Regras de acesso ao cliente no Exchange 2019
As Regras de Acesso ao Cliente ajudam você a controlar o acesso à sua organização do Exchange 2019 no EAC (Centro de Administração do Exchange) e no PowerShell remoto com base em propriedades do cliente ou solicitações de acesso ao cliente. As Regras de Acesso ao Cliente são como regras de fluxo de email (também conhecidas como regras de transporte) para conexões do EAC e do PowerShell remotas com sua organização do Exchange. Você pode impedir que clientes EAC e PowerShell remotos se conectem ao Exchange com base em seu endereço IP (IPv4 e IPv6), tipo de autenticação e valores de propriedade do usuário. Por exemplo:
- Impedir o acesso do cliente usando o PowerShell remoto (que também inclui o Shell de Gerenciamento do Exchange).
- Bloqueie o acesso ao EAC para usuários em um país ou região específico.
Para procedimentos de regra de acesso ao cliente, consulte Procedimentos para regras de acesso ao cliente em Exchange Server.
Componentes da Regra de Acesso ao Cliente
Uma regra é feita de condições, exceções, uma ação e um valor de prioridade.
Condições: identifique as conexões do cliente para aplicar a ação. Para obter uma lista completa de condições, consulte a seção condições e exceções da Regra de Acesso ao Cliente mais adiante neste tópico. Quando uma conexão de cliente corresponde às condições de uma regra, a ação é aplicada à conexão do cliente e a avaliação de regra é interrompida (não são aplicadas mais regras à conexão).
Exceções: opcionalmente, identifique as conexões de cliente às quais a ação não deve se aplicar. As exceções substituem as condições e impedem que a ação de regra seja aplicada a uma conexão, mesmo que a conexão corresponda a todas as condições configuradas. A avaliação de regra continua para conexões de cliente permitidas pela exceção, mas uma regra subsequente ainda pode afetar a conexão.
Ação: especifica o que fazer com conexões de cliente que correspondem às condições na regra e não correspondem a nenhuma das exceções. As ações válidas são:
Permitir a conexão (o
AllowAccessvalor do parâmetro Ação ).Bloqueie a conexão (o
DenyAccessvalor do parâmetro Action ).Observação: quando você bloqueia conexões para um protocolo específico, outros aplicativos que dependem do mesmo protocolo também podem ser afetados.
Prioridade: indica a ordem de que as regras sejam aplicadas a conexões de cliente (um número menor indica uma prioridade maior). A prioridade padrão é baseada em quando a regra é criada (regras mais antigas têm uma prioridade maior do que as regras mais recentes) e regras de prioridade mais altas são processadas antes de regras de menor prioridade. Lembre-se de que o processamento de regras é interrompido quando a conexão do cliente corresponde às condições na regra.
Para obter mais informações sobre como definir o valor de prioridade em regras, consulte Usar o Shell de Gerenciamento do Exchange para definir a prioridade das Regras de Acesso ao Cliente.
Como as regras de acesso ao cliente são avaliadas
Como várias regras com a mesma condição são avaliadas e como uma regra com várias condições, valores de condição e exceções são avaliadas são descritas na tabela a seguir.
| Componente | Lógica | Comentários |
|---|---|---|
| Várias regras que contêm a mesma condição | A primeira regra é aplicada e as regras subsequentes são ignoradas | Por exemplo, se a regra de maior prioridade bloquear conexões remotas do PowerShell e você criar outra regra que permita conexões remotas do PowerShell para um intervalo de endereços IP específico, todas as conexões remotas do PowerShell ainda serão bloqueadas pela primeira regra. Em vez de criar outra regra para o PowerShell remoto, você precisa adicionar uma exceção à regra remota do PowerShell existente para permitir conexões do intervalo de endereços IP especificado. |
| Várias condições em uma regra | E | Uma conexão de cliente deve corresponder a todas as condições na regra. Por exemplo, conexões EAC de usuários no departamento de Contabilidade. |
| Uma condição com vários valores em uma regra | OU | Para condições que permitem mais de um valor, a conexão deve corresponder a qualquer uma (não todas) das condições especificadas. Por exemplo, conexões EAC ou PowerShell remotas. |
| Várias exceções em uma regra | OU | Se uma conexão cliente corresponder a qualquer uma das exceções, as ações não serão aplicadas à conexão do cliente. A conexão não precisa corresponder a todas as exceções. Por exemplo, endereço IP 19.2.168.1.1 ou autenticação básica. |
Você pode testar como uma conexão de cliente específica seria afetada pelas Regras de Acesso ao Cliente (quais regras corresponderiam e, portanto, afetariam a conexão). Para obter mais informações, consulte Usar o Shell de Gerenciamento do Exchange para testar regras de acesso ao cliente.
Notas importantes
Conexões de cliente de sua rede interna
As conexões da rede local não têm permissão automaticamente para ignorar regras de acesso ao cliente. Portanto, ao criar regras de acesso ao cliente que bloqueiam as conexões do cliente com o Exchange, você precisa considerar como as conexões de sua rede interna podem ser afetadas. O método preferido para permitir que conexões internas do cliente ignorem as Regras de Acesso ao Cliente é criar uma regra de prioridade mais alta que permita conexões de cliente de sua rede interna (todos ou endereços IP específicos). Dessa forma, as conexões de cliente sempre são permitidas, independentemente de qualquer outra regra de bloqueio que você criar no futuro.
Regras de acesso ao cliente e aplicativos de camada intermediária
Muitos aplicativos que acessam o Exchange usam uma arquitetura de camada intermediária (os clientes conversam com o aplicativo de camada intermediária e o aplicativo de camada intermediária fala com o Exchange). Uma Regra de Acesso ao Cliente que só permite o acesso da rede local pode bloquear aplicativos de camada média. Portanto, suas regras precisam permitir os endereços IP de aplicativos de camada média.
Aplicativos de nível médio pertencentes à Microsoft (por exemplo, Outlook para iOS e Android) ignorarão o bloqueio pelas Regras de Acesso ao Cliente e sempre serão permitidos. Para fornecer controle adicional sobre esses aplicativos, você precisa usar os recursos de controle disponíveis nos aplicativos.
Tempo para alterações de regra
Para melhorar o desempenho geral, as Regras de Acesso ao Cliente usam um cache, o que significa que as alterações nas regras não entrarão em vigor imediatamente. A primeira regra que você cria em sua organização pode levar até 24 horas para entrar em vigor. Depois disso, modificar, adicionar ou remover regras pode levar até uma hora para entrar em vigor.
Administração
Você só pode usar o Shell de Gerenciamento do Exchange (PowerShell remoto) para gerenciar regras de acesso ao cliente, portanto, você precisa ter cuidado com as regras que bloqueiam seu acesso ao PowerShell remoto.
Como prática recomendada, crie uma Regra de Acesso ao Cliente com a maior prioridade para preservar seu acesso ao PowerShell remoto. Por exemplo:
New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1
Tipos e protocolos de autenticação
Nem todos os tipos de autenticação têm suporte para todos os protocolos. Os tipos de autenticação com suporte por protocolo em Exchange Server são descritos nesta tabela:
| Protocolo | AdfsAuthentication | Basicauthentication | CertificateBasedAuthentication | NonBasicAuthentication | OAuthAuthentication |
|---|---|---|---|---|---|
ExchangeAdminCenter |
com suporte | com suporte | n/d | n/d | n/d |
RemotePowerShell |
n/d | com suporte | n/d | com suporte | n/d |
Condições e exceções da Regra de Acesso ao Cliente
Condições e exceções nas Regras de Acesso ao Cliente identificam as conexões do cliente às quais a regra é aplicada ou não aplicada. Por exemplo, se a regra bloquear o acesso por clientes remotos do PowerShell, você poderá configurar a regra para permitir conexões remotas do PowerShell de um intervalo específico de endereços IP. A sintaxe é a mesma para uma condição e a exceção correspondente. A única diferença é que as condições especificam conexões de cliente a serem incluídas, enquanto exceções especificam conexões de cliente a serem excluídas.
Esta tabela descreve as condições e exceções disponíveis nas Regras de Acesso ao Cliente:
| Parâmetro de condição no Shell de Gerenciamento do Exchange | Parâmetro de exceção no Shell de Gerenciamento do Exchange | Descrição |
|---|---|---|
| AnyOfAuthenticationTypes | ExceptAnyOfAuthenticationTypes | Os valores válidos em Exchange Server são:
Vários valores, separados por vírgulas, podem ser especificados. Você pode usar aspas em torno de cada valor individual ("value1", "value2"), mas não em todos os valores (não use "value1,value2"). |
| AnyOfClientIPAddressesOrRanges | ExceptAnyOfClientIPAddressesOrRanges | Há suporte para endereços IPv4 e IPv6. Os valores válidos são:
Vários valores, separados por vírgulas, podem ser especificados. Para obter mais informações sobre endereços E sintaxe IPv6, confira este tópico do Exchange 2013: conceitos básicos de endereço IPv6. |
| AnyOfProtocols | ExceptAnyOfProtocols | Os valores válidos em Exchange Server são:
Vários valores, separados por vírgulas, podem ser especificados. Você pode usar aspas em torno de cada valor individual (" value1", "value2"), mas não em todos os valores (não use "value1,value2"). Observação: se você não usar essa condição em uma regra, a regra será aplicada a ambos os protocolos. |
| Escopo | n/d | Especifica o tipo de conexões às quais a regra se aplica. Os valores válidos são:
|
| UsernameMatchesAnyOfPatterns | ExceptUsernameMatchesAnyOfPatterns | Aceita texto e o caractere curinga (*) para identificar o nome da conta do usuário no formato <Domain>\<UserName> (por exemplo, contoso.com\jeff ou *jeff*, mas não jeff*). Caracteres não alfanuméricos não exigem um caractere de escape. Vários valores, separados por vírgulas, podem ser especificados. |
| UserRecipientFilter | n/d | Usa a sintaxe de filtro OPath para identificar o usuário ao qual a regra se aplica. Por exemplo, "City -eq 'Redmond'". Os atributos filtrados são:
Os critérios de pesquisa usam a sintaxe
Você pode encadear vários critérios de pesquisa usando os operadores lógicos |