Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
GILT FÜR:
2016 
2019 Subscription Edition
Clientzugriffsregeln helfen Ihnen, den Zugriff auf Ihre Exchange 2019-organization im Exchange Admin Center (EAC) und Remote-PowerShell basierend auf Clienteigenschaften oder Clientzugriffsanforderungen zu steuern. Clientzugriffsregeln sind wie Nachrichtenflussregeln (auch als Transportregeln bezeichnet) für EAC- und PowerShell-Remoteverbindungen mit Ihrem Exchange-organization. Sie können verhindern, dass EAC- und Remote-PowerShell-Clients basierend auf ihrer IP-Adresse (IPv4 und IPv6), dem Authentifizierungstyp und den Werten der Benutzereigenschaft eine Verbindung mit Exchange herstellen. Zum Beispiel:
- Verhindern des Clientzugriffs mithilfe von Remote-PowerShell (die auch die Exchange-Verwaltungsshell enthält).
- Blockieren sie den Zugriff auf das EAC für Benutzer in einem bestimmten Land oder einer bestimmten Region.
Informationen zu Prozeduren für Clientzugriffsregeln finden Sie unter Prozeduren für Clientzugriffsregeln in Exchange Server.
Clientzugriffsregeln – Komponenten
Eine Regel besteht aus Bedingungen, Ausnahmen, einer Aktion und einem Eigenschaftswert:
Bedingungen: Identifizieren Sie die Clientverbindungen, auf die die Aktion angewendet werden soll. Eine vollständige Liste der Bedingungen finden Sie im Abschnitt Bedingungen und Ausnahmen für Clientzugriffsregel weiter unten in diesem Thema. Wenn eine Clientverbindung den Bedingungen einer Regel entspricht, wird die Aktion auf die Clientverbindung angewendet, und die Regelauswertung wird beendet (es werden keine Regeln mehr auf die Verbindung angewendet).
Ausnahmen: Identifiziert optional die Clientverbindungen, auf die die Aktion nicht angewendet werden soll. Mit Ausnahmen werden Bedingungen außer Kraft gesetzt, und es wird verhindert, dass die Regelaktion auf eine Verbindung angewendet wird, und zwar auch dann, wenn die Verbindung allen konfigurierten Bedingungen entspricht. Die Regelauswertung wird für Clientverbindungen fortgesetzt, die von der Ausnahme zugelassen werden, aber eine nachfolgende Regel könnte sich auf die Verbindung auswirken.
Aktion: Gibt an, welche Aufgaben für Clientverbindungen durchgeführt werden, die den Bedingungen in der Regel entsprechen und keiner Ausnahme entsprechen. Gültige Aktionen sind:
Lassen Sie die Verbindung zu (der
AllowAccessWert für den Action-Parameter ).Blockieren Sie die Verbindung (der
DenyAccessWert für den Action-Parameter ).Hinweis: Wenn Sie Verbindungen für ein bestimmtes Protokoll blockieren, sind möglicherweise auch andere Anwendungen betroffen, die auf dasselbe Protokoll zugreifen.
Priorität: Zeigt die Reihenfolge an, in der die Regeln auf Clientverbindungen angewendet werden. Die standardmäßige Priorität basiert auf dem Erstellungsdatum der Regel (ältere Regeln haben eine höhere Priorität als neuere Regeln), und Regeln mit höherer Priorität werden vor Regeln mit niedrigerer Priorität verarbeitet. Die Regelbearbeitung wird beendet, wenn die Clientverbindung den Bedingungen in der Regel entspricht.
Weitere Informationen zum Festlegen des Prioritätswerts für Regeln finden Sie unter Verwenden der Exchange-Verwaltungsshell zum Festlegen der Priorität von Clientzugriffsregeln.
Auswertung von Clientzugriffsregeln
In der folgenden Tabelle wird beschrieben, wie mehrere Regeln mit derselben Bedingung ausgewertet werden und wie eine Regel mit mehreren Bedingungen, Bedingungswerten und Ausnahmen ausgewertet wird.
| Komponente | Logik | Kommentare |
|---|---|---|
| Mehrere Regeln, die dieselbe Bedingung enthalten | Die erste Regel wird angewendet , und nachfolgende Regeln werden ignoriert. | Wenn ihre Regel mit der höchsten Priorität beispielsweise PowerShell-Remoteverbindungen blockiert und Sie eine weitere Regel erstellen, die PowerShell-Remoteverbindungen für einen bestimmten IP-Adressbereich zulässt, werden alle PowerShell-Remoteverbindungen weiterhin durch die erste Regel blockiert. Anstatt eine weitere Regel für Remote-PowerShell zu erstellen, müssen Sie der vorhandenen Remote-PowerShell-Regel eine Ausnahme hinzufügen, um Verbindungen aus dem angegebenen IP-Adressbereich zuzulassen. |
| Mehrere Bedingungen in einer Regel | UND | Eine Clientverbindung muss allen Bedingungen in der Regel entsprechen. Beispielsweise EAC-Verbindungen von Benutzern in der Buchhaltungsabteilung. |
| Eine Bedingung mit mehreren Werten in einer Regel | ODER | Für Bedingungen, die mehrere Werte zulassen, muss die Verbindung einer (nicht allen) der angegebenen Bedingungen entsprechen. Beispielsweise EAC- oder PowerShell-Remoteverbindungen. |
| Mehrere Ausnahmen in einer Regel | ODER | Wenn eine Clientverbindung einer der Ausnahmen entspricht, werden die Aktionen nicht auf die Clientverbindung angewendet. Die Verbindung muss nicht allen Ausnahmen entsprechen. Beispielsweise IP-Adresse 19.2.168.1.1 oder Standardauthentifizierung. |
Sie können testen, wie Clientzugriffsregeln sich auf eine bestimmte Clientverbindung auswirken würden (welche Regeln übereinstimmen würden und daher Einfluss auf die Verbindung hätten). Weitere Informationen finden Sie unter Verwenden der Exchange-Verwaltungsshell zum Testen von Clientzugriffsregeln.
Wichtige Hinweise:
Clientverbindungen aus dem internen Netzwerk
Connections aus Ihrem lokalen Netzwerk dürfen Clientzugriffsregeln nicht automatisch umgehen. Daher müssen Sie beim Erstellen von Clientzugriffsregeln, die Clientverbindungen mit Exchange blockieren, berücksichtigen, wie sich Verbindungen aus Ihrem internen Netzwerk auswirken können. Die bevorzugte Methode zum Umgehen von Clientzugriffsregeln durch interne Clientverbindungen besteht darin, eine Regel mit der höchsten Priorität zu erstellen, die Clientverbindungen aus Ihrem internen Netzwerk zulässt (alle oder bestimmte IP-Adressen). Auf diese Weise sind die Clientverbindungen immer zulässig, unabhängig von anderen Blockierungsregeln, die Sie in Zukunft erstellen.
Client-Zugriffsregeln und Anwendungen auf mittlerer Ebene
Viele Anwendungen, die auf Exchange zugreifen, verwenden eine Architektur der mittleren Ebene (Clients kommunizieren mit der Anwendung der mittleren Ebene und die Anwendung der mittleren Ebene spricht mit Exchange). Eine Client-Zugriffsregel, die nur den Zugriff von Ihrem lokalen Netzwerk zulässt, blockiert möglicherweise Anwendungen auf mittlerer Ebene. Deshalb müssen Ihre Regeln die IP-Adressen von Anwendungen auf mittlerer Ebene zulassen.
Anwendungen der mittleren Ebene im Besitz von Microsoft (z. B. Outlook für iOS und Android) umgehen die Blockierung durch Clientzugriffsregeln und sind immer zulässig. Um zusätzliche Kontrolle über diese Anwendungen bereitzustellen, müssen Sie die Funktionen des Steuerelements verwenden, das in den Anwendung verfügbar ist.
Anzeigedauer für Regeländerungen
Um die allgemeine Leistung zu verbessern, verwenden Client-Zugriffsregeln einen Zwischenspeicher, was bedeutet, dass Änderungen an Regeln nicht sofort wirksam werden. Bei der ersten Regel, die Sie in Ihrer Organisation erstellen, kann es bis zu 24 Stunden dauern, bis sie wirksam wird. Danach kann es bis zu einer Stunde dauern, bis das Ändern, Hinzufügen oder Entfernen von Regeln wirksam wird.
Verwaltung
Sie können nur die Exchange-Verwaltungsshell (Remote-PowerShell) zum Verwalten von Clientzugriffsregeln verwenden. Daher müssen Sie bei Regeln vorsichtig sein, die den Zugriff auf Remote-PowerShell blockieren.
Als bewährte Methode erstellen Sie eine Clientzugriffsregel mit der höchsten Priorität, um den Zugriff auf Remote-PowerShell zu erhalten. Beispiel:
New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1
Authentifizierungsarten und Protokolle
Nicht alle Authentifizierungstypen werden für alle Protokolle unterstützt. Die unterstützten Authentifizierungstypen pro Protokoll in Exchange Server werden in dieser Tabelle beschrieben:
| Protokoll | AdfsAuthentication | BasicAuthentication | CertificateBasedAuthentication | NonBasicAuthentication | OAuthAuthentication |
|---|---|---|---|---|---|
ExchangeAdminCenter |
unterstützt | unterstützt | N/V | n/v | n/v |
RemotePowerShell |
N/V | unterstützt | N/V | unterstützt | n/v |
Clientzugriffsregel-Bedingungen und -Ausnahmen
Bedingungen und Ausnahmen in Clientzugriffsregeln identifizieren die Clientverbindungen, auf die die Regel angewendet oder nicht angewendet wird. Wenn die Regel beispielsweise den Zugriff durch PowerShell-Remoteclients blockiert, können Sie die Regel so konfigurieren, dass PowerShell-Remoteverbindungen aus einem bestimmten BEREICH von IP-Adressen zugelassen werden. Die Syntax ist für eine Bedingung und die entsprechende Ausnahme identisch. Der einzige Unterschied ist: Bedingungen geben die einzuschließenden Clientverbindungen an, während Ausnahmen auszuschließende Clientverbindungen angeben.
Diese Tabelle beschreibt die Bedingungen und Ausnahmen, die in Clientzugriffsregeln zur Verfügung stehen:
| Bedingungsparameter in der Exchange-Verwaltungsshell | Ausnahmeparameter in der Exchange-Verwaltungsshell | Beschreibung |
|---|---|---|
| AnyOfAuthenticationTypes | ExceptAnyOfAuthenticationTypes | Gültige Werte in Exchange Server sind:
Es können mehrere Werte durch Kommata getrennt angegeben werden. Sie können die einzelnen Werte in Anführungszeichen einschließen ("value1","value2"), jedoch nicht alle Werte (Verwenden Sie nicht "value1,value2"). |
| AnyOfClientIPAddressesOrRanges | ExceptAnyOfClientIPAddressesOrRanges | IPv4- und IPv6-Adressen werden unterstützt. Gültige Werte sind:
Es können mehrere Werte durch Kommata getrennt angegeben werden. Weitere Informationen zu IPv6-Adressen und zur Syntax finden Sie in diesem Exchange 2013-Thema: IPv6-Adressgrundlagen. |
| AnyOfProtocols | ExceptAnyOfProtocols | Gültige Werte in Exchange Server sind:
Es können mehrere Werte durch Kommata getrennt angegeben werden. Sie können Anführungszeichen um jeden einzelnen Wert (" Wert1","Wert2"), aber nicht um alle Werte herum verwenden (verwenden Sie nicht "Wert1,Wert2"). Hinweis: Wenn Sie diese Bedingung nicht in einer Regel verwenden, wird die Regel auf beide Protokolle angewendet. |
| Scope | n/v | Gibt den Typ der Verbindungen an, auf die die Regel angewendet wird. Gültige Werte sind:
|
| UsernameMatchesAnyOfPatterns | ExceptUsernameMatchesAnyOfPatterns | Akzeptiert Text und das Platzhalterzeichen (*) zum Identifizieren des Kontonamens des Benutzers im Format <Domain>\<UserName> (z. B. oder *jeff*, contoso.com\jeff aber nicht jeff*). Für nicht alphanumerische Zeichen sind keine Escapezeichen erforderlich. Mehrere Werte können durch Kommas getrennt angegeben werden. |
| UserRecipientFilter | n/v | Verwendet OPath-Filtersyntax zur Identifizierung des Benutzers, auf den die Regel angewendet wird. Beispiel: "City -eq 'Redmond'". Filterbare Attribute:
Das Suchkriterium verwendet die Syntax
Sie können mehrere Suchkriterien mithilfe der logischen Operatoren |