New-ClientAccessRule
Примечание.
Начиная с октября 2022 г. мы отключили доступ к правилам доступа клиентов для всех существующих Exchange Online организаций, которые не использовали их. В сентябре 2024 г. поддержка правил доступа клиентов будет завершена для всех Exchange Online организаций. Дополнительные сведения см. в разделе Обновление: устаревание правил доступа клиентов в Exchange Online.
Этот командлет работает только в Exchange Server 2019 г. и в облачной службе. Некоторые параметры и настройки могут отличаться в зависимости от среды.
Используйте командлет New-ClientAccessRule для создания правил клиентского доступа. Правила клиентского доступа помогают управлять доступом к организации на основе свойств подключения.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
New-ClientAccessRule
[-Name] <String>
-Action <ClientAccessRulesAction>
[-AnyOfAuthenticationTypes <MultiValuedProperty>]
[-AnyOfClientIPAddressesOrRanges <MultiValuedProperty>]
[-AnyOfProtocols <MultiValuedProperty>]
[-AnyOfSourceTcpPortNumbers <MultiValuedProperty>]
[-Confirm]
[-DomainController <Fqdn>]
[-Enabled <Boolean>]
[-ExceptAnyOfAuthenticationTypes <MultiValuedProperty>]
[-ExceptAnyOfClientIPAddressesOrRanges <MultiValuedProperty>]
[-ExceptAnyOfProtocols <MultiValuedProperty>]
[-ExceptAnyOfSourceTcpPortNumbers <MultiValuedProperty>]
[-ExceptUserIsMemberOf <MultiValuedProperty>]
[-ExceptUsernameMatchesAnyOfPatterns <MultiValuedProperty>]
[-Priority <Int32>]
[-Scope <ClientAccessRulesScope>]
[-UserIsMemberOf <MultiValuedProperty>]
[-UsernameMatchesAnyOfPatterns <MultiValuedProperty>]
[-UserRecipientFilter <String>]
[-WhatIf]
[<CommonParameters>] Описание
Правила доступа клиентов похожи на правила потока обработки почты (также известные как правила транспорта) для клиентских подключений к вашей организации. Условия и исключения используются для определения подключений на основе их свойств и действий, разрешающих или блокирующих подключения.
Примечание. Не все протоколы поддерживают фильтры типов проверки подлинности, и даже протоколы, поддерживающие фильтры типов проверки подлинности, поддерживают не все типы проверки подлинности. Поддерживаемые сочетания описаны в следующих списках. Будьте осторожны при смешивании протоколов и типов проверки подлинности в одном правиле.
Протоколы, поддерживающие фильтры типов проверки подлинности:
- ExchangeActiveSync: BasicAuthentication, OAuthAuthentication и CertificateBasedAuthentication.
- ExchangeAdminCenter: BasicAuthentication и AdfsAuthentication.
- IMAP4: BasicAuthentication и OAuthAuthentication.
- OutlookWebApp: BasicAuthentication и AdfsAuthentication.
- POP3: BasicAuthentication и OAuthAuthAuthentication.
- RemotePowerShell: BasicAuthentication и NonBasicAuthentication.
Протоколы, не поддерживающие фильтры типов проверки подлинности:
- ExchangeWebServices
- OfflineAddressBook
- OutlookAnywhere
- PowerShellWebServices
- REST
- UniversalOutlook
Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Примеры
Пример 1
New-ClientAccessRule -Name AllowRemotePS -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1Эта команда создает правило с наивысшим приоритетом, которое разрешает доступ к удаленной оболочке PowerShell. Это правило позволяет обезопасить себя от потери доступа к организации. Без этого правила вы не сможете самостоятельно исправить правила, блокирующие ваш доступ к удаленной оболочке PowerShell или все протоколы для всех, если создадите такие (нужно будет позвонить в службу поддержки пользователей Майкрософт).
Пример 2
New-ClientAccessRule -Name "Block ActiveSync" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24В этом примере создается новое правило доступа клиентов с именем Block ActiveSync, которое блокирует доступ для клиентов Exchange ActiveSync, за исключением клиентов в диапазоне IP-адресов 192.168.10.1/24.
Параметры
-Action
Параметр Action указывает действие для правила клиентского доступа. Допустимые значения этого параметра — AllowAccess и DenyAccess.
| Type: | ClientAccessRulesAction |
| Position: | Named |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-AnyOfAuthenticationTypes
Этот параметр работает только в облачной службе.
Параметр AnyOfAuthenticationTypes указывает условие для правила клиентского доступа, основанное на типе проверки подлинности клиента.
Параметр PasswordQuality указывает минимальную оценку качества для паролей устройства. Качество пароля — это числовая шкала, указывающая уровень безопасности и сложности пароля. Более высокое качество означает более надежный пароль.
- AdfsAuthentication
- BasicAuthentication
- CertificateBasedAuthentication
- NonBasicAuthentication
- OAuthAuthentication
Вы можете указать несколько значений, разделив их запятыми. Не используйте кавычки.
Примечание. См. раздел Описание, чтобы узнать, какие типы проверки подлинности можно использовать с какими протоколами.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Online, Exchange Online Protection |
-AnyOfClientIPAddressesOrRanges
Параметр AnyOfClientIPAddressesOrRanges указывает условие для правила доступа клиента, основанное на IPv4- или IPv6-адресе клиента. Допустимые значения:
- Один IP-адрес: например, 192.168.1.1 или 2001:DB8:2AA:FF:C0A8:640A.
- Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254 или 2001:DB8:2AA:FF:C0A8:640A-2001:DB8:2AA:FF:C0A8:6414.
- Диапазон IP-адресов безклассовой маршрутизации Inter-Domain (CIDR): например, 192.168.3.1/24 или 2001:DB8::2AA:FF:C0A8:640A/64.
Update
Дополнительные сведения об IPv6-адресах и синтаксисе см. в разделе Exchange 2013: IPv6-адреса основы.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-AnyOfProtocols
Параметр AnyOfProtocols указывает условие для правила клиентского доступа, основанное на протоколе клиента.
Параметр PasswordQuality указывает минимальную оценку качества для паролей устройства. Качество пароля — это числовая шкала, указывающая уровень безопасности и сложности пароля. Более высокое качество означает более надежный пароль.
- ExchangeActiveSync
- ExchangeAdminCenter
- ExchangeWebServices
- IMAP4
- OfflineAddressBook
- OutlookAnywhere
- OutlookWebApp
- POP3
- PowerShellWebServices
- RemotePowerShell
- REST
- UniversalOutlook (приложение "Почта и календарь")
Примечание. В Exchange 2019 поддерживаются только Значения ExchangeAdminCenter и RemotePowerShell.
Вы можете указать несколько значений, разделив их запятыми. Не используйте кавычки.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-AnyOfSourceTcpPortNumbers
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013 |
-Confirm
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, командлеты Remove-*) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис:
-Confirm:$false. - Большинство других командлетов (например, командлеты New-* и Set-*) не имеют встроенной приостановки. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
| Type: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-DomainController
Этот параметр доступен только в локальной среде Exchange.
Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.
| Type: | Fqdn |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Enabled
Параметр Enabled показывает, включено или нет правило клиентского доступа. Для этого параметра допускаются значения $true и $false. Значение по умолчанию — $true.
| Type: | Boolean |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-ExceptAnyOfAuthenticationTypes
Этот параметр работает только в облачной службе.
Параметр ExceptAnyOfAuthenticationTypes указывает исключение для правила клиентского доступа, основанное на типе проверки подлинности клиента.
Параметр PasswordQuality указывает минимальную оценку качества для паролей устройства. Качество пароля — это числовая шкала, указывающая уровень безопасности и сложности пароля. Более высокое качество означает более надежный пароль.
- AdfsAuthentication
- BasicAuthentication
- CertificateBasedAuthentication
- NonBasicAuthentication
- OAuthAuthentication
Вы можете указать несколько значений, разделив их запятыми. Не используйте кавычки.
Примечание. См. раздел Описание, чтобы узнать, какие типы проверки подлинности можно использовать с какими протоколами.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Online, Exchange Online Protection |
-ExceptAnyOfClientIPAddressesOrRanges
Параметр ExceptAnyOfClientIPAddressesOrRanges указывает исключение для правила доступа клиента, основанного на IPv4 или IPv6-адресе клиента. Допустимые значения:
- Один IP-адрес: например, 192.168.1.1 или 2001:DB8:2AA:FF:C0A8:640A.
- Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254 или 2001:DB8:2AA:FF:C0A8:640A-2001:DB8:2AA:FF:C0A8:6414.
- Диапазон IP-адресов безклассовой маршрутизации Inter-Domain (CIDR): например, 192.168.3.1/24 или 2001:DB8::2AA:FF:C0A8:640A/64.
Update
Дополнительные сведения об IPv6-адресах и синтаксисе см. в разделе Exchange 2013: IPv6-адреса основы.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-ExceptAnyOfProtocols
Этот параметр работает только в облачной службе.
Параметр ExceptAnyOfProtocols указывает исключение для правила клиентского доступа, основанное на протоколе клиента.
Параметр PasswordQuality указывает минимальную оценку качества для паролей устройства. Качество пароля — это числовая шкала, указывающая уровень безопасности и сложности пароля. Более высокое качество означает более надежный пароль.
- ExchangeActiveSync
- ExchangeAdminCenter
- ExchangeWebServices
- IMAP4
- OfflineAddressBook
- OutlookAnywhere
- OutlookWebApp
- POP3
- PowerShellWebServices
- RemotePowerShell
- REST
- UniversalOutlook (приложение "Почта и календарь")
Вы можете указать несколько значений, разделив их запятыми. Не используйте кавычки.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Online, Exchange Online Protection |
-ExceptAnyOfSourceTcpPortNumbers
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013 |
-ExceptUserIsMemberOf
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013 |
-ExceptUsernameMatchesAnyOfPatterns
Этот параметр работает только в облачной службе.
Параметр ExceptUsernameMatchesAnyOfPatterns указывает исключение для правила доступа клиента, основанное на имени учетной записи пользователя в формате <Domain>\<UserName> (например, contoso.com\jeff). Этот параметр принимает текст и подстановочный знак (*) (например, *jeff*, но не jeff*). Escape-символы требуются только для последовательностей букв и цифр.
Можно указать несколько значений, разделенных запятыми.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-Name
Параметр Name указывает уникальное имя для правила клиентского доступа.
| Type: | String |
| Position: | 1 |
| Default value: | None |
| Required: | True |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-Priority
Параметр Priority задает значение приоритета для правила, определяющее порядок обработки правила. Меньшее целочисленное значение указывает на более высокий приоритет, значение 0 — наивысший приоритет, а правила не могут иметь одинаковое значение приоритета.
Допустимые значения и значение по умолчанию для этого параметра зависят от количества существующих правил. Например, если существует 8 существующих правил:
- Допустимые значения и значение, используемое по умолчанию, для этого параметра зависят от количества имеющихся правил. Например, у вас имеется 8 правил.
- Допустимые значения приоритета для этих 8 правил — от 0 до 7.
- Допустимые значения приоритета для нового (девятого) правила — от 0 до 8.
При изменении значения приоритета правила позиция правила в списке изменится в соответствии со значением приоритета, которое вы указали. Иными словами, если задать для правила то же значение приоритета, что и существующее правило, значение приоритета существующего правила и всех других правил с более низким приоритетом после его увеличения на 1.
| Type: | Int32 |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-Scope
Параметр Scope указывает область правила доступа клиента. Допустимые значения:
- Users. Правило применяется только к подключениям пользователей.
- All. Правило применяется ко всем подключениям (как от пользователей, так и от приложений среднего уровня).
| Type: | ClientAccessRulesScope |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-UserIsMemberOf
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013 |
-UsernameMatchesAnyOfPatterns
Этот параметр работает только в облачной службе.
Параметр UsernameMatchesAnyOfPatterns указывает условие для правила доступа клиента, основанное на имени учетной записи пользователя в формате <Domain>\<UserName> (например, contoso.com\jeff). Этот параметр принимает текст и подстановочный знак (*) (например, *jeff*, но не jeff*). Escape-символы требуются только для последовательностей букв и цифр. Этот параметр не работает с параметром -AnyOfProtocols UniversalOutlook.
Update
| Type: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | True |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-UserRecipientFilter
Этот параметр работает только в облачной службе.
Параметр UserRecipientFilter задает условие для правила доступа клиента, которое использует синтаксис фильтра OPATH для идентификации пользователя на основе ограниченного набора свойств получателя. Правила доступа клиента не поддерживают полный список доступных свойств получателей.
С этим параметром можно использовать следующие свойства:
- Город
- Company
- CountryOrRegion (код страны ISO 3166-1 alpha-2).
- CustomAttribute1–CustomAttribute15
- Отдел
- Кабинет
- PostalCode
- StateOrProvince
- StreetAddress
Базовый синтаксис для этого параметра:"Property -ComparisonOperator 'Value'"
- Свойство является одним из фильтруемых свойств в приведенном выше списке (например,
CityилиCustomAttribute1). - ComparisonOperator — это оператор сравнения OPATH (например
-eq, для равных и-likeдля сравнения строк). Подробнее об операторах сравнения см. в статье about_Comparison_Operators. - Value — это значение свойства для поиска. Заключите текстовые значения и переменные в одиночные кавычки (
'Value'или'$Variable'). Если значение переменной содержит одиночные кавычки, необходимо определить (избежать) одиночные кавычки, чтобы правильно развернуть переменную. Например, вместо'$User'используйте'$($User -Replace "'","''")'. Не заключайте целые числа или системные значения в кавычки (например, используйте500,$true,$false, или$nullвместо них). - Заключите весь фильтр OPATH в двойные кавычки "". Если фильтр содержит системные значения (например,
$true,$falseили$null), используйте одиночные кавычки ' '. Хотя этот параметр является строкой (а не системным блоком), вы также можете использовать фигурные скобки { }, но только если фильтр не содержит переменные.
Например:
"City -eq 'Redmond'""CountryOrRegion -eq 'SG'".
Можно связать несколько условий поиска вместе с помощью логических операторов -and и -or. Например:
"CustomAttribute1 -eq 'AllowOWA' -and CountryOrRegion -eq AU'""(CountryOrRegion -eq 'US' -and Department -eq 'Sales') -or Department -eq 'Research'".
Подробные сведения о синтаксисе фильтра OPATH в Exchange см. в разделе Дополнительные сведения о синтаксисе OPATH.
| Type: | String |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-WhatIf
Переключатель WhatIf имитирует действия команды. Вы можете использовать его для просмотра результатов изменений без фактического внесения этих изменений. С этим параметром не нужно указывать значение.
| Type: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Required: | False |
| Accept pipeline input: | False |
| Accept wildcard characters: | False |
| Applies to: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
Входные данные
Input types
Сведения о типах входных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип ввода для командлета пустое, командлет не принимает входные данные.
Выходные данные
Output types
Сведения о типах возвращаемых данных, которые также называются типами выходных данных, которые принимает этот командлет, см. в разделе Типы входных и выходных данных командлетов. Если поле Тип вывода пусто, командлет не возвращает данные.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по