Règles d'accès client dans Exchange Online

Résumé: Découvrez comment les administrateurs peuvent utiliser des règles d'accès client pour autoriser ou bloquer différents types de connexions client à Exchange Online.

Les règles d'accès client vous permettent de contrôler l'accès à votre organisation Exchange Online en fonction des propriétés client ou des demandes d'accès client. Les règles d'accès client sont semblables aux règles de flux de messagerie (également nommées règles de transport) pour les connexions client à votre organisation Exchange Online. Vous pouvez empêcher les clients de se connecter à Exchange Online en fonction de leur adresse IP (IPv4 et IPv6), du type d’authentification et des valeurs de propriété utilisateur, ainsi que du protocole, de l’application, du service ou de la ressource qu’ils utilisent pour se connecter. Par exemple :

  • Autoriser l'accès aux clients Exchange ActiveSync à partir des adresses IP spécifiques et bloquer tous les autres clients ActiveSync.
  • Bloquer l'accès à Services Web Exchange (EWS) pour les utilisateurs de services, villes ou pays spécifiques.
  • Bloquer l'accès à un carnet d'adresses en mode hors connexion (OAB) pour des utilisateurs spécifiques en fonction de leurs noms d'utilisateur.
  • Empêcher l'accès client à l'aide de l'authentification fédérée.
  • Empêcher l'accès client à l'aide d'Exchange Online PowerShell.
  • Bloquer l’accès au centre d’administration Exchange (EAC) classique pour les utilisateurs d’un pays ou d’une région spécifique.

Pour les procédures de règle d'accès client, consultez la rubrique Procédures pour les règles d'accès client dans Exchange Online.

Remarque

Bloquer l’accès au compte de service lors de l’utilisation de l’emprunt d’identité EWS n’est pas pris en charge avec les règles d’accès au client.

Composants des règles d’accès client

Une règle est constituée de conditions, d’exceptions, d’une action et d’une valeur de priorité.

  • Conditions : identifiez les connexions clientes auxquelles appliquer l’action. Pour obtenir une liste complète des conditions, consultez la section Conditions et exceptions des règles d'accès client, plus loin dans cette rubrique. Lorsqu'une connexion client répond aux conditions d'une règle, l'action est appliquée à la connexion client et l'évaluation de la règle s'arrête (plus aucune règle n'est appliquée à la connexion).

  • Exceptions : identifiez éventuellement les connexions clientes auxquelles l’action ne doit pas s’appliquer. Les exceptions ont la priorité sur les conditions et empêchent l'application d'actions à une connexion, même si elle remplit toutes les conditions configurées. L'évaluation de la règle se poursuit pour les connexions client autorisées par l'exception, mais une règle ultérieure peut toujours agir sur la connexion.

  • Action : spécifie ce qu’il faut faire pour les connexions clientes qui correspondent aux conditions de la règle et qui ne correspondent à aucune des exceptions. Les actions valides sont :

    • Autorisez la connexion (valeur AllowAccess du paramètre Action ).

    • Bloquer la connexion (valeur DenyAccess du paramètre Action ).

      Remarque : lorsque vous bloquez des connexions pour un protocole spécifique, les autres applications qui reposent sur ce protocole peuvent également être affectées.

  • Priorité : indique l’ordre dans lequel les règles sont appliquées aux connexions clientes (un nombre inférieur indique une priorité plus élevée). La priorité par défaut repose sur la date de création de la règle (les règles plus anciennes ont une priorité plus élevée que les règles plus récentes), et les règles à plus haute priorité sont traitées avant les règles de moindre priorité. N'oubliez pas que le traitement de la règle s'interrompt une fois que la connexion client répond aux conditions de la règle.

    Pour obtenir plus d’informations sur la définition de la valeur de priorité des règles, consultez la rubrique Utiliser Exchange Online PowerShell pour définir la priorité des règles d’accès client.

Procédure d’évaluation des règles d’accès client

La manière dont plusieurs règles présentant une même condition sont évaluées, et donc une règle comportant plusieurs conditions, plusieurs valeurs de condition et plusieurs exceptions est évaluée est présentée dans le tableau ci-dessous.

Composant Logique Commentaires
Plusieurs règles qui contiennent la même condition La première règle est appliquée, et les règles suivantes sont ignorées. Par exemple, si votre règle la plus prioritaire bloque les connexions Outlook sur le web et que vous créez une autre règle qui autorise les connexions Outlook sur le web pour une plage d'adresses IP spécifique, toutes les connexions Outlook sur le web restent bloquées par la première règle. Au lieu de créer une autre règle pour Outlook sur le web, vous devez ajouter une exception à la règle Outlook sur le web existante pour autoriser les connexions à partir de la plage d'adresses IP spécifiée.
Plusieurs conditions dans une même règle AND Une connexion client doit répondre à toutes les conditions de la règle. Par exemple, les connexions EWS des utilisateurs du service de comptabilité.
Une condition avec plusieurs valeurs dans une règle OU Pour les conditions qui acceptent plusieurs valeurs, la connexion doit répondre à l'une (et non à la totalité) des conditions spécifiées. Par exemple, les connexions EWS ou IMAP4.
Plusieurs exceptions dans une même règle OU Si une connexion client correspond à l'une des exceptions, les actions ne sont pas appliquées à cette connexion. La connexion ne doit pas forcément correspondre à toutes les exceptions. Par exemple, l'adresse IP 19.2.168.1.1 ou l'authentification de base.

Vous pouvez tester le résultat des règles d'accès client sur une connexion client spécifique (quelles règles correspondent et ont donc un impact sur la connexion). Pour obtenir plus d'informations, consultez la rubrique Utiliser Exchange Online PowerShell pour tester les règles d'accès client.

Remarque

Les règles d’accès client sont évaluées après l’authentification et ne peuvent pas être utilisées pour bloquer les tentatives de connexion brute ou d’authentification.

Remarques importantes

Connexions client à partir de votre réseau interne

Les connexions à partir de votre réseau local ne sont pas autorisées automatiquement à outrepasser les règles d'accès client. Par conséquent, lorsque vous créez des règles d'accès client qui bloquent des connexions client sur Exchange Online, vous devez tenir compte de l'impact éventuel sur les connexions provenant de votre réseau interne. La méthode préférée pour autoriser les connexions client internes à ignorer les règles d'accès client consiste à créer une règle de priorité plus élevée qui autorise les connexions client à partir de votre réseau interne (toutes les adresses IP ou certaines d'entre elles). Ainsi, les connexions client sont toujours autorisées, quelles que soient les autres règles de blocage que vous créez ultérieurement.

Règles d’accès client et applications intermédiaires

De nombreuses applications qui accèdent à Exchange Online utilisent une architecture de niveau intermédiaire (les clients communiquent avec l’application de niveau intermédiaire et l’application de niveau intermédiaire communiquent avec Exchange Online). Une règle d'accès client qui n'autorise l'accès qu'à partir de votre réseau local risque de bloquer les applications intermédiaires. Par conséquent, vos règles doivent autoriser les adresses IP des applications intermédiaires.

Les applications intermédiaires appartenant à Microsoft (par exemple, Outlook pour iOS et Android) contournent le blocage des règles d'accès client et sont toujours autorisées. Pour fournir un contrôle supplémentaire sur ces applications, vous devez utiliser les fonctionnalités de contrôle disponibles dans les applications.

Délai des changements de règle

Pour améliorer les performances globales, les règles d’accès client utilisent un cache, ce qui signifie que les modifications apportées aux règles n’entrent pas en vigueur immédiatement. La première règle que vous créez dans votre organisation peut mettre jusqu'à 24 heures pour entrer en vigueur. Passé ce délai, la modification, l’ajout ou la suppression de règles peuvent mettre jusqu’à une heure pour entrer en vigueur.

Administration

Vous ne pouvez utiliser PowerShell que pour gérer les règles d’accès au client. Vous devez donc faire attention aux règles qui bloquent votre accès à powerShell distant. Si vous créez une règle qui bloque votre accès à PowerShell distant, ou si vous créez une règle qui bloque tous les protocoles pour tout le monde, vous perdrez la possibilité de résoudre les règles vous-même. Vous devez appeler le service clientèle et le support technique Microsoft, et ils créent une règle qui vous permet d’accéder à distance à PowerShell à partir de n’importe où pour vous permettre de corriger vos propres règles. Notez que cette nouvelle règle peut ne prendre effet qu'une heure après.

Il est recommandé de créer une règle d’accès au client avec la priorité la plus élevée pour conserver votre accès à powerShell distant. Par exemple :

New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

Types et protocoles d’authentification dans les règles d’accès client

Tous les types d’authentification ne sont pas pris en charge pour tous les protocoles dans les règles d’accès au client. Les types d’authentification pris en charge par protocole sont décrits dans ce tableau :

Protocole AdfsAuthentication BasicAuthentication CertificateBasedAuthentication NonBasicAuthentication OAuthAuthAuthentication
ExchangeActiveSync s/o Pris en charge Pris en charge s/o Pris en charge
ExchangeAdminCenter1 Pris en charge Pris en charge s/o s/o s/o
IMAP4 s/o Pris en charge s/o s/o Pris en charge
OutlookWebApp Pris en charge Pris en charge s/o s/o s/o
POP3 s/o Pris en charge s/o s/o Pris en charge
RemotePowerShell s/o Pris en charge s/o Pris en charge s/o

1 Ce protocole s’applique uniquement au Centre d’administration Exchange (EAC) classique.

Conditions et exceptions des règles d’accès client

Les conditions et les exceptions des règles d'accès client identifient les connexions client auxquelles la règle est ou n'est pas appliquée. Par exemple, si la règle bloque l'accès des clients Exchange ActiveSync, vous pouvez la configurer pour autoriser les connexions Exchange ActiveSync provenant d'une plage spécifique d'adresses IP. La syntaxe est identique pour une condition et l'exception correspondante. La seule différence réside dans le fait que les conditions indiquent les connexions client à inclure, tandis que les exceptions indiquent les connexions client à exclure.

Ce tableau décrit les conditions et les exceptions disponibles dans les règles d'accès client :

Paramètre de condition dans Exchange Online PowerShell Paramètre d'exception dans Exchange Online PowerShell Description
AnyOfAuthenticationTypes ExceptAnyOfAuthenticationTypes Les valeurs valides sont les suivantes :
  • AdfsAuthentication
  • BasicAuthentication
  • CertificateBasedAuthentication
  • NonBasicAuthentication
  • OAuthAuthentication

Vous pouvez spécifier plusieurs valeurs séparées par des virgules. Vous pouvez utiliser des guillemets autour de chaque valeur individuelle (« valeur1 », « valeur2 »), mais pas autour de toutes les valeurs (n’utilisez pas « valeur1,valeur2 »).
Remarque : Si vous spécifiez ExceptAnyOfAuthenticationTypes, AnyOfAuthenticationTypes doit également être spécifié.

AnyOfClientIPAddressesOrRanges ExceptAnyOfClientIPAddressesOrRanges Les adresses IPv4 et IPv6 sont prises en charge. Les valeurs valides sont les suivantes :
  • Une seule adresse IP : par exemple, 192.168.1.1 ou 2001:DB8::2AA:FF:C0A8:640A.
  • Plage d’adresses IP : par exemple, 192.168.0.1-192.168.0.254 ou 2001:DB8::2AA:FF:C0A8:640A-2001:DB8::2AA:FF:C0A8:6414.
  • Adresse IP ciDR (Classless Inter-Domain Routing) : par exemple, 192.168.3.1/24 ou 2001:DB8::2AA:FF:C0A8:640A/64.

Vous pouvez spécifier plusieurs valeurs séparées par des virgules.

Pour plus d’informations sur les adresses IPv6 et la syntaxe, consultez cette rubrique Exchange 2013 : Bases des adresses IPv6.

AnyOfProtocols ExceptAnyOfProtocols Les valeurs valides sont les suivantes :
  • ExchangeActiveSync
  • ExchangeAdminCenter1
  • ExchangeWebServices
  • IMAP4
  • OfflineAddressBook
  • OutlookAnywhere (y compris MAPI sur HTTP)
  • OutlookWebApp (Outlook sur le web)
  • POP3
  • PowerShellWebServices
  • RemotePowerShell
  • REST

Vous pouvez spécifier plusieurs valeurs séparées par des virgules. Vous pouvez utiliser des guillemets autour de chaque valeur individuelle (« valeur1 », « valeur2 »), mais pas autour de toutes les valeurs (n’utilisez pas « valeur1,valeur2 »).
Remarque : Si vous n’utilisez pas cette condition dans une règle, la règle s’applique à tous les protocoles.

Scope s/o Spécifie le type des connexions auxquelles la règle s'applique. Les valeurs valides sont les suivantes :
  • Users: la règle s’applique uniquement aux connexions de l’utilisateur final.
  • All: la règle s’applique à tous les types de connexions (utilisateurs finaux et applications de niveau intermédiaire).
UsernameMatchesAnyOfPatterns ExceptUsernameMatchesAnyOfPatterns Accepte le texte et le caractère générique (*) pour identifier le nom de compte de l’utilisateur au format <Domain>\<UserName> (par exemple, ou *jeff*, contoso.com\jeff mais pas jeff*). Les caractères non alphanumériques n’exigent pas de caractère d’échappement.
Vous pouvez spécifier plusieurs valeurs séparées par des virgules.
UserRecipientFilter s/o Utilise la syntaxe de filtre OPath pour identifier l'utilisateur auquel la règle s'applique. Par exemple : "City -eq 'Redmond'". Les attributs filtrables sont les suivants :
  • City
  • Company
  • CountryOrRegion
  • CustomAttribute1 devient CustomAttribute15
  • Department
  • Office
  • PostalCode
  • StateOrProvince
  • StreetAddress
    Les critères de recherche utilisent la syntaxe "<Property> -<Comparison operator> '<Value>'".
  • <Property> est une propriété filtrable.
  • -<Comparison Operator> est un opérateur de comparaison OPATH. Par exemple -eq , pour les correspondances exactes (les caractères génériques ne sont pas pris en charge) et -like pour la comparaison de chaînes (qui nécessite au moins un caractère générique dans la valeur de propriété). Pour plus d'informations sur les opérateurs de comparaison, reportez-vous à la rubrique about_Comparison_Operators.
  • <Value> est la valeur de propriété. Les valeurs de texte avec ou sans espaces ou les valeurs avec des caractères génériques (*) doivent être placées entre guillemets (par exemple, '<Value>' ou '*<Value>'). N’utilisez pas de guillemets avec la valeur $null système (pour les valeurs vides).

Vous pouvez chaîner plusieurs critères de recherche à l’aide des opérateurs logiques -and et -or. Par exemple : "<Criteria1> -and <Criteria2>" ou "(<Criteria1> -and <Criteria2>) -or <Criteria3>". Pour plus d’informations sur la syntaxe de filtre OPATH, consultez Informations supplémentaires sur la syntaxe OPATH.

1 Ce protocole s’applique uniquement au Centre d’administration Exchange (EAC) classique.