchange Online PowerShell, чтобы увидеть новое правило в списке:Run this command in the Exchange Online PowerShell to see the new rule in the list of rules:

    Get-ClientAccessRule
    
  • Замените <RuleName> именем правила и выполните следующую команду, чтобы просмотреть подробные сведения о правиле:Replace <RuleName> with the name of the rule, and run this command to see the details of the rule:

    Get-ClientAccessRule -Identity "<RuleName>" | Format-List
    
  • Посмотрите, какие правила клиентского доступа влияют на конкретное подключение клиента к Exchange Online, используя командлет Test-ClientAccessRule. Дополнительные сведения см. в разделе Тестирование правил клиентского доступа в Exchange Online PowerShell этой статьи.See which Client Access Rules would affect a specific client connection to Exchange Online by using the Test-ClientAccessRule cmdlet. For more information, see the Use Exchange Online PowerShell to test Client Access Rules section later in this topic.

Изменение правил клиентского доступа в Exchange Online PowerShellUse Exchange Online PowerShell to modify Client Access Rules

При изменении правила клиентского доступа никакие дополнительные параметры не используются. В этом случае доступны те же параметры, что и при создании правила.No additional settings are available when you modify a Client Access Rule. They're the same settings that were available when you created the rule.

Чтобы изменить правило клиентского доступа в Exchange Online PowerShell, используйте следующий синтаксис:To modify a Client Access Rule in Exchange Online PowerShell, use this syntax:

Set-ClientAccessRule -Identity "<RuleName>" [-Name "<NewName>"] [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]

В этом примере отключается существующее правило клиентского доступа с именем Allow IMAP4.This example disables the existing Client Access Rule named Allow IMAP4.

Set-ClientAccessRule -Identity "Allow IMAP4" -Enabled $false

При изменении правил клиентского доступа обратите особое внимание на изменение условий или исключений, которые принимают несколько значений:An important consideration when you modify Client Access Rules is modifying conditions or exceptions that accept multiple values:

  • Указанные вами значения заменят существующие значения.The values that you specify will replace any existing values.

  • Чтобы добавить или удалить значения, не изменяя другие существующие значения, используйте следующий синтаксис: @{Add="<Value1>","<Value2>"...; Remove="<Value1>","<Value2>"...}To add or remove values without affecting other existing values, use this syntax: @{Add="<Value1>","<Value2>"...; Remove="<Value1>","<Value2>"...}

В этом примере к существующему правилу клиентского доступа под названием Allow IMAP4 добавляется диапазон IP-адресов 172.17.17.27/16. При этом существующие IP-адреса остаются без изменений.This example adds the IP address range 172.17.17.27/16 to the existing Client Access Rule named Allow IMAP4 without affecting the existing IP address values.

Set-ClientAccessRule "Allow IMAP4" -AnyOfClientIPAddressesOrRanges @{Add="172.17.17.27/16"}

Подробные сведения о синтаксисе и параметрах см. в статье Set-ClientAccessRule.For detailed syntax and parameter information, see Set-ClientAccessRule.

Как проверить, что все получилось?How do you know this worked?

Чтобы убедиться, что правило клиентского доступа успешно изменено, выполните одно из указанных ниже действий.To verify that you've successfully modified a Client Access Rule, use any of these procedures:

  • Замените <RuleName> именем правила и выполните следующую команду, чтобы просмотреть подробные сведения о правиле:Replace <RuleName> with the name of the rule, and run this command to see the details of the rule:

    Get-ClientAccessRule -Identity "<RuleName>" | Format-List
    
  • Посмотрите, какие правила клиентского доступа влияют на конкретное подключение клиента к Exchange Online, используя командлет Test-ClientAccessRule. Дополнительные сведения см. в разделе Тестирование правил клиентского доступа в Exchange Online PowerShell этой статьи.See which Client Access Rules would affect a specific client connection to Exchange Online by using the Test-ClientAccessRule cmdlet. For more information, see the Use Exchange Online PowerShell to test Client Access Rules section later in this topic.

Установка приоритета правил клиентского доступа в Exchange Online PowerShellUse Exchange Online PowerShell to set the priority of Client Access Rules

По умолчанию правилам клиентского доступа присваивается приоритет, соответствующий порядку их создания (у новых правил приоритет ниже, чем у старых). Чем меньше число, тем выше приоритет. Правила обрабатываются в порядке приоритета (правила с высоким приоритетом обрабатываются раньше правил с низким приоритетом). Приоритеты двух правил не могут совпадать.By default, Client Access Rules are given a priority that's based on the order they were created in (newer rules are lower priority than older rules). A lower priority number indicates a higher priority for the rule, and rules are processed in priority order (higher priority rules are processed before lower priority rules). No two rules can have the same priority.

Максимальный приоритет, который можно задать для правила, — 1. Минимальное значение зависит от количества правил. Например, если у вас есть пять правил, вы можете использовать значения 1–5. Изменение приоритета существующего правила оказывает каскадное влияние на другие правила. Например, если вы замените приоритет правила 5 приоритетом 2, когда у вас есть пять правил (с приоритетами от 1 до 5), то для существующего правила с приоритетом 2 будет задан приоритет 3, для правила с приоритетом 3 — приоритет 4, а для правила с приоритетом 4 — приоритет 5.The highest priority you can set on a rule is 1. The lowest value you can set depends on the number of rules. For example, if you have five rules, you can use the priority values 1 through 5. Changing the priority of an existing rule can have a cascading effect on other rules. For example, if you have five rules (priorities 1 through 5), and you change the priority of a rule from 5 to 2, the existing rule with priority 2 is changed to priority 3, the rule with priority 3 is changed to priority 4, and the rule with priority 4 is changed to priority 5.

Чтобы задать приоритет правила в Exchange Online PowerShell, используйте следующий синтаксис:To set the priority of a Client Access Rule in Exchange Online PowerShell, use this syntax:

Set-ClientAccessRule -Identity "<RuleName>" -Priority <Number>

В этом примере для правила "Disable IMAP4" задается приоритет 2. Все правила с приоритетом не больше 2 понижаются на один ранг (значения приоритета увеличиваются на 1).This example sets the priority of the rule named Disable IMAP4 to 2. All existing rules that have a priority less than or equal to 2 are decreased by 1 (their priority numbers are increased by 1).

Set-ClientAccessRule -Identity "Disable IMAP" -Priority 2

Примечание. Чтобы задать приоритет нового правила при его создании, используйте параметр Priority командлета New-ClientAccessRule.Note: To set the priority of a new rule when you create it, use the Priority parameter on the New-ClientAccessRule cmdlet.

Как проверить, что все получилось?How do you know this worked?

Чтобы убедиться, что приоритет правила клиентского доступа успешно задан, выполните одно из указанных ниже действий.To verify that you've successfully set the priority of a Client Access Rule, use either of these procedures:

  • Выполните следующую команду в Exchange Online PowerShell, чтобы просмотреть список правил и соответствующих значений Priority:Run the this command in Exchange Online PowerShell to see the list of rules and their Priority values:

    Get-ClientAccessRule
    
  • Замените <RuleName> именем правила и выполните следующую команду:Replace <RuleName> with the name of the rule, and run this command:

    Get-ClientAccessRule -Identity "<RuleName>" | Format-List Name,Priority
    

Удаление правил клиентского доступа в Exchange Online PowerShellUse Exchange Online PowerShell to remove Client Access Rules

Чтобы удалить правила клиентского доступа в Exchange Online PowerShell, используйте следующий синтаксис:To remove Client Access Rules in Exchange Online PowerShell, use this syntax:

Remove-ClientAccessRule -Identity "<RuleName>"

В этом примере удаляется правило клиентского доступа с именем Block POP3.This example removes the Client Access Rule named Block POP3.

Remove-ClientAccessRule -Identity "Block POP3"

Примечание. Чтобы отключить правило клиентского доступа, не удаляя его, используйте параметр Enabled со значением $false в командлете Set-ClientAccessRule.Note: To disable a Client Access Rule without deleting it, use the Enabled parameter with the value $false on the Set-ClientAccessRule cmdlet.

Подробные сведения о синтаксисе и параметрах см. в статье Remove-ClientAccessRule.For detailed syntax and parameter information, see Remove-ClientAccessRule.

Как проверить, что все получилось?How do you know this worked?

Чтобы убедиться, что правило клиентского доступа успешно удалено и больше не отображается, выполните следующую команду в Exchange Online PowerShell:To verify that you've successfully removed a Client Access Rule, run this command in Exchange Online PowerShell to verify that the rule is no longer listed:

Get-ClientAccessRule

Тестирование правил клиентского доступа в Exchange Online PowerShellUse Exchange Online PowerShell to test Client Access Rules

Чтобы посмотреть, какие правила клиентского доступа влияют на конкретное подключение клиента к Exchange Online, используйте следующий синтаксис:To see which Client Access Rules would affect a specific client connection to Exchange Online, use this syntax:

Test-ClientAccessRule -User <MailboxIdentity> -AuthenticationType <AuthenticationType> -Protocol <Protocol> -RemoteAddress <ClientIPAddress> -RemotePort <TCPPortNumber>

Этот пример возвращает правила клиентского доступа, соответствующие подключению клиента к Exchange Online, со следующими свойствами:This example returns the Client Access Rules that would match a client connection to Exchange Online that has these properties:

  • Тип проверки подлинности: основныеAuthentication type: Basic

  • Протокол:OutlookWebAppProtocol: OutlookWebApp

  • Удаленный адрес: 172.17.17.26Remote address: 172.17.17.26

  • Удаленный порт: 443Remote port: 443

  • Пользователь: julia@contoso.comUser: julia@contoso.com

Test-ClientAccessRule  -User julia@contoso.com -AuthenticationType BasicAuthentication -Protocol OutlookWebApp -RemoteAddress 172.17.17.26 -RemotePort 443

Подробные сведения о синтаксисе и параметрах см. в статье Test-ClientAccessRule.For detailed syntax and parameter information, see Test-ClientAccessRule.