Procédures pour les règles d'accès client dans Exchange Online
Résumé: Découvrez comment créer, afficher, modifier, supprimer et tester les règles d'accès client dans Exchange Online.
Les règles d'accès client autorisent ou bloquent les connexions client à votre organisation Exchange Online en fonction des propriétés de la connexion. Pour plus d'informations sur les règles d'accès client, reportez-vous à la rubrique Règles d'accès client dans Exchange Online.
Remarque
À compter d’octobre 2022, nous avons désactivé l’accès aux règles d’accès client pour toutes les organisations Exchange Online existantes qui ne les utilisaient pas. En octobre 2023, la prise en charge des règles d’accès client prendra fin pour toutes les organisations Exchange Online. Pour plus d’informations, consultez Dépréciation des règles d’accès au client dans Exchange Online.
Vérifiez que vos règles fonctionnent comme vous l'entendez. Veillez à tester chaque règle et les interactions entre les règles de manière approfondie. Pour plus d’informations, reportez-vous à la section Utiliser Exchange Online PowerShell pour tester les règles d’accès client plus loin dans cette rubrique.
Ce qu’il faut savoir avant de commencer
Durée d'exécution estimée de chaque procédure : moins de 5 minutes
Les procédures décrites dans cette rubrique sont uniquement disponibles dans Exchange Online PowerShell. Pour apprendre à utiliser Windows PowerShell afin de vous connecter à Exchange Online, consultez la rubrique Connexion à Exchange Online PowerShell.
Les règles d’accès client prennent en charge les adresses IPv4 et IPv6. Pour plus d’informations sur les adresses IPv6 et la syntaxe, consultez cette rubrique Exchange 2013 : Bases des adresses IPv6.
Des autorisations doivent vous être attribuées avant de pouvoir exécuter cette procédure. Pour voir les autorisations qui vous sont nécessaires, consultez Entrée « Flux de messagerie » dans Autorisations des fonctionnalités dans Exchange Online.
Pour plus d’informations sur les raccourcis clavier qui peuvent s’appliquer aux procédures décrites dans cette rubrique, consultez Raccourcis clavier pour le Centre d’administration Exchange.
Conseil
Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums à Exchange Online ou Exchange Online Protection.
Utiliser Exchange Online PowerShell pour afficher les règles d’accès au client
Pour renvoyer une liste récapitulative de toutes les règles d'accès client, exécutez la commande suivante :
Get-ClientAccessRule
Pour renvoyer des informations détaillées sur une règle spécifique, utilisez la syntaxe suivante :
Get-ClientAccessRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]
Cet exemple renvoie toutes les valeurs de propriété pour la règle nommée « Connexions client en bloc à partir de 192.168.1.0/24 ».
Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List
Cet exemple renvoie uniquement les propriétés spécifiées pour la même règle.
Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List Name,Priority,Enabled,Scope,Action
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Get-ClientAccessRule.
Utiliser Exchange Online PowerShell pour créer des règles d'accès client
Pour créer des règles d'accès client dans Exchange Online PowerShell, utilisez la syntaxe suivante :
New-ClientAccessRule -Name "<RuleName>" [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]
Cet exemple crée une règle d'accès client nommée Block ActiveSync qui bloque l'accès pour les clients Exchange ActiveSync, à l'exception des clients compris dans la plage d'adresses IP 192.168.10.1/24.
New-ClientAccessRule -Name "Block ActiveSync" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24
Remarques :
- Il est recommandé de créer une règle d’accès au client avec la priorité la plus élevée pour conserver votre accès administrateur à powerShell distant. Par exemple :
New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1. - La règle a la valeur de priorité par défaut, car nous n’avons pas utilisé le paramètre Priority . Pour plus d'informations, reportez-vous à la section Utiliser Exchange Online PowerShell pour définir la priorité des règles d'accès client plus loin dans cette rubrique.
- La règle est activée, car nous n’avons pas utilisé le paramètre Enabled et la valeur par défaut est
$true.
Cet exemple crée une règle d’accès au client nommée Restreindre l’accès au CENTRE d’administration Exchange classique qui bloque l’accès au Centre d’administration Exchange classique, sauf si le client provient d’une adresse IP dans la plage 192.168.10.1/24 ou si le nom du compte d’utilisateur contient « tanyas ».
New-ClientAccessRule -Name "Restrict EAC Access" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24 -ExceptUsernameMatchesAnyOfPatterns *tanyas*
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique New-ClientAccessRule.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez correctement créé une règle d’accès client, utilisez l’une des procédures suivantes :
Exécutez cette commande dans Exchange Online PowerShell pour voir la nouvelle règle dans la liste des règles :
Get-ClientAccessRuleRemplacez RuleName> par< le nom de la règle, puis exécutez cette commande pour afficher les détails de la règle :
Get-ClientAccessRule -Identity "<RuleName>" | Format-ListRepérez les règles d'accès client qui affecteraient une connexion client spécifique sur Exchange Online à l'aide de la cmdlet Test-ClientAccessRule. Pour plus d'informations, voir la section Utiliser Exchange Online PowerShell pour tester les règles d'accès client plus loin dans cette rubrique.
Utiliser Exchange Online PowerShell pour modifier les règles d'accès client
Aucun paramètre supplémentaire n'est disponible lorsque vous modifiez une règle d'accès client. Ce sont les mêmes paramètres que ceux qui étaient disponibles lorsque vous avez créé la règle.
Pour modifier une règle d'accès client dans Exchange Online PowerShell, utilisez la syntaxe suivante :
Set-ClientAccessRule -Identity "<RuleName>" [-Name "<NewName>"] [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]
Cet exemple désactive la règle d'accès client existante nommée Allow IMAP4.
Set-ClientAccessRule -Identity "Allow IMAP4" -Enabled $false
Lorsque vous modifiez les règles d’accès client, il est important de prendre en considération les modalités de modification des conditions ou des exceptions qui acceptent plusieurs valeurs :
- Les valeurs que vous spécifiez remplaceront des valeurs existantes.
- Pour ajouter ou supprimer des valeurs sans affecter d’autres valeurs existantes, utilisez la syntaxe suivante :
@{Add="<Value1>","<Value2>"...; Remove="<Value1>","<Value2>"...}
Cet exemple ajoute la plage d'adresses IP 172.17.17.27/16 à la règle d'accès client existante nommée Allow IMAP4, sans que cela ait une incidence sur les valeurs d'adresses IP existantes.
Set-ClientAccessRule -Identity "Allow IMAP4" -AnyOfClientIPAddressesOrRanges @{Add="172.17.17.27/16"}
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Set-ClientAccessRule.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez correctement modifié une règle d’accès client, utilisez l’une des procédures suivantes :
Remplacez RuleName> par< le nom de la règle, puis exécutez cette commande pour afficher les détails de la règle :
Get-ClientAccessRule -Identity "<RuleName>" | Format-ListRepérez les règles d'accès client qui affecteraient une connexion client spécifique sur Exchange Online à l'aide de la cmdlet Test-ClientAccessRule. Pour plus d'informations, voir la section Utiliser Exchange Online PowerShell pour tester les règles d'accès client plus loin dans cette rubrique.
Utiliser Exchange Online PowerShell pour définir la priorité des règles d'accès client
Par défaut, les règles d'accès client reçoivent une priorité qui dépend de l'ordre dans lequel elles ont été créées (les règles plus récentes sont moins prioritaires que les règles plus anciennes). Un numéro de priorité peu élevé indique une plus grande priorité, et les règles sont traitées par ordre de priorité (les règles à haute priorité sont traitées avant les règles de moindre priorité). Deux règles ne peuvent pas avoir la même priorité.
La priorité 1 est la plus élevée que vous puissiez définir sur une règle. La valeur la plus basse que vous pouvez définir dépend du nombre de règles. Par exemple, si vous avez cinq règles, vous pouvez utiliser les valeurs de priorité 1 à 5. Tout changement de priorité d'une règle existante peut avoir un effet en cascade sur les autres règles. Par exemple, si vous avez cinq règles (priorités de 1 à 5) et que vous modifiez la priorité d'une règle de priorité 5 en lui attribuant la valeur 2, la règle qui avait la priorité 2 auparavant passe en priorité 3, la règle de priorité 3 passe en priorité 4 et la règle de priorité 4 passe en priorité 5.
Pour définir la priorité d'une règle dans Exchange Online PowerShell, utilisez la syntaxe suivante :
Set-ClientAccessRule -Identity "<RuleName>" -Priority <Number>
Cet exemple définit la priorité de la règle Désactiver IMAP4 sur 2. Toutes les règles existantes dont la priorité est inférieure ou égale à 2 sont diminuées d'une unité (leurs numéros de priorité sont augmentés de 1).
Set-ClientAccessRule -Identity "Disable IMAP" -Priority 2
Remarque : pour définir la priorité d’une nouvelle règle lors de sa création, utilisez le paramètre Priority dans la cmdlet New-ClientAccessRule.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez correctement défini la priorité d'une règle d'accès client, appliquez l'une des procédures suivantes :
Exécutez la commande suivante dans Exchange Online PowerShell pour afficher la liste des règles et leurs valeurs Priority:
Get-ClientAccessRuleRemplacez RuleName> par< le nom de la règle, puis exécutez la commande suivante :
Get-ClientAccessRule -Identity "<RuleName>" | Format-List Name,Priority
Utiliser Exchange Online PowerShell pour supprimer des règles d'accès client
Pour supprimer des règles d'accès client dans Exchange Online PowerShell, utilisez la syntaxe suivante :
Remove-ClientAccessRule -Identity "<RuleName>"
Cet exemple supprime la règle d'accès client nommée Block POP3.
Remove-ClientAccessRule -Identity "Block POP3"
Remarque : Pour désactiver une règle d’accès client sans la supprimer, utilisez le paramètre Enabled avec la valeur $false sur l’applet de commande Set-ClientAccessRule .
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, consultez la rubrique Remove-ClientAccessRule.
Comment savoir si cela a fonctionné ?
Pour vérifier que vous avez correctement supprimé une règle d'accès client, exécutez cette commande dans Exchange Online PowerShell pour vérifier que la règle n'apparaît plus dans la liste :
Get-ClientAccessRule
Utiliser Exchange Online PowerShell pour tester les règles d'accès client
Pour repérer les règles d'accès client qui affecteraient une connexion client spécifique sur Exchange Online, utilisez la syntaxe suivante :
Test-ClientAccessRule -User <MailboxIdentity> -AuthenticationType <AuthenticationType> -Protocol <Protocol> -RemoteAddress <ClientIPAddress> -RemotePort <TCPPortNumber>
Cet exemple renvoie les règles d'accès client qui correspondraient à une connexion client sur Exchange Online qui dispose de ces propriétés :
- Type d’authentification : De base
- Protocole :
OutlookWebApp - Adresse distante : 172.17.17.26
- Port distant : 443
- Utilisateur : julia@contoso.com
Test-ClientAccessRule -User julia@contoso.com -AuthenticationType BasicAuthentication -Protocol OutlookWebApp -RemoteAddress 172.17.17.26 -RemotePort 443
Pour obtenir des informations détaillées sur la syntaxe et les paramètres, voir Test-ClientAccessRule.