Verfahren für Clientzugriffsregeln in Exchange Online
Zusammenfassung: Erfahren Sie, wie Sie Clientzugriffsregeln in Exchange Online erstellen, anzeigen, ändern, löschen und testen.
Clientzugriffsregeln ermöglichen oder blockieren Clientverbindungen mit Ihrer Exchange Online-Organisation basierend auf den Eigenschaften der Verbindung. Weitere Informationen zu Clientzugriffsregeln finden Sie unter Clientzugriffsregeln in Exchange Online.
Hinweis
Ab Oktober 2022 haben wir den Zugriff auf Clientzugriffsregeln für alle vorhandenen Exchange Online Organisationen deaktiviert, die diese nicht verwendet haben. Im Oktober 2023 endet die Unterstützung für Clientzugriffsregeln für alle Exchange Online Organisationen. Weitere Informationen finden Sie unter Einstellung von Clientzugriffsregeln in Exchange Online.
Stellen Sie sicher, dass Ihre Regeln wie erwartet arbeiten. Testen Sie alle Regeln und die Interaktionen zwischen Regeln sorgfältig. Weitere Informationen finden Sie unter Verwenden von Exchange Online PowerShell zum Testen von Clientzugriffsregeln weiter unten in diesem Thema.
Was sollten Sie wissen, bevor Sie beginnen?
Geschätzte Zeit zum Abschließen der einzelnen Verfahren: Weniger als 5 Minuten
Die Vorgehensweisen in diesem Thema sind nur in Exchange Online PowerShell verfügbar. Wie Sie mit Windows PowerShell eine Verbindung mit Exchange Online herstellen, können Sie unter Herstellen einer Verbindung mit Exchange Online PowerShell nachlesen.
Clientzugriffsregeln unterstützen IPv4- und IPv6-Adressen. Weitere Informationen zu IPv6-Adressen und zur Syntax finden Sie in diesem Exchange 2013-Thema: IPv6-Adressgrundlagen.
Bevor Sie dieses Verfahren bzw. diese Verfahren ausführen können, müssen Ihnen die entsprechenden Berechtigungen zugewiesen werden. Informationen zu den von Ihnen benötigten Berechtigungen finden Sie unter "Nachrichtenübermittlung " in Featureberechtigungen in Exchange Online.
Informationen zu Tastenkombinationen für die Verfahren in diesem Thema finden Sie unter Tastenkombinationen für das Exchange Admin Center.
Tipp
Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter Exchange Online oder Exchange Online Protection.
Verwenden von Exchange Online PowerShell zum Anzeigen von Clientzugriffsregeln
Führen Sie den folgenden Befehl aus, um zu einer Zusammenfassung aller Clientzugriffsregeln zurückzukehren:
Get-ClientAccessRule
Verwenden Sie die folgende Syntax, um detaillierte Informationen zu einer bestimmten Regel zurückzugeben:
Get-ClientAccessRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]
In diesem Beispiel werden alle Eigenschaftswerte für die Regel namens "Block Client Connections from 192.168.1.0/24" zurückgegeben.
Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List
In diesem Beispiel werden nur die angegebenen Eigenschaften für die gleiche Regel zurückgegeben.
Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List Name,Priority,Enabled,Scope,Action
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Get-ClientAccessRule.
Verwenden von Exchange Online PowerShell zum Erstellen von Clientzugriffsregeln
Verwenden Sie die folgende Syntax zum Erstellen von Clientzugriffsregeln in Exchange Online PowerShell:
New-ClientAccessRule -Name "<RuleName>" [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]
In diesem Beispiel wird eine Clientzugriffsregel mit der Bezeichnung "Block ActiveSync" erstellt, die den Zugriff für Exchange ActiveSync-Clients außerhalb des IP-Adressbereichs 192.168.10.1/24 blockiert.
New-ClientAccessRule -Name "Block ActiveSync" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24
Hinweise:
- Als bewährte Methode sollten Sie eine Clientzugriffsregel mit der höchsten Priorität erstellen, um den Administratorzugriff auf Remote-PowerShell beizubehalten. Beispiel:
New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1. - Die Regel hat den Standardwert für Priorität, da wir den Priority-Parameter nicht verwendet haben. Weitere Informationen finden Sie unter Verwenden von Exchange Online PowerShell zum Festlegen der Priorität von Clientzugriffsregeln weiter unten in diesem Thema.
- Die Regel ist aktiviert, da wir den Parameter Enabled nicht verwendet haben und der Standardwert ist
$true.
In diesem Beispiel wird eine neue Clientzugriffsregel namens EAC-Zugriff einschränken erstellt, die den Zugriff für das klassische Exchange Admin Center blockiert, es sei denn, der Client stammt von einer IP-Adresse im Bereich 192.168.10.1/24 oder wenn der Benutzerkontoname "tanyas" enthält.
New-ClientAccessRule -Name "Restrict EAC Access" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24 -ExceptUsernameMatchesAnyOfPatterns *tanyas*
Ausführliche Informationen zu Syntax und Parametern finden Sie unter New-ClientAccessRule.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Verwenden Sie eines der folgenden Verfahren, um sich zu vergewissern, dass Sie die Clientzugriffsregel erfolgreich erstellt haben:
Führen Sie diesen Befehl in Exchange Online PowerShell aus, um die neue Regel in der Liste der Regeln anzuzeigen:
Get-ClientAccessRuleErsetzen Sie <RuleName> durch den Namen der Regel, und führen Sie diesen Befehl aus, um die Details der Regel anzuzeigen:
Get-ClientAccessRule -Identity "<RuleName>" | Format-ListMithilfe des Test-ClientAccessRule -Cmdlets können Sie erfahren, welche Clientzugriffsregeln sich auf eine bestimmte Clientverbindung mit Exchange Online auswirken würden. Weitere Informationen finden Sie unter Verwenden von Exchange Online PowerShell zum Testen von Clientzugriffsregeln weiter unten in diesem Thema.
Verwenden von Exchange Online PowerShell zum Ändern von Clientzugriffsregeln
Beim Ändern einer Clientzugriffsregel stehen keine zusätzlichen Einstellungen zur Verfügung. Es sind die gleichen Einstellungen, die bei der Erstellung der Regel verfügbar waren:
Verwenden Sie die folgende Syntax zum Ändern einer Clientzugriffsregel in Exchange Online PowerShell:
Set-ClientAccessRule -Identity "<RuleName>" [-Name "<NewName>"] [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]
In diesem Beispiel wird die vorhandene Clientzugriffsregel mit dem Namen „IMAP4 zulassen" deaktiviert.
Set-ClientAccessRule -Identity "Allow IMAP4" -Enabled $false
Eine wichtige Überlegung beim Ändern von Clientzugriffsregeln ist das Ändern von Bedingungen oder Ausnahmen, die mehrere Werte akzeptieren:
- Die von Ihnen angegebenen Werte ersetzen vorhandene Werte.
- Verwenden Sie die folgende Syntax, um Werte ohne Auswirkungen auf andere vorhandene Werte hinzuzufügen oder zu entfernen:
@{Add="<Value1>","<Value2>"...; Remove="<Value1>","<Value2>"...}
In diesem Beispiel wird der IP-Adressbereich 172.17.17.27/16 der bestehenden Clientzugriffsregel mit der Bezeichnung "IMAP4 zulassen" hinzugefügt, ohne dabei bestehende IP-Adresswerte zu beeinflussen.
Set-ClientAccessRule -Identity "Allow IMAP4" -AnyOfClientIPAddressesOrRanges @{Add="172.17.17.27/16"}
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Set-ClientAccessRule.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Verwenden Sie eines der folgenden Verfahren, um sich zu vergewissern, dass Sie die Clientzugriffsregel erfolgreich geändert haben:
Ersetzen Sie <RuleName> durch den Namen der Regel, und führen Sie diesen Befehl aus, um die Details der Regel anzuzeigen:
Get-ClientAccessRule -Identity "<RuleName>" | Format-ListMithilfe des Test-ClientAccessRule -Cmdlets können Sie erfahren, welche Clientzugriffsregeln sich auf eine bestimmte Clientverbindung mit Exchange Online auswirken würden. Weitere Informationen finden Sie unter Verwenden von Exchange Online PowerShell zum Testen von Clientzugriffsregeln weiter unten in diesem Thema.
Verwenden von Exchange Online PowerShell zum Festlegen der Priorität von Clientzugriffsregeln
Standardmäßig erhalten Clientzugriffsregeln eine Priorität, die auf der Reihenfolge ihrer Erstellung basiert (neuere Regeln haben eine niedrigere Priorität als ältere). Eine niedrigere Prioritätsnummer gibt eine höhere Priorität für die Regel an, und Regeln werden in der Reihenfolge der Priorität verarbeitet (Regeln mit einer höheren Priorität werden vor Regeln mit einer niedrigeren Priorität verarbeitet). Zwei Regeln können nicht dieselbe Priorität haben.
Die höchste Priorität, die Sie für eine Regel festlegen können, ist 1. Der niedrigste Wert, den Sie festlegen können, hängt von der Anzahl von Regeln ab. Wenn Sie z. B. fünf Regeln haben, können Sie die Prioritätswerte 1 bis 5 verwenden. Das Ändern der Priorität einer vorhandenen Regel kann sich entsprechend auf andere Regeln auswirken. Wenn Sie z. B. fünf Regeln haben (Priorität 1 bis 5), und Sie ändern die Priorität einer Regel von 5 in 2, so wird die vorhandene Regel mit Priorität 2 in Priorität 3 geändert,die Regel mit Priorität 3 wird in Priorität 4 geändert, und die Regel mit Priorität 4 wird in Priorität 5 geändert.
Verwenden Sie die folgende Syntax, um die Priorität einer Regel in Exchange Online PowerShell festzulegen:
Set-ClientAccessRule -Identity "<RuleName>" -Priority <Number>
In diesem Beispiel wird die Priorität der Regel namens „IMAP4 deaktivieren" auf 2 festgelegt. Alle vorhandenen Regeln mit Priorität kleiner oder gleich 2 werden um 1 verringert (die Prioritätswerte werden um 1 erhöht).
Set-ClientAccessRule -Identity "Disable IMAP" -Priority 2
Hinweis: Verwenden Sie den Parameter Priority im Cmdlet New-ClientAccessRule, um die Priorität einer neuen Regel bei ihrer Erstellung festzulegen.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Verwenden Sie eines der folgenden Verfahren, um sich zu vergewissern, dass Sie die Priorität einer Clientzugriffsregel erfolgreich festgelegt haben:
Führen Sie den folgenden Befehl in Exchange Online PowerShell aus, um die Liste der Regeln und die zugehörigen Priority -Werte anzuzeigen:
Get-ClientAccessRuleErsetzen Sie <RuleName> durch den Namen der Regel, und führen Sie den folgenden Befehl aus:
Get-ClientAccessRule -Identity "<RuleName>" | Format-List Name,Priority
Verwenden von Exchange Online PowerShell zum Entfernen von Clientzugriffsregeln
Verwenden Sie die folgende Syntax zum Entfernen von Clientzugriffsregeln in Exchange Online PowerShell:
Remove-ClientAccessRule -Identity "<RuleName>"
In diesem Beispiel wird die Clientzugriffsregel mit dem Namen „POP3 blockieren" entfernt.
Remove-ClientAccessRule -Identity "Block POP3"
Hinweis: Um eine Clientzugriffsregel zu deaktivieren, ohne sie zu löschen, verwenden Sie den Parameter Enabled mit dem Wert $false im Cmdlet Set-ClientAccessRule .
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Remove-ClientAccessRule.
Woher wissen Sie, dass dieses Verfahren erfolgreich war?
Um sich zu vergewissern, dass Sie eine Clientzugriffsregel erfolgreich entfernt haben, führen Sie den folgenden Befehl in Exchange Online PowerShell aus. So können Sie überprüfen, dass die Regel nicht mehr aufgeführt wird:
Get-ClientAccessRule
Verwenden von Exchange Online PowerShell zum Testen von Clientzugriffsregeln
Verwenden Sie die folgende Syntax, um zu sehen, welche Clientzugriffsregeln sich auf eine bestimmte Clientverbindung mit Exchange Online auswirken würden:
Test-ClientAccessRule -User <MailboxIdentity> -AuthenticationType <AuthenticationType> -Protocol <Protocol> -RemoteAddress <ClientIPAddress> -RemotePort <TCPPortNumber>
In diesem Beispiel werden die Clientzugriffsregeln zurückgegeben, die einer Clientverbindung mit Exchange Online entsprechen würden, die die folgenden Eigenschaften aufweist:
- Authentifizierungstyp: Standard
- Protokoll:
OutlookWebApp - Remoteadresse: 172.17.17.26
- Remoteport: 443
- Benutzer: julia@contoso.com
Test-ClientAccessRule -User julia@contoso.com -AuthenticationType BasicAuthentication -Protocol OutlookWebApp -RemoteAddress 172.17.17.26 -RemotePort 443
Ausführliche Informationen zu Syntax und Parametern finden Sie unter Test-ClientAccessRule.