Exchange Online基于网络位置限制使用

在一些安全要求比较高点的企业中使用Office365每每有这个一个需求：

企业管理员但愿部分员工（例如财务等敏感用户）只能在公司内网使用收发邮件，离开公司网络就不能使用邮件。这也必定程度上保护了企业的数据安全。

在本地部署的Exchange server要作到这样的效果也不难，能够在IIS中去配置，那么在Exchange Online上怎么来实现这些功能呢？Exchange Online的服务器企业管理员也没法接触到，就不用说去配置IIS了，其实也是有办法的，针对Online用户是有客户端访问策略，根据这个访问策略去调整用户基于网络位置的访问就能够实现离开公司网络就没法收发邮件了。

 首先须要链接到Exchange Online PowerShell，执行如下命令，或者把如下命令搞到一个ps1文件中经过一个脚原本执行，保存脚本也方便之后随时远程链接

Set-ExecutionPolicy RemoteSigned

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://partner.outlook.cn/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $Session -DisableNameChecking

若是是国际版用户须要将partner.outlook.cn替换成outlook.office365.com

以管理员身份打开Windows PowerShell，切换到ps脚本所在目录，而后使用.\nameofps1.ps1来链接到Exchange Online，这时候会提示输入用户名密码，注意这里至少是Exchange Online管理员权限，通常咱们都是用全局管理员登陆操做

登陆后咱们就能够新建客户端访问策略，来控制这些用户能够在哪里访问Exchange Online服务

策略的应用都要有对象，针对全部用户咱们怎么去区分呢?最简单的是在用户属性中编辑好部门，只要是这个部门的用户都只能在公司内网使用邮件。

首先咱们建立一个test帐号，配置其部门为it

而后肯定企业上网的出口IP地址。这里以我办公室的IP为例

下面就开始建立规则

New-ClientAcce***ule -Name "Block" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync,ExchangeAdminCenter,IMAP4,OfflineAddressBook,OutlookWebApp,POP3,PowerShellWebServices,RemotePowerShell,REST -ExceptAnyOfClientIPAddressesOrRanges 171.214.149.118 -UserRecipientFilter {Department -eq "finance"}

若是还但愿Outlook客户端在公司之外网络也没法使用那么还须要在AnyOfProtocols后面加上OutlookAnyWhere，若是还想禁用EWS那么在加上ExchangeWebServices便可

若是企业有多个上网出口IP，那么须要把全部出口公网IP地址添加上去以英文逗号“,”做为分隔符。

ExceptAnyOfClientIPAddressesOrRanges参数指定客户端访问规则的例外，该规则基于客户端的IP地址：

单个IP地址，如：192.168.1.1

IP地址范围，如：192.168.0.1-192.168.0.200

网段，如：192.168.2.0/24

查看上面建立的规则详细信息，来验证建立的规则是否生效。其实能够看到好多365后台AD的信息哦

以上命令仅支持Exchange Server 2019或Exchange Online，遗憾的是2013或2016不支持

那么接下来我在远程服务器上测试登陆test帐号的OWA

登陆OWA提示被禁止

而在办公网络中能够正常访问

这样就达到了咱们最初的目的。

-UserRecipientFilter参数不必定非要是部门也能够是其余参数，可用的有

ü  市

ü  公司

ü  用户国家或注册地

ü  自定义属性1-15

ü  部门

ü  办公室

ü  邮政编码

ü  省

ü  街道地址

更多的时候能够选择配置自定义属性来作用户的分类，由于可能有些部门里面的个别用户是须要在外网使用邮件的，来看下自定义属性怎么配置：

最后使用Get-Mailbox -Identity test | fl检查自定义属性

这样就能够根据customattribute来筛选用户了

由此衍生的场景是部分用户能够内网使用有些用户能够外网使用（仅支持Exchange Server 2019，更多信息可参考New-ClientAcce***ule命令）

------------------------------------------增长内容----------------------------------------------

增长outlookanywhere和EWS的外部访问限制

使用如下PowerShell命令设置

Set-ClientAcce***ule -Action DenyAccess -AnyOfProtocols OutlookAnyWhere,ExchangeWebServices,ExchangeActiveSync,ExchangeAdminCenter,IMAP4,OfflineAddressBook,OutlookWebApp,POP3,PowerShellWebServices,RemotePowerShell,REST -Identity “block”

完成设置

##

上面的设置是所有从新设置了一次，若是只是想增长一两个配置则能够使用@{Add="<Value1>","<Value2>"...; Remove="<Value1>","<Value2>"...}语法，以下：

Set-ClientAcce***ule -Identity "block" -ExceptAnyOfClientIPAddressesOrRanges @{Add="12.68.1.10"}

Set-ClientAcce***ule -Identity "block" -ExceptAnyOfClientIPAddressesOrRanges @{remove="171.214.149.118"}

##

事先在我机器上配置好outlook，而后回到家中个人上网IP已经发生变化

当IP发生变化时outlook会不断的尝试链接可是没法链接到Exchange Server