Procedimentos para regras de acesso ao cliente em Exchange Online
Resumo: saiba como exibir, criar, modificar, excluir e testar regras de acesso ao cliente em Exchange Online.
As Regras de Acesso ao Cliente permitem ou bloqueiam conexões de cliente com sua organização Exchange Online com base nas propriedades da conexão. Para obter mais informações sobre regras de acesso ao cliente, consulte Regras de acesso ao cliente em Exchange Online.
Observação
A partir de outubro de 2022, desabilitamos o acesso às regras de acesso ao cliente para todas as organizações de Exchange Online existentes que não as estavam usando. Em outubro de 2023, o suporte às regras de acesso ao cliente terminará para todas as organizações Exchange Online. Para obter mais informações, confira Preterir regras de acesso ao cliente no Exchange Online.
Verifique se suas regras funcionam da maneira que você espera. Verifique minuciosamente cada regra e as interações entre as regras. Para obter mais informações, confira a seção Usar Exchange Online PowerShell para testar regras de acesso ao cliente mais adiante neste tópico.
Do que você precisa saber para começar?
Tempo estimado para concluir cada procedimento: menos de 5 minutos.
Os procedimentos neste tópico só estão disponíveis no Exchange Online PowerShell. Para saber como usar o Windows PowerShell para se conectar ao Exchange Online, confira o artigo Conectar-se ao Exchange Online PowerShell.
As Regras de Acesso ao Cliente dão suporte a endereços IPv4 e IPv6. Para obter mais informações sobre endereços E sintaxe IPv6, confira este tópico do Exchange 2013: conceitos básicos de endereço IPv6.
Para executar este procedimento ou estes procedimentos, você precisa receber permissões. Para ver quais permissões você precisa, consulte a entrada "Fluxo de email" em Permissões de recurso no Exchange Online.
Para obter informações sobre atalhos de teclado que podem se aplicar aos procedimentos neste tópico, consulte Atalhos de teclado para o centro de administração do Exchange.
Dica
Está com problemas? Peça ajuda nos fóruns do Exchange. Visite os fóruns em Exchange Online ou Proteção do Exchange Online.
Use Exchange Online PowerShell para exibir regras de acesso ao cliente
Para retornar uma lista de resumo de todas as Regras de Acesso ao Cliente, execute este comando:
Get-ClientAccessRule
Para retornar informações detalhadas sobre uma regra específica, use esta sintaxe:
Get-ClientAccessRule -Identity "<RuleName>" | Format-List [<Specific properties to view>]
Este exemplo retorna todos os valores de propriedade da regra chamada "Bloquear conexões de cliente de 192.168.1.0/24".
Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List
Este exemplo retorna apenas as propriedades especificadas para a mesma regra.
Get-ClientAccessRule -Identity "Block Client Connections from 192.168.1.0/24" | Format-List Name,Priority,Enabled,Scope,Action
Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Get-ClientAccessRule.
Usar Exchange Online PowerShell para criar regras de acesso ao cliente
Para criar regras de acesso ao cliente no Exchange Online PowerShell, use esta sintaxe:
New-ClientAccessRule -Name "<RuleName>" [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]
Este exemplo cria uma nova Regra de Acesso ao Cliente chamada Bloquear ActiveSync que bloqueia o acesso para clientes Exchange ActiveSync, exceto para clientes no intervalo de endereços IP 192.168.10.1/24.
New-ClientAccessRule -Name "Block ActiveSync" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24
Observações:
- Como prática recomendada, crie uma Regra de Acesso ao Cliente com a maior prioridade para preservar o acesso do administrador ao PowerShell remoto. Por exemplo:
New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1
. - A regra tem o valor de prioridade padrão, pois não usamos o parâmetro Priority . Para obter mais informações, confira a seção Usar Exchange Online PowerShell para definir a prioridade da seção Regras de Acesso ao Cliente posteriormente neste tópico.
- A regra está habilitada, porque não usamos o parâmetro Habilitado e o valor padrão é
$true
.
Este exemplo cria uma nova Regra de Acesso ao Cliente chamada Restringir o Acesso ao EAC que bloqueia o acesso ao centro de administração do Exchange Clássico, exceto se o cliente estiver vindo de um endereço IP no intervalo 192.168.10.1/24 ou se o nome da conta de usuário contiver "tanyas".
New-ClientAccessRule -Name "Restrict EAC Access" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24 -ExceptUsernameMatchesAnyOfPatterns *tanyas*
Para obter informações detalhadas sobre sintaxe e parâmetro, consulte New-ClientAccessRule.
Como saber se funcionou?
Para verificar se você criou com êxito uma Regra de Acesso ao Cliente, use qualquer um desses procedimentos:
Execute este comando no Exchange Online PowerShell para ver a nova regra na lista de regras:
Get-ClientAccessRule
Substitua <RuleName> pelo nome da regra e execute este comando para ver os detalhes da regra:
Get-ClientAccessRule -Identity "<RuleName>" | Format-List
Confira quais regras de acesso ao cliente afetariam uma conexão específica do cliente com Exchange Online usando o cmdlet Test-ClientAccessRule. Para obter mais informações, confira a seção Usar Exchange Online PowerShell para testar regras de acesso ao cliente mais adiante neste tópico.
Usar Exchange Online PowerShell para modificar regras de acesso ao cliente
Nenhuma configuração adicional está disponível quando você modifica uma Regra de Acesso ao Cliente. São as mesmas configurações que estavam disponíveis quando você criou a regra.
Para modificar uma regra de acesso ao cliente no Exchange Online PowerShell, use esta sintaxe:
Set-ClientAccessRule -Identity "<RuleName>" [-Name "<NewName>"] [-Priority <PriorityValue>] [-Enabled <$true | $false>] -Action <AllowAccess | DenyAccess> [<Conditions>] [<Exceptions>]
Este exemplo desabilita a regra de acesso ao cliente existente chamada Permitir IMAP4.
Set-ClientAccessRule -Identity "Allow IMAP4" -Enabled $false
Uma consideração importante ao modificar as Regras de Acesso ao Cliente é modificar condições ou exceções que aceitam vários valores:
- Os valores especificados substituirão todos os valores existentes.
- Para adicionar ou remover valores sem afetar outros valores existentes, use esta sintaxe:
@{Add="<Value1>","<Value2>"...; Remove="<Value1>","<Value2>"...}
Este exemplo adiciona o intervalo de endereços IP 172.17.17.27/16 à regra de acesso ao cliente existente chamada Permitir IMAP4 sem afetar os valores de endereço IP existentes.
Set-ClientAccessRule -Identity "Allow IMAP4" -AnyOfClientIPAddressesOrRanges @{Add="172.17.17.27/16"}
Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Set-ClientAccessRule.
Como saber se funcionou?
Para verificar se você modificou com êxito uma Regra de Acesso ao Cliente, use qualquer um desses procedimentos:
Substitua <RuleName> pelo nome da regra e execute este comando para ver os detalhes da regra:
Get-ClientAccessRule -Identity "<RuleName>" | Format-List
Confira quais regras de acesso ao cliente afetariam uma conexão específica do cliente com Exchange Online usando o cmdlet Test-ClientAccessRule. Para obter mais informações, confira a seção Usar Exchange Online PowerShell para testar regras de acesso ao cliente mais adiante neste tópico.
Use Exchange Online PowerShell para definir a prioridade das Regras de Acesso ao Cliente
Por padrão, as Regras de Acesso ao Cliente recebem uma prioridade baseada na ordem em que foram criadas (as regras mais recentes são mais baixas do que as regras mais antigas). Um número de prioridade menor indica uma prioridade maior para a regra e as regras são processadas em ordem de prioridade (regras de prioridade mais altas são processadas antes de regras de menor prioridade). Nenhuma das duas regras pode ter a mesma prioridade.
A prioridade mais alta que você pode definir em uma regra é 1. O valor mais baixo que pode ser definido depende do número de regras. Por exemplo, se você tiver cinco regras, poderá usar os valores de prioridade de 1 a 5. Alterar a prioridade de uma regra existente pode ter um efeito cascata em outras regras. Por exemplo, se você tiver cinco regras (prioridades 1 a 5) e alterar a prioridade de uma regra de 5 para 2, a regra existente com prioridade 2 será alterada para prioridade 3, a regra com prioridade 3 será alterada para prioridade 4 e a regra com prioridade 4 será alterada para prioridade 5.
Para definir a prioridade de uma regra de acesso ao cliente no Exchange Online PowerShell, use esta sintaxe:
Set-ClientAccessRule -Identity "<RuleName>" -Priority <Number>
Este exemplo define a prioridade da regra chamada Desabilitar IMAP4 para 2. Todas as regras existentes com prioridade inferior ou igual a 2 são reduzidas por 1 (seus números de prioridade são aumentados por 1).
Set-ClientAccessRule -Identity "Disable IMAP" -Priority 2
Observação: para definir a prioridade de uma nova regra ao criá-la, use o parâmetro Priority no cmdlet New-ClientAccessRule .
Como saber se funcionou?
Para verificar se você definiu com êxito a prioridade de uma Regra de Acesso ao Cliente, use qualquer um desses procedimentos:
Execute este comando no Exchange Online PowerShell para ver a lista de regras e seus valores prioritários:
Get-ClientAccessRule
Substitua <RuleName> pelo nome da regra e execute este comando:
Get-ClientAccessRule -Identity "<RuleName>" | Format-List Name,Priority
Usar Exchange Online PowerShell para remover regras de acesso ao cliente
Para remover regras de acesso ao cliente no Exchange Online PowerShell, use esta sintaxe:
Remove-ClientAccessRule -Identity "<RuleName>"
Este exemplo remove a Regra de Acesso ao Cliente chamada Bloco POP3.
Remove-ClientAccessRule -Identity "Block POP3"
Observação: para desabilitar uma Regra de Acesso ao Cliente sem excluí-la, use o parâmetro Habilitado com o valor $false
no cmdlet Set-ClientAccessRule .
Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Remove-ClientAccessRule.
Como saber se funcionou?
Para verificar se você removeu com êxito uma Regra de Acesso ao Cliente, execute este comando no Exchange Online PowerShell para verificar se a regra não está mais listada:
Get-ClientAccessRule
Usar Exchange Online PowerShell para testar regras de acesso ao cliente
Para ver quais regras de acesso ao cliente afetariam uma conexão específica do cliente com Exchange Online, use esta sintaxe:
Test-ClientAccessRule -User <MailboxIdentity> -AuthenticationType <AuthenticationType> -Protocol <Protocol> -RemoteAddress <ClientIPAddress> -RemotePort <TCPPortNumber>
Este exemplo retorna as Regras de Acesso ao Cliente que corresponderiam a uma conexão do cliente com Exchange Online que tem essas propriedades:
- Tipo de autenticação: Básico
- Protocolo:
OutlookWebApp
- Endereço remoto: 172.17.17.26
- Porta remota: 443
- Usuário: julia@contoso.com
Test-ClientAccessRule -User julia@contoso.com -AuthenticationType BasicAuthentication -Protocol OutlookWebApp -RemoteAddress 172.17.17.26 -RemotePort 443
Para obter informações detalhadas sobre sintaxe e parâmetro, consulte Test-ClientAccessRule.