Regras de acesso ao cliente em Exchange Online
Resumo: saiba como os administradores podem usar as Regras de Acesso ao Cliente para permitir ou bloquear diferentes tipos de conexões de cliente para Exchange Online.
As Regras de Acesso ao Cliente ajudam você a controlar o acesso à sua organização Exchange Online com base em propriedades do cliente ou solicitações de acesso ao cliente. As Regras de Acesso ao Cliente são como regras de fluxo de email (também conhecidas como regras de transporte) para conexões de cliente com sua organização Exchange Online. Você pode impedir que os clientes se conectem a Exchange Online com base em seu endereço IP (IPv4 e IPv6), tipo de autenticação e valores de propriedade do usuário e o protocolo, aplicativo, serviço ou recurso que eles estão usando para se conectar. Por exemplo:
- Permitir acesso a Exchange ActiveSync clientes de endereços IP específicos e bloquear todos os outros clientes ActiveSync.
- Bloqueie o acesso ao EWS (Exchange Web Services) para usuários em departamentos, cidades ou regiões específicas.
- Bloqueie o acesso a um OAB (catálogo de endereços offline) para usuários específicos com base em seus nomes de usuário.
- Impedir o acesso do cliente usando a autenticação federada.
- Impedir o acesso do cliente usando o PowerShell do Exchange Online.
- Bloqueie o acesso ao EAC (centro de administração do Exchange) clássico para usuários em um país ou região específico.
Para procedimentos de regra de acesso ao cliente, consulte Procedimentos para regras de acesso ao cliente em Exchange Online.
Observação
Não há suporte para bloquear o acesso à conta de serviço ao usar a representação do EWS com regras de acesso ao cliente.
A partir de outubro de 2022, desabilitamos o acesso às regras de acesso ao cliente para todas as organizações de Exchange Online existentes que não as estavam usando. Em outubro de 2023, o suporte às regras de acesso ao cliente terminará para todas as organizações Exchange Online. Para obter mais informações, confira Preterir regras de acesso ao cliente no Exchange Online.
Componentes da Regra de Acesso ao Cliente
Uma regra é feita de condições, exceções, uma ação e um valor de prioridade.
Condições: identifique as conexões do cliente para aplicar a ação. Para obter uma lista completa de condições, consulte a seção condições e exceções da Regra de Acesso ao Cliente mais adiante neste tópico. Quando uma conexão de cliente corresponde às condições de uma regra, a ação é aplicada à conexão do cliente e a avaliação de regra é interrompida (não são aplicadas mais regras à conexão).
Exceções: opcionalmente, identifique as conexões de cliente às quais a ação não deve se aplicar. As exceções substituem as condições e impedem que a ação de regra seja aplicada a uma conexão, mesmo que a conexão corresponda a todas as condições configuradas. A avaliação de regra continua para conexões de cliente permitidas pela exceção, mas uma regra subsequente ainda pode afetar a conexão.
Ação: especifica o que fazer com conexões de cliente que correspondem às condições na regra e não correspondem a nenhuma das exceções. As ações válidas são:
Permitir a conexão (o
AllowAccessvalor do parâmetro Ação ).Bloqueie a conexão (o
DenyAccessvalor do parâmetro Action ).Observação: quando você bloqueia conexões para um protocolo específico, outros aplicativos que dependem do mesmo protocolo também podem ser afetados.
Prioridade: indica a ordem de que as regras sejam aplicadas a conexões de cliente (um número menor indica uma prioridade maior). A prioridade padrão é baseada em quando a regra é criada (regras mais antigas têm uma prioridade maior do que as regras mais recentes) e regras de prioridade mais altas são processadas antes de regras de prioridade mais baixas. Lembre-se de que o processamento de regras é interrompido quando a conexão do cliente corresponde às condições da regra.
Para obter mais informações sobre como definir o valor de prioridade em regras, consulte Usar Exchange Online PowerShell para definir a prioridade das Regras de Acesso ao Cliente.
Como as regras de acesso ao cliente são avaliadas
Como várias regras com a mesma condição são avaliadas e como uma regra com várias condições, valores de condição e exceções são avaliadas são descritas na tabela a seguir.
| Componente | Lógica | Comentários |
|---|---|---|
| Várias regras que contêm a mesma condição | A primeira regra é aplicada e as regras subsequentes são ignoradas | Por exemplo, se a regra de maior prioridade bloquear Outlook na Web conexões e criar outra regra que permita conexões Outlook na Web para um intervalo de endereços IP específico, todas as conexões Outlook na Web ainda serão bloqueadas pela primeira regra. Em vez de criar outra regra para Outlook na Web, você precisa adicionar uma exceção à regra Outlook na Web existente para permitir conexões do intervalo de endereços IP especificado. |
| Várias condições em uma regra | E | Uma conexão de cliente deve corresponder a todas as condições na regra. Por exemplo, conexões EWS de usuários no departamento de Contabilidade. |
| Uma condição com vários valores em uma regra | OU | Para condições que permitem mais de um valor, a conexão deve corresponder a qualquer uma (não todas) das condições especificadas. Por exemplo, conexões EWS ou IMAP4. |
| Várias exceções em uma regra | OU | Se uma conexão cliente corresponder a qualquer uma das exceções, as ações não serão aplicadas à conexão do cliente. A conexão não precisa corresponder a todas as exceções. Por exemplo, endereço IP 19.2.168.1.1 ou autenticação básica. |
Você pode testar como uma conexão de cliente específica seria afetada pelas Regras de Acesso ao Cliente (quais regras corresponderiam e, portanto, afetariam a conexão). Para obter mais informações, consulte Usar Exchange Online PowerShell para testar regras de acesso ao cliente.
Observação
As Regras de Acesso ao Cliente são avaliadas após a autenticação e não podem ser usadas para bloquear tentativas de conexão ou autenticação brutas.
Notas importantes
Conexões de cliente de sua rede interna
As conexões da rede local não têm permissão automaticamente para ignorar regras de acesso ao cliente. Portanto, ao criar regras de acesso ao cliente que bloqueiam as conexões do cliente com Exchange Online, você precisa considerar como as conexões de sua rede interna podem ser afetadas. O método preferido para permitir que conexões internas do cliente ignorem as Regras de Acesso ao Cliente é criar uma regra de prioridade mais alta que permita conexões de cliente de sua rede interna (todos ou endereços IP específicos). Dessa forma, as conexões de cliente sempre são permitidas, independentemente de qualquer outra regra de bloqueio que você criar no futuro.
Regras de acesso ao cliente e aplicativos de camada intermediária
Muitos aplicativos que acessam Exchange Online usam uma arquitetura de camada média (os clientes conversam com o aplicativo de camada intermediária e o aplicativo de camada média conversa com Exchange Online). Uma Regra de Acesso ao Cliente que só permite o acesso da rede local pode bloquear aplicativos de camada média. Portanto, suas regras precisam permitir os endereços IP de aplicativos de camada média.
Aplicativos de nível médio pertencentes à Microsoft (por exemplo, Outlook para iOS e Android) ignorarão o bloqueio pelas Regras de Acesso ao Cliente e sempre serão permitidos. Para fornecer controle adicional sobre esses aplicativos, você precisa usar os recursos de controle disponíveis nos aplicativos.
Tempo para alterações de regra
Para melhorar o desempenho geral, as Regras de Acesso ao Cliente usam um cache, o que significa que as alterações nas regras não entrarão em vigor imediatamente. A primeira regra que você cria em sua organização pode levar até 24 horas para entrar em vigor. Depois disso, modificar, adicionar ou remover regras pode levar até uma hora para entrar em vigor.
Administração
Você só pode usar o PowerShell para gerenciar regras de acesso ao cliente, portanto, você precisa ter cuidado com as regras que bloqueiam seu acesso ao PowerShell remoto. Se você criar uma regra que bloqueie seu acesso ao PowerShell remoto ou se criar uma regra que bloqueie todos os protocolos para todos, perderá a capacidade de corrigir as regras por conta própria. Você precisará chamar o Serviço de Cliente e o Suporte da Microsoft e eles criarão uma regra que lhe dá acesso remoto do PowerShell de qualquer lugar para que você possa corrigir suas próprias regras. Observe que pode levar até uma hora para que essa nova regra entre em vigor.
Como prática recomendada, crie uma Regra de Acesso ao Cliente com a maior prioridade para preservar seu acesso ao PowerShell remoto. Por exemplo:
New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1
Tipos e protocolos de autenticação em Regras de Acesso ao Cliente
Nem todos os tipos de autenticação têm suporte para todos os protocolos em Regras de Acesso ao Cliente. Os tipos de autenticação com suporte por protocolo são descritos nesta tabela:
| Protocolo | AdfsAuthentication | Basicauthentication | CertificateBasedAuthentication | NonBasicAuthentication | OAuthAuthentication |
|---|---|---|---|---|---|
ExchangeActiveSync |
n/d | com suporte | com suporte | n/d | com suporte |
ExchangeAdminCenter1 |
com suporte | com suporte | n/d | n/d | n/d |
IMAP4 |
n/d | com suporte | n/d | n/d | com suporte |
OutlookWebApp |
com suporte | com suporte | n/d | n/d | n/d |
POP3 |
n/d | com suporte | n/d | n/d | com suporte |
RemotePowerShell |
n/d | com suporte | n/d | com suporte | n/d |
1 Esse protocolo só se aplica ao centro de administração clássico do Exchange (EAC).
Condições e exceções da Regra de Acesso ao Cliente
Condições e exceções nas Regras de Acesso ao Cliente identificam as conexões de cliente às quais a regra é aplicada ou não aplicada. Por exemplo, se a regra bloquear o acesso por clientes Exchange ActiveSync, você poderá configurar a regra para permitir Exchange ActiveSync conexões de um intervalo específico de endereços IP. A sintaxe é a mesma para uma condição e a exceção correspondente. A única diferença é que as condições especificam conexões de cliente a serem incluídas, enquanto exceções especificam conexões de cliente a serem excluídas.
Esta tabela descreve as condições e exceções disponíveis nas Regras de Acesso ao Cliente:
| Parâmetro de condição no Exchange Online PowerShell | Parâmetro de exceção no Exchange Online PowerShell | Descrição |
|---|---|---|
| AnyOfAuthenticationTypes | ExceptAnyOfAuthenticationTypes | Os valores válidos são:
Vários valores, separados por vírgulas, podem ser especificados. Você pode usar aspas em torno de cada valor individual ("value1", "value2"), mas não em todos os valores (não use "value1,value2"). |
| AnyOfClientIPAddressesOrRanges | ExceptAnyOfClientIPAddressesOrRanges | Há suporte para endereços IPv4 e IPv6. Os valores válidos são:
Vários valores, separados por vírgulas, podem ser especificados. Para obter mais informações sobre endereços E sintaxe IPv6, confira este tópico do Exchange 2013: conceitos básicos de endereço IPv6. |
| AnyOfProtocols | ExceptAnyOfProtocols | Os valores válidos são:
Vários valores, separados por vírgulas, podem ser especificados. Você pode usar aspas em torno de cada valor individual (" value1", "value2"), mas não em todos os valores (não use "value1,value2"). |
| Escopo | n/d | Especifica o tipo de conexões às quais a regra se aplica. Os valores válidos são:
|
| UsernameMatchesAnyOfPatterns | ExceptUsernameMatchesAnyOfPatterns | Aceita texto e o caractere curinga (*) para identificar o nome da conta do usuário no formato <Domain>\<UserName> (por exemplo, contoso.com\jeff ou *jeff*, mas não jeff*). Caracteres não alfanuméricos não exigem um caractere de escape. Vários valores, separados por vírgulas, podem ser especificados. |
| UserRecipientFilter | n/d | Usa a sintaxe de filtro OPath para identificar o usuário ao qual a regra se aplica. Por exemplo, "City -eq 'Redmond'". Os atributos filtrados são:
Você pode encadear vários critérios de pesquisa usando os operadores lógicos |
1 Esse protocolo só se aplica ao centro de administração clássico do Exchange (EAC).