Procedimientos para reglas de acceso de cliente en Exchange Online
Resumen: obtenga información sobre cómo ver, crear, modificar, eliminar y probar reglas de acceso de cliente en Exchange Online.
Las reglas de acceso de cliente permiten o bloquean las conexiones de cliente a la organización Exchange Online en función de las propiedades de la conexión. Para obtener más información sobre las reglas de acceso de cliente, consulte Reglas de acceso de cliente en Exchange Online.
Nota:
A partir de octubre de 2022, hemos deshabilitado el acceso a las reglas de acceso de cliente para todas las organizaciones Exchange Online existentes que no las usaban. En octubre de 2023, la compatibilidad con las reglas de acceso de cliente finalizará para todas las organizaciones Exchange Online. Para obtener más información, vea Desuso de las reglas de acceso de cliente en Exchange Online.
Compruebe que las reglas funcionan de la forma esperada. Asegúrese de probar exhaustivamente cada regla y las interacciones entre las reglas. Para obtener más información, vea la sección Usar Exchange Online PowerShell para probar reglas de acceso de cliente más adelante en este tema.
¿Qué necesita saber antes de empezar?
Tiempo estimado para completar cada procedimiento: menos de 5 minutos.
Los procedimientos de este tema solo están disponibles en Exchange Online PowerShell. Para obtener información sobre cómo usar Windows PowerShell para conectarse a Exchange Online, vea Conexión a Exchange Online PowerShell.
Las reglas de acceso de cliente admiten direcciones IPv4 e IPv6. Para obtener más información sobre las direcciones IPv6 y la sintaxis, vea este tema de Exchange 2013: Conceptos básicos de direcciones IPv6.
Deberá tener permisos asignados para poder llevar a cabo estos procedimientos. Para ver qué permisos necesita, consulte la entrada "Flujo de correo" en Permisos de características en Exchange Online.
Para obtener información sobre los métodos abreviados de teclado que se pueden aplicar a los procedimientos de este tema, vea Métodos abreviados de teclado para el Centro de administración de Exchange.
Sugerencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Online o Exchange Online Protection.
Uso de Exchange Online PowerShell para ver las reglas de acceso de cliente
Para devolver una lista de resumen de todas las reglas de acceso de cliente, ejecute este comando:
Get-ClientAccessRule
Para devolver información detallada sobre una regla específica, use esta sintaxis:
Get-ClientAccessRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]
En este ejemplo se devuelven todos los valores de propiedad de la regla denominada "Bloquear conexiones de cliente de 192.168.1.0/24".
Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List
En el ejemplo solo se devuelven las propiedades especificadas para la misma regla.
Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List Name,Priority,Enabled,Scope,Action
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Get-ClientAccessRule.
Uso de Exchange Online PowerShell para crear reglas de acceso de cliente
Para crear reglas de acceso de cliente en Exchange Online PowerShell, use esta sintaxis:
New-ClientAccessRule -Name "<RuleName>" [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]
En este ejemplo se crea una nueva regla de acceso de cliente denominada Bloquear ActiveSync que bloquea el acceso para Exchange ActiveSync clientes, excepto para los clientes del intervalo de direcciones IP 192.168.10.1/24.
New-ClientAccessRule -Name "Block ActiveSync" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24
Notas:
- Como procedimiento recomendado, cree una regla de acceso de cliente con la máxima prioridad para conservar el acceso de administrador a PowerShell remoto. Por ejemplo:
New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1. - La regla tiene el valor de prioridad predeterminado, porque no usamos el parámetro Priority . Para obtener más información, vea la sección Uso de Exchange Online PowerShell para establecer la prioridad de las reglas de acceso de cliente más adelante en este tema.
- La regla está habilitada, porque no usamos el parámetro Enabled y el valor predeterminado es
$true.
En este ejemplo se crea una nueva regla de acceso de cliente denominada Restringir el acceso EAC que bloquea el acceso al Centro de administración de Exchange clásico, excepto si el cliente procede de una dirección IP en el intervalo 192.168.10.1/24 o si el nombre de la cuenta de usuario contiene "tanyas".
New-ClientAccessRule -Name "Restrict EAC Access" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24 -ExceptUsernameMatchesAnyOfPatterns *tanyas*
Para obtener información detallada sobre la sintaxis y los parámetros, consulte New-ClientAccessRule.
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha creado correctamente una regla de acceso de cliente, use cualquiera de estos procedimientos:
Ejecute este comando en Exchange Online PowerShell para ver la nueva regla en la lista de reglas:
Get-ClientAccessRuleReemplace <RuleName> por el nombre de la regla y ejecute este comando para ver los detalles de la regla:
Get-ClientAccessRule -Identity "<RuleName>" | Format-ListVea qué reglas de acceso de cliente afectarían a una conexión de cliente específica a Exchange Online mediante el cmdlet Test-ClientAccessRule. Para obtener más información, vea la sección Usar Exchange Online PowerShell para probar reglas de acceso de cliente más adelante en este tema.
Uso de Exchange Online PowerShell para modificar las reglas de acceso de cliente
No hay ninguna configuración adicional disponible al modificar una regla de acceso de cliente. Son las mismas opciones de configuración que estaban disponibles cuando se creó la regla.
Para modificar una regla de acceso de cliente en Exchange Online PowerShell, use esta sintaxis:
Set-ClientAccessRule -Identity "<RuleName>" [-Name "<NewName>"] [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]
En este ejemplo se deshabilita la regla de acceso de cliente existente denominada Permitir IMAP4.
Set-ClientAccessRule -Identity "Allow IMAP4" -Enabled $false
Una consideración importante al modificar reglas de acceso de cliente es modificar condiciones o excepciones que aceptan varios valores:
- Los valores que especifique reemplazarán los valores existentes.
- Para agregar o quitar valores sin afectar a otros valores existentes, use esta sintaxis:
@{Add="<Value1>","<Value2>"...; Remove="<Value1>","<Value2>"...}
En este ejemplo se agrega el intervalo de direcciones IP 172.17.17.27/16 a la regla de acceso de cliente existente denominada Permitir IMAP4 sin afectar a los valores de dirección IP existentes.
Set-ClientAccessRule -Identity "Allow IMAP4" -AnyOfClientIPAddressesOrRanges @{Add="172.17.17.27/16"}
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-ClientAccessRule.
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha modificado correctamente una regla de acceso de cliente, use cualquiera de estos procedimientos:
Reemplace <RuleName> por el nombre de la regla y ejecute este comando para ver los detalles de la regla:
Get-ClientAccessRule -Identity "<RuleName>" | Format-ListVea qué reglas de acceso de cliente afectarían a una conexión de cliente específica a Exchange Online mediante el cmdlet Test-ClientAccessRule. Para obtener más información, vea la sección Usar Exchange Online PowerShell para probar reglas de acceso de cliente más adelante en este tema.
Usar Exchange Online PowerShell para establecer la prioridad de las reglas de acceso de cliente
De forma predeterminada, a las reglas de acceso de cliente se les asigna una prioridad que se basa en el orden en que se crearon (las reglas más recientes son menos prioritarias que las reglas anteriores). Un número de prioridad más bajo indica una prioridad mayor de la regla y las reglas se procesan por orden de prioridad (las reglas de prioridad mayor se procesan antes que las reglas de prioridad menor). Dos reglas no pueden tener la misma prioridad.
La prioridad más alta que puede establecer en una regla es 1. El valor mínimo que se puede establecer depende del número de reglas. Por ejemplo, si tiene cinco reglas, puede usar los valores de prioridad del 1 al 5. El cambio de prioridad de una regla existente puede tener un efecto cascada en otras reglas. Por ejemplo, si tiene cinco reglas (prioridades 1 a 5) y cambia la prioridad de una regla de 5 a 2, la regla existente con prioridad 2 se cambia a prioridad 3, la regla con prioridad 3 se cambia a prioridad 4 y la regla con prioridad 4 se cambia a prioridad 5.
Para establecer la prioridad de una regla de acceso de cliente en Exchange Online PowerShell, use esta sintaxis:
Set-ClientAccessRule -Identity "<RuleName>" -Priority <Number>
En este ejemplo se establece la prioridad de la regla denominada Deshabilitar IMAP4 en 2. Todas las reglas existentes que tienen una prioridad menor o igual a 2 se reducen en 1 (sus números de prioridad aumentan en 1).
Set-ClientAccessRule -Identity "Disable IMAP" -Priority 2
Nota: Para establecer la prioridad de una nueva regla al crearla, use el parámetro Priority en el cmdlet New-ClientAccessRule .
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha establecido correctamente la prioridad de una regla de acceso de cliente, use cualquiera de estos procedimientos:
Ejecute este comando en Exchange Online PowerShell para ver la lista de reglas y sus valores de prioridad:
Get-ClientAccessRuleReemplace <RuleName> por el nombre de la regla y ejecute este comando:
Get-ClientAccessRule -Identity "<RuleName>" | Format-List Name,Priority
Uso de Exchange Online PowerShell para quitar reglas de acceso de cliente
Para quitar reglas de acceso de cliente en Exchange Online PowerShell, use esta sintaxis:
Remove-ClientAccessRule -Identity "<RuleName>"
En este ejemplo se quita la regla de acceso de cliente denominada Bloquear POP3.
Remove-ClientAccessRule -Identity "Block POP3"
Nota: Para deshabilitar una regla de acceso de cliente sin eliminarla, use el parámetro Enabled con el valor $false del cmdlet Set-ClientAccessRule .
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Remove-ClientAccessRule.
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha quitado correctamente una regla de acceso de cliente, ejecute este comando en Exchange Online PowerShell para comprobar que la regla ya no aparece:
Get-ClientAccessRule
Uso de Exchange Online PowerShell para probar las reglas de acceso de cliente
Para ver qué reglas de acceso de cliente afectarían a una conexión de cliente específica a Exchange Online, use esta sintaxis:
Test-ClientAccessRule -User <MailboxIdentity> -AuthenticationType <AuthenticationType> -Protocol <Protocol> -RemoteAddress <ClientIPAddress> -RemotePort <TCPPortNumber>
En este ejemplo se devuelven las reglas de acceso de cliente que coincidirían con una conexión de cliente con Exchange Online que tiene estas propiedades:
- Tipo de autenticación: Básico
- Protocolo:
OutlookWebApp - Dirección remota: 172.17.17.26
- Puerto remoto: 443
- Usuario: julia@contoso.com
Test-ClientAccessRule -User julia@contoso.com -AuthenticationType BasicAuthentication -Protocol OutlookWebApp -RemoteAddress 172.17.17.26 -RemotePort 443
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Test-ClientAccessRule.