Regole di Accesso client in Exchange Online
Sintesi: informazioni su come gli amministratori possono utilizzare le regole di Accesso client per consentire o bloccare diversi tipi di connessioni client a Exchange Online.
Le regole di Accesso client consentono di controllare l'accesso all'organizzazione Exchange Online basata su proprietà client o richieste di accesso client. Le regole di Accesso client sono come le regole del flusso di posta (note anche come regole di trasporto) per le connessioni client all'organizzazione Exchange Online. È possibile impedire ai client di connettersi a Exchange Online in base al relativo indirizzo IP (IPv4 e IPv6), al tipo di autenticazione e ai valori delle proprietà utente e al protocollo, all'applicazione, al servizio o alla risorsa in uso per la connessione. Ad esempio:
- Consentire l'accesso ai client Exchange ActiveSync da indirizzi IP specifici e bloccare tutti gli altri client ActiveSync.
- Bloccare l'accesso a Exchange Web Services (EWS) per gli utenti in reparti, città o paesi/aree geografiche specifici.
- Bloccare l'accesso a una rubrica offline (OAB) per utenti specifici in base ai loro nomi utente.
- Impedisci l'accesso client mediante l'autenticazione federata.
- Impedisci l'accesso client mediante Exchange Online PowerShell.
- Bloccare l'accesso all'interfaccia di amministrazione di Exchange classica per gli utenti in un paese o un'area geografica specifici.
Per le procedure sulle regole di Accesso client, vedere Procedure per le regole di Accesso client in Exchange Online.
Nota
Bloccare l'accesso all'account del servizio quando si usa la rappresentazione EWS non è supportato con le regole di accesso client.
A partire da ottobre 2022, l'accesso alle regole di accesso client è stato disabilitato per tutte le organizzazioni Exchange Online esistenti che non le usavano. A ottobre 2023, il supporto per le regole di accesso client terminerà per tutte le organizzazioni Exchange Online. Per altre informazioni, vedere Deprecation of Client Access Rules in Exchange Online.For more information, see Deprecation of Client Access Rules in Exchange Online.
Componenti delle regole di Accesso client
Una regola è composta da condizioni, eccezioni, un'azione e un valore di priorità.
Condizioni: identificare le connessioni client a cui applicare l'azione. Per un elenco completo di condizioni, vedere la sezione Condizioni ed eccezioni della regola di Accesso client più avanti in questo articolo. Quando una connessione client soddisfa le condizioni di una regola, l'azione viene applicata alla connessione client e la valutazione della regola viene arrestata (non vengono applicate altre regole alla connessione).
Eccezioni: identificare facoltativamente le connessioni client a cui l'azione non deve essere applicata. Le eccezioni sostituiscono le condizioni e impediscono l'esecuzione dell'azione della regola su una connessione, anche nel caso in cui la connessione soddisfi tutte le condizioni configurate. La valutazione della regola continua per le connessioni client autorizzate dall'eccezione, ma una regola successiva potrebbe influire sulla connessione.
Azione: specifica le operazioni da eseguire per le connessioni client che corrispondono alle condizioni nella regola e non corrispondono a nessuna delle eccezioni. Le azioni valide sono:
Consentire la connessione (il
AllowAccess
valore per il parametro Action ).Bloccare la connessione (il
DenyAccess
valore per il parametro Action ).Nota: quando si bloccano le connessioni per uno specifico protocollo, potrebbero essere interessate anche altre applicazioni che si basano sullo stesso protocollo.
Priorità: indica l'ordine in cui le regole vengono applicate alle connessioni client (un numero inferiore indica una priorità più alta). La priorità predefinita si basa sul momento di creazione della regola; le regole meno recenti hanno una priorità superiore rispetto a quelle più nuove, mentre le regole con priorità superiore vengono elaborate prima delle regole con priorità inferiore. Nota: l'elaborazione delle regole si arresta una volta che la connessione client soddisfa le condizioni nella regola.
Per ulteriori informazioni sull'impostazione del valore di priorità alle regole, vedere Usare PowerShell di Exchange Online per impostare la priorità delle regole di Accesso client.
Come vengono valutate le regole di Accesso client
Nella tabella seguente viene descritto come vengono valutate più regole con la stessa condizione e come viene valutata una regola con più condizioni, valori di condizione ed eccezioni.
Componente | Logica | Commenti |
---|---|---|
Più regole che contengono la stessa condizione | La prima regola viene applicata e le regole successive vengono ignorate | Ad esempio, se la regola con la priorità più elevata blocca le connessioni Outlook sul Web e si crea un'altra regola che consente le connessioni Outlook sul Web per uno specifico intervallo di indirizzi IP, tutte le connessioni Outlook sul Web vengono comunque bloccate dalla prima regola. Anziché creare un'altra regola per Outlook sul Web, è necessario aggiungere un'eccezione alla regola di Outlook sul Web esistente per consentire le connessioni dall'intervallo di indirizzi IP specificato. |
Più condizioni in una regola | E | Una connessione client deve soddisfare tutte le condizioni nella regola. Ad esempio, le connessioni EWS dagli utenti nel reparto Contabilità. |
Una condizione con più valori in una regola | OPPURE | Per le condizioni che consentono più valori, la connessione deve soddisfare una qualsiasi delle condizioni specificate (non tutte). Ad esempio, le connessioni EWS o IMAP4. |
Più eccezioni in una regola | OPPURE | Se una connessione client soddisfa una qualsiasi delle eccezioni, le azioni non verranno applicate alla connessione client. La connessione non deve necessariamente soddisfare tutte le eccezioni. Ad esempio, l'autenticazione di base o l'indirizzo IP 19.2.168.1.1. |
È possibile verificare l'effetto delle regole di Accesso client su una specifica connessione client (quali regole verrebbero soddisfatte e l'eventuale effetto sulla connessione). Per ulteriori informazioni, vedere Utilizzare Exchange Online PowerShell per testare regole di Accesso client.
Nota
Le regole di accesso client vengono valutate dopo l'autenticazione e non possono essere usate per bloccare i tentativi di connessione o autenticazione non elaborati.
Note importanti
Connessioni client dalla rete interna
Le connessioni dalla rete locale non vengono automaticamente autorizzate a ignorare le regole di Accesso client. Di conseguenza, quando si creano regole di Accesso client che bloccano le connessioni client a Exchange Online, occorre prendere in considerazione il potenziale effetto sulle connessioni dalla rete interna. Il metodo consigliato per consentire alle connessioni client interne di ignorare le regole di Accesso client consiste nel creare una regola con la priorità più elevata che consenta le connessioni client dalla rete interna (tutti gli indirizzi IP o specifici indirizzi IP). In questo modo, le connessioni client saranno sempre consentite, indipendentemente da eventuali altre regole create in futuro.
Le regole di Accesso client e le applicazioni di livello intermedio
Molte applicazioni che accedono Exchange Online usano un'architettura di livello intermedio (i client comunicano con l'applicazione di livello intermedio e l'applicazione di livello intermedio comunica con Exchange Online). Una regola di Accesso client che consente solo l'accesso dalla rete locale potrebbe bloccare le applicazioni di livello intermedio. Pertanto, le regole devono consentire gli indirizzi IP delle applicazioni di livello intermedio.
Le applicazioni di livello intermedio di proprietà di Microsoft (ad esempio, Outlook per iOS e Android) ignoreranno il blocco delle regole di Accesso cliente e saranno sempre consentite. Per fornire un controllo maggiore su queste applicazioni, è necessario utilizzare le funzionalità di controllo disponibili nelle applicazioni.
Intervallo delle modifiche alle regole
Per migliorare le prestazioni complessive, le regole di Accesso Client utilizzano una cache, ovvero le modifiche apportate alle regole non sono immediatamente effettive. La prima regola creata nell'organizzazione può richiedere fino a 24 ore per essere effettiva. Dopo questo periodo, la modifica, l'aggiunta o la rimozione di regole può impiegare fino a un'ora per essere effettiva.
Amministrazione
È possibile usare PowerShell solo per gestire le regole di accesso client, quindi è necessario prestare attenzione alle regole che bloccano l'accesso a PowerShell remoto. Se si crea una regola che blocca l'accesso a PowerShell remoto o se si crea una regola che blocca tutti i protocolli per tutti, si perderà la possibilità di correggere manualmente le regole. Sarà necessario chiamare il servizio clienti e il supporto tecnico Microsoft e verrà creata una regola che consente l'accesso remoto a PowerShell da qualsiasi posizione in modo da poter correggere le proprie regole. Si noti che l'applicazione di questa nuova regola può richiedere fino a un'ora.
Come procedura consigliata, creare una regola di accesso client con la priorità più alta per mantenere l'accesso a PowerShell remoto. Ad esempio:
New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1
Tipi e protocolli di autenticazione nelle regole di accesso client
Non tutti i tipi di autenticazione sono supportati per tutti i protocolli nelle regole di accesso client. I tipi di autenticazione supportati per protocollo sono descritti in questa tabella:
Protocollo | AdfsAuthentication | BasicAuthentication | CertificateBasedAuthentication | NonBasicAuthentication | OAuthAuthentication |
---|---|---|---|---|---|
ExchangeActiveSync |
n/d | supportato | supportato | n/d | supportato |
ExchangeAdminCenter
1 |
supportato | supportato | n/d | n/d | n/d |
IMAP4 |
n/d | supportato | n/d | n/d | supportato |
OutlookWebApp |
supportato | supportato | n/d | n/d | n/d |
POP3 |
n/d | supportato | n/d | n/d | supportato |
RemotePowerShell |
n/d | supportato | n/d | supportato | n/d |
1 Questo protocollo si applica solo all'interfaccia di amministrazione di Exchange classica.
Condizioni ed eccezioni della regola di Accesso client
Le condizioni e le eccezioni nelle regole di Accesso client identificano le connessioni client a cui una regola viene applicata o non viene applicata. Ad esempio, se la regola blocca l'accesso dai client di Exchange ActiveSync, è possibile configurare la regola in modo da consentire le connessioni Exchange ActiveSync da uno specifico intervallo di indirizzi IP. La sintassi è la stessa per una condizione e l'eccezione corrispondente. L'unica differenza è che le condizioni specificano le connessioni client da includere, mentre le eccezioni specificano quelle da escludere.
Nella tabella seguente vengono descritte le condizioni e le eccezioni disponibili nelle regole di Accesso client:
Parametro della condizione in Exchange Online PowerShell | Parametro dell'eccezione in Exchange Online PowerShell | Descrizione |
---|---|---|
AnyOfAuthenticationTypes | ExceptAnyOfAuthenticationTypes | I valori validi sono:
È possibile specificare più valori separati da virgole. È possibile usare le virgolette per ogni singolo valore ("value1","value2"), ma non per tutti i valori (non usare "value1,value2"). |
AnyOfClientIPAddressesOrRanges | ExceptAnyOfClientIPAddressesOrRanges | Sono supportati gli indirizzi IPv4 e IPv6. I valori validi sono:
È possibile specificare più valori separati da virgole. Per altre informazioni sugli indirizzi IPv6 e sulla sintassi, vedere questo argomento di Exchange 2013: Nozioni di base sugli indirizzi IPv6. |
AnyOfProtocols | ExceptAnyOfProtocols | I valori validi sono:
È possibile specificare più valori separati da virgole. È possibile usare virgolette intorno a ogni singolo valore (" value1","value2"), ma non intorno a tutti i valori (non usare "value1,value2"). |
Ambito | n/d | Specifica il tipo di connessioni cui viene applicata la regola. I valori validi sono:
|
UsernameMatchesAnyOfPatterns | ExceptUsernameMatchesAnyOfPatterns | Accetta il testo e il carattere jolly (*) per identificare il nome dell'account dell'utente nel formato <Domain>\<UserName> ( ad esempio, contoso.com\jeff o *jeff* , ma non jeff* ). I caratteri non alfanumerici non richiedono un carattere di escape. È possibile specificare più valori separati da virgole. |
UserRecipientFilter | n/d | Utilizza la sintassi del filtro OPath per identificare l'utente cui viene applicata la regola. Ad esempio, "City -eq 'Redmond'" . Gli attributi filtrabili sono:
È possibile concatenare più criteri di ricerca usando gli operatori |
1 Questo protocollo si applica solo all'interfaccia di amministrazione di Exchange classica.