Regras de Acesso de Cliente no Exchange Online

Resumo: saiba como os administradores podem utilizar as Regras de Acesso de Cliente para permitir ou bloquear diferentes tipos de ligações de cliente para Exchange Online.

As Regras de Acesso de Cliente ajudam-no a controlar o acesso à sua organização Exchange Online com base nas propriedades do cliente ou nos pedidos de acesso do cliente. As Regras de Acesso de Cliente são como regras de fluxo de correio (também conhecidas como regras de transporte) para ligações de cliente à sua organização Exchange Online. Pode impedir que os clientes se liguem a Exchange Online com base no respetivo endereço IP (IPv4 e IPv6), tipo de autenticação e valores de propriedade do utilizador e no protocolo, aplicação, serviço ou recurso que estão a utilizar para se ligarem. Por exemplo:

Permitir o acesso a clientes Exchange ActiveSync a partir de endereços IP específicos e bloquear todos os outros clientes do ActiveSync.
Bloquear o acesso aos Serviços Web exchange (EWS) para utilizadores em departamentos, cidades ou países/regiões específicos.
Bloquear o acesso a um livro de endereços offline (OAB) para utilizadores específicos com base nos respetivos nomes de utilizador.
Impedir o acesso do cliente usando a autenticação federada.
Impedir o acesso do cliente usando o PowerShell do Exchange Online.
Bloquear o acesso ao centro de administração clássico do Exchange (EAC) para utilizadores num país ou região específico.

Para obter os procedimentos da Regra de Acesso de Cliente, veja Procedimentos para Regras de Acesso de Cliente no Exchange Online.

Observação

A partir de setembro de 2025, as Regras de Acesso de Clientes no Exchange Online são totalmente preteridas e já não são suportadas em todas as organizações. Isto marca a conclusão da reforma faseada que começou em outubro de 2022. Para obter detalhes e contexto históricos, veja o nosso anúncio original e a Descontinuação das Regras de Acesso de Cliente no Exchange Online.

Componentes da Regra de Acesso de Cliente

É feita uma regra de condições, exceções, uma ação e um valor de prioridade.

Condições: identifique as ligações de cliente às quais pretende aplicar a ação. Para obter uma lista completa das condições, veja a secção Condições e exceções da Regra de Acesso de Cliente mais adiante neste tópico. Quando uma ligação de cliente corresponde às condições de uma regra, a ação é aplicada à ligação do cliente e a avaliação da regra para (não são aplicadas mais Regras à ligação).
Exceções: opcionalmente, identifique as ligações de cliente às quais a ação não se deve aplicar. As exceções substituem as condições e impedem que a ação de regra seja aplicada a uma ligação, mesmo que a ligação corresponda a todas as condições configuradas. A avaliação da regra continua para as ligações de cliente permitidas pela exceção, mas uma regra subsequente ainda pode afetar a ligação.
Ação: especifica o que fazer com as ligações de cliente que correspondem às condições na regra e não correspondem a nenhuma das exceções. As ações válidas são:
- Permitir a ligação (o AllowAccess valor do parâmetro Ação ).
- Bloquear a ligação (o DenyAccess valor do parâmetro Ação ).
  
  Observação
  
  Quando bloqueia ligações para um protocolo específico, outras aplicações que dependem do mesmo protocolo também podem ser afetadas.
Prioridade: indica a ordem pela qual as regras são aplicadas às ligações de cliente (um número mais baixo indica uma prioridade mais alta). A prioridade predefinida baseia-se no momento em que a regra é criada (as regras mais antigas têm uma prioridade mais alta do que as regras mais recentes) e as regras de prioridade mais alta são processadas antes das regras de prioridade mais baixa. Lembre-se de que o processamento de regras para assim que a ligação do cliente corresponder às condições na regra.

Para obter mais informações sobre como definir o valor de prioridade nas regras, veja Utilizar Exchange Online PowerShell para definir a prioridade das Regras de Acesso de Cliente.

Como as Regras de Acesso de Cliente são avaliadas

A forma como são avaliadas múltiplas regras com a mesma condição e como uma regra com múltiplas condições, valores de condição e exceções é descrita na seguinte tabela:

Componente	Lógica	Comentários
Várias regras que contêm a mesma condição	A primeira regra é aplicada e as regras subsequentes são ignoradas	Por exemplo, se a regra de prioridade mais alta bloquear Outlook na Web ligações e criar outra regra que permita Outlook na Web ligações para um intervalo de endereços IP específico, todas as ligações Outlook na Web ainda são bloqueadas pela primeira regra. Em vez de criar outra regra para Outlook na Web, tem de adicionar uma exceção à regra de Outlook na Web existente para permitir ligações a partir do intervalo de endereços IP especificado.
Várias condições numa regra	E	Uma ligação de cliente tem de corresponder a todas as condições na regra. Por exemplo, ligações EWS de utilizadores no departamento de Contabilidade.
Uma condição com vários valores numa regra	OU	Para condições que permitem mais do que um valor, a ligação tem de corresponder a qualquer um (nem todos) das condições especificadas. Por exemplo, ligações EWS ou IMAP4.
Múltiplas exceções numa regra	OU	Se uma ligação de cliente corresponder a qualquer uma das exceções, as ações não são aplicadas à ligação do cliente. A ligação não tem de corresponder a todas as exceções. Por exemplo, o endereço IP 192.168.1.1 ou Autenticação básica.

Pode testar como uma ligação de cliente específica seria afetada pelas Regras de Acesso do Cliente (que regras corresponderiam e, portanto, afetariam a ligação). Para obter mais informações, veja Utilizar o Exchange Online PowerShell para testar as Regras de Acesso de Cliente.

Observação

As Regras de Acesso de Cliente são avaliadas após a autenticação e não podem ser utilizadas para bloquear tentativas de autenticação ou ligação não processadas.

Notas importantes

Ligações de cliente da sua rede interna

Connections da sua rede local não têm permissão automática para ignorar as Regras de Acesso de Cliente. Por conseguinte, quando cria Regras de Acesso de Cliente que bloqueiam ligações de cliente a Exchange Online, tem de considerar a forma como as ligações da sua rede interna podem ser afetadas. O método preferencial para permitir que as ligações internas do cliente ignorem as Regras de Acesso do Cliente é criar uma regra de prioridade mais alta que permita ligações de cliente a partir da sua rede interna (todos ou endereços IP específicos). Dessa forma, as ligações de cliente são sempre permitidas, independentemente de quaisquer outras regras de bloqueio que crie no futuro.

Regras de Acesso de Cliente e aplicações de camada média

Muitas aplicações que acedem Exchange Online utilizam uma arquitetura de camada média (os clientes falam com a aplicação de camada média e a aplicação de camada média comunica com Exchange Online). Uma Regra de Acesso de Cliente que só permite o acesso a partir da sua rede local pode bloquear aplicações de camada média. Por isso, as regras têm de permitir os endereços IP das aplicações de camada média.

As aplicações de camada média pertencentes à Microsoft (por exemplo, o Outlook para iOS e Android) ignorarão o bloqueio pelas Regras de Acesso de Cliente e serão sempre permitidas. Para fornecer controlo adicional sobre estas aplicações, tem de utilizar as capacidades de controlo disponíveis nas aplicações.

Temporização para alterações de regras

Para melhorar o desempenho geral, as Regras de Acesso de Cliente utilizam uma cache, o que significa que as alterações às regras não produzem efeitos imediatos. A primeira regra que criar na sua organização pode demorar até 24 horas a entrar em vigor. Depois disso, modificar, adicionar ou remover regras pode demorar até uma hora a entrar em vigor.

Administração

Só pode utilizar o PowerShell para gerir as Regras de Acesso de Cliente, pelo que tem de ter cuidado com as regras que bloqueiam o acesso ao PowerShell remoto. Se criar uma regra que bloqueia o acesso ao PowerShell remoto ou se criar uma regra que bloqueia todos os protocolos para todos, perderá a capacidade de corrigir as regras por si próprio. Terá de ligar para o Suporte e Suporte ao Cliente da Microsoft e estes irão criar uma regra que lhe dá acesso remoto ao PowerShell a partir de qualquer lugar para que possa corrigir as suas próprias regras. Tenha em atenção que pode demorar até uma hora para que esta nova regra entre em vigor.

Como melhor prática, crie uma Regra de Acesso de Cliente com a prioridade mais alta para preservar o acesso ao PowerShell remoto. Por exemplo:

New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1

Tipos de autenticação e protocolos nas Regras de Acesso de Cliente

Nem todos os tipos de autenticação são suportados para todos os protocolos nas Regras de Acesso de Cliente. Os tipos de autenticação suportados por protocolo estão descritos nesta tabela:

Protocolo	AdfsAuthentication	BasicAuthentication	CertificateBasedAuthentication	NonBasicAuthentication	OAuthAuthentication
`ExchangeActiveSync`	n/d	com suporte	com suporte	n/d	com suporte
`ExchangeAdminCenter` ¹	com suporte	com suporte	n/d	n/d	n/d
`IMAP4`	n/d	com suporte	n/d	n/d	com suporte
`OutlookWebApp`	com suporte	com suporte	n/d	n/d	n/d
`POP3`	n/d	com suporte	n/d	n/d	com suporte
`RemotePowerShell`	n/d	com suporte	n/d	com suporte	n/d

¹ Este protocolo aplica-se apenas ao centro de administração clássico do Exchange (EAC).

Condições e exceções da Regra de Acesso de Cliente

As condições e exceções nas Regras de Acesso de Cliente identificam as ligações de cliente às quais a regra é aplicada ou não aplicada. Por exemplo, se a regra bloquear o acesso por Exchange ActiveSync clientes, pode configurar a regra para permitir Exchange ActiveSync ligações a partir de um intervalo específico de endereços IP. A sintaxe é a mesma para uma condição e para a exceção correspondente. A única diferença é que as condições especificam ligações de cliente a incluir, enquanto as exceções especificam ligações de cliente a excluir.

Esta tabela descreve as condições e exceções disponíveis nas Regras de Acesso do Cliente:

Parâmetro condition no Exchange Online PowerShell	Parâmetro de exceção no Exchange Online PowerShell	Descrição
AnyOfAuthenticationTypes	ExceptAnyOfAuthenticationTypes	Os valores válidos são: `AdfsAuthentication` `BasicAuthentication` `CertificateBasedAuthentication` `NonBasicAuthentication` `OAuthAuthentication` Vários valores, separados por vírgulas, podem ser especificados. Pode utilizar aspas em torno de cada valor individual ("valor1", "valor2"), mas não em torno de todos os valores (não utilize "valor1, valor2"). Nota: se especificar `ExceptAnyOfAuthenticationTypes`, `AnyOfAuthenticationTypes` também tem de ser especificado.
AnyOfClientIPAddressesOrRanges	ExceptAnyOfClientIPAddressesOrRanges	Os endereços IPv4 e IPv6 são suportados. Os valores válidos são: Um único endereço IP: por exemplo, 192.168.1.1 ou 2001:DB8::2AA:FF:C0A8:640A. Um intervalo de endereços IP: por exemplo, 192.168.0.1-192.168.0.254 ou 2001:DB8::2AA:FF:C0A8:640A-2001:DB8::2AA:FF:C0A8:6414. IP de Encaminhamento de Inter-Domain Sem Classe (CIDR): por exemplo, 192.168.3.1/24 ou 2001:DB8::2AA:FF:C0A8:640A/64. Vários valores, separados por vírgulas, podem ser especificados. Para obter mais informações sobre os endereços E sintaxe IPv6, consulte este tópico do Exchange 2013: Noções básicas de endereços IPv6.
AnyOfProtocols	ExceptAnyOfProtocols	Os valores válidos são: `ExchangeActiveSync` `ExchangeAdminCenter` ¹ `ExchangeWebServices` `IMAP4` `OfflineAddressBook` `OutlookAnywhere` (inclui MAPI através de HTTP) `OutlookWebApp`(Outlook na Web) `POP3` `PowerShellWebServices` `RemotePowerShell` `REST` Vários valores, separados por vírgulas, podem ser especificados. Pode utilizar aspas em torno de cada valor individual ("valor1", "valor2"), mas não em torno de todos os valores (não utilize "valor1, valor2"). Nota: se não utilizar esta condição numa regra, a regra é aplicada a todos os protocolos.
Escopo	n/d	Especifica o tipo de ligações a que a regra se aplica. Os valores válidos são: `Users`: a regra aplica-se apenas às ligações do utilizador final. `All`: a regra aplica-se a todos os tipos de ligações (utilizadores finais e aplicações de camada média).
UsernameMatchesAnyOfPatterns	ExceptUsernameMatchesAnyOfPatterns	Aceita texto e o caráter universal () para identificar o nome da conta do utilizador no formato `<Domain>\<UserName>` (por exemplo, `contoso.com\jeff` ou `jeff`, mas não `jeff`). Caracteres não alfanuméricos não exigem um caractere de escape. Vários valores, separados por vírgulas, podem ser especificados.
UserRecipientFilter	n/d	Utiliza a sintaxe do filtro OPath para identificar o utilizador a que a regra se aplica. Por exemplo, `"City -eq 'Redmond'"`. Os atributos filtráveis são: `City` `Company` `CountryOrRegion` `CustomAttribute1` para `CustomAttribute15` `Department` `Office` `PostalCode` `StateOrProvince` `StreetAddress` Os critérios de pesquisa utilizam a sintaxe `"<Property> -<Comparison operator> '<Value>'"`. `<Property>` é uma propriedade filtráveis. `-<Comparison Operator>` é um operador de comparação OPATH. Por exemplo `-eq` , para correspondências exatas (os carateres universais não são suportados) e `-like` para a comparação de cadeias (que requer, pelo menos, um caráter universal no valor da propriedade). Para obter mais informações sobre operadores de comparação, veja about_Comparison_Operators. `<Value>` é o valor da propriedade. Os valores de texto com ou sem espaços ou valores com carateres universais () têm de estar entre aspas (por exemplo, `'<Value>'` ou `'<Value>'`). Não utilize aspas com o valor `$null` do sistema (para valores em branco). Pode encadear múltiplos critérios de pesquisa em conjunto com os operadores lógicos `-and` e `-or`. Por exemplo: `"<Criteria1> -and <Criteria2>"` ou `"(<Criteria1> -and <Criteria2>) -or <Criteria3>"`. Para obter mais informações sobre a sintaxe do filtro OPATH, veja Informações adicionais sobre sintaxe OPATH.