Exchange 2019 中的用戶端存取規則
用戶端存取規則可協助您根據用戶端屬性或用戶端存取要求,在 Exchange 系統管理中心 (EAC) 和遠端 PowerShell 控制對 Exchange 2019 組織的存取。 用戶端存取規則就像是郵件流程規則 (也稱為傳輸規則) ,適用于 EAC 和遠端 PowerShell 連線至您的 Exchange 組織。 您可以根據其 IP 位址 (IPv4 和 IPv6) 、驗證類型和使用者屬性值,防止 EAC 和遠端 PowerShell 用戶端連線到 Exchange。 例如:
- 使用包含 Exchange 管理命令介面) 的遠端 PowerShell (來防止用戶端存取。
- 封鎖特定國家或地區的使用者存取 EAC。
如需用戶端存取規則程式,請參閱Exchange Server 中的用戶端存取規則程式。
用戶端存取規則元件
規則是由條件、例外狀況、動作和優先順序值所組成。
條件:可識別要套用動作的用戶端連線。 如需條件的完整清單,請參閱本主題稍後的用戶端存取規則條件和例外狀況章節。 當用戶端連線符合規則的條件時,會將動作套用至用戶端連線,並停止規則評估, (不再將規則套用至連線) 。
例外狀況:(選擇性) 可識別不應套用動作的用戶端連線。 例外狀況可覆寫條件並防止規則動作套用到連線,即使連線符合所有設定的條件也是如此。 例外狀況所允許的用戶端連線會繼續進行規則評估,但後續規則仍會影響連線。
動作:指定要對符合規則條件,但不符合任何例外狀況的用戶端連線採取什麼動作。 有效動作如下:
允許連線 (Action 參數的
AllowAccess值)。封鎖連線 (Action 參數的
DenyAccess值)。注意:當您封鎖特定通訊協定的連線時,其他仰賴相同通訊協定的應用程式可能也會受到影響。
優先順序:指出要將規則套用至用戶端連線的順序 (值越小表示優先順序越高)。 預設優先順序是以規則的建立時間為基礎 (較舊規則的優先順序高於較新的規則),而較高優先順序的規則會在較低優先順序的規則之前處理。 請記住,一旦用戶端連線符合規則條件時,規則便會停止處理。
如需在規則上設定優先順序值的詳細資訊,請參閱 使用 Exchange 管理命令介面來設定用戶端存取規則的優先順序。
用戶端存取規則的評估方式
下表會說明如何評估數個有相同條件的規則,以及如何評估有多個條件、條件值和例外狀況的規則。
| 元件 | 邏輯 | 註解 |
|---|---|---|
| 多個規則有相同條件 | 會套用第一個規則,並忽略後續規則 | 例如,如果您的最高優先順序規則封鎖遠端 PowerShell 連線,而且您建立另一個規則來允許特定 IP 位址範圍的遠端 PowerShell 連線,則第一個規則仍會封鎖所有遠端 PowerShell 連線。 您不需要為遠端 PowerShell 建立另一個規則,而是需要將例外狀況新增至現有的遠端 PowerShell 規則,以允許來自指定 IP 位址範圍的連線。 |
| 一個規則有多個條件 | AND | 用戶端連線必須符合規則中的所有條件。 例如,來自會計部門使用者的 EAC 連線。 |
| 規則中的一個條件有多個值 | OR | 對於允許多個值的條件,連線必須符合任何一個 (而非全部) 指定條件。 例如,EAC 或遠端 PowerShell 連線。 |
| 一個規則有多個例外狀況 | OR | 如果用戶端連線符合任何一個例外狀況,系統便不會對用戶端連線套用動作。 連線不必符合所有例外狀況。 例如,IP 位址 192.168.1.1 或基本驗證。 |
您可以測試特定用戶端連線會如何受到用戶端存取規則影響 (會符合什麼規則,因而會影響連線)。 如需詳細資訊,請 參閱使用 Exchange 管理命令介面來測試用戶端存取規則。
重要提示
來自內部網路的用戶端連線
系統不會自動允許來自區域網路的連線略過用戶端存取規則。 因此,當您建立封鎖 Exchange 用戶端連線的用戶端存取規則時,您必須考慮來自內部網路的連線可能會受到影響。 若要允許內部的用戶端連線略過用戶端存取規則,比較好的方法是建立最高優先順序的規則以允許來自內部網路 (所有或特定 IP 位址) 的用戶端連線。 如此一來,系統便會永遠允許用戶端連線,而不理會其他任何您以後建立的封鎖規則。
用戶端存取規則和中介層應用程式
許多存取 Exchange 的應用程式都會使用仲介層架構 (用戶端會與仲介層應用程式通訊,而仲介層應用程式會與 Exchange) 通訊。 只允許從區域網路存取的用戶端存取規則可能會封鎖中介層應用程式。 因此,您的規則必須允許中介層應用程式的 IP 位址。
Microsoft 所擁有的中介層應用程式 (例如 iOS 版和 Android 版 Outlook) 會掠過用戶端存取規則的封鎖,因此系統會永遠允許其執行。 為了能夠對這些應用程式進行其他控制,您必須使用應用程式所提供的控制功能。
變更規則的時機
為了提升整體效能,用戶端存取規則會使用快取,這表示規則變更不會立即生效。 您在組織中建立的第一個規則最多可能要 24 小時才會生效。 在這之後,修改、新增或移除規則最多可能要一小時才會生效。
系統管理
您只能使用 Exchange 管理命令介面 (遠端 PowerShell) 來管理用戶端存取規則,因此您必須小心封鎖遠端 PowerShell 存取的規則。
最佳做法是建立優先順序最高的用戶端存取規則,以保留對遠端 PowerShell 的存取權。 例如:
New-ClientAccessRule -Name "Always Allow Remote PowerShell" -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1
驗證類型和通訊協定
並非所有通訊協定都支援所有驗證類型。 下表說明Exchange Server中每個通訊協定支援的驗證類型:
| Protocol (通訊協定) | AdfsAuthentication | BasicAuthentication | CertificateBasedAuthentication | NonBasicAuthentication | OAuthAuthentication |
|---|---|---|---|---|---|
ExchangeAdminCenter |
支援 | 支援 | n/a | n/a | n/a |
RemotePowerShell |
n/a | 支援 | n/a | 支援 | n/a |
用戶端存取規則的條件和例外狀況
用戶端存取規則中的條件和例外狀況可識別用戶端連線是否要套用規則。 例如,如果規則封鎖遠端 PowerShell 用戶端的存取,您可以設定規則以允許來自特定 IP 位址範圍的遠端 PowerShell 連線。 條件和所對應例外狀況的語法是相同的。 唯一的差別在於條件會指定要包含的用戶端連線,例外狀況則會指定要排除的用戶端連線。
下表說明用戶端存取規則所提供的條件和例外狀況:
| Exchange 管理命令介面中的條件參數 | Exchange 管理命令介面中的例外狀況參數 | 描述 |
|---|---|---|
| AnyOfAuthenticationTypes | ExceptAnyOfAuthenticationTypes | Exchange Server中的有效值為:
您可以指定多個以逗號分隔的值。 您可以用引號括住每個個別值 ("value1"、"value2"),但不要括住所有值 (不要使用 "value1,value2")。 |
| AnyOfClientIPAddressesOrRanges | ExceptAnyOfClientIPAddressesOrRanges | 支援 IPv4 和 IPv6 位址。 有效值為:
您可以指定多個以逗號分隔的值。 有關 IPv6 位址和語法的詳細資訊,請參閱此 Exchange 2013 主題:IPv6 位址基礎。 |
| AnyOfProtocols | ExceptAnyOfProtocols | Exchange Server中的有效值為:
您可以指定多個以逗號分隔的值。 您可以用引號括住每個個別值 ("value1"、"value2"),但不要括住所有值 (不要使用 "value1,value2")。 注意:如果您未在規則中使用此條件,則規則會套用至這兩種通訊協定。 |
| Scope | n/a | 指定要套用規則的連線類型。 有效值為:
|
| UsernameMatchesAnyOfPatterns | ExceptUsernameMatchesAnyOfPatterns | 接受文字和萬用字元 (*) ,以 (或 格式識別使用者的帳戶名稱 <Domain>\<UserName> , contoso.com\jeff*jeff* 但不 jeff*) 。 非英數字元不需要逸出字元。 您可以指定多個以逗號分隔的值。 |
| UserRecipientFilter | n/a | 使用 OPath 篩選語法來識別要套用規則的使用者。 例如,"City -eq 'Redmond'"。 可篩選的屬性如下:
搜尋準則使用語法
您可以使用邏輯運算子 |