Exchange Online基于网络位置限制使用
在一些安全要求比较高点的企业中使用Office365往往有这个一个需求:
企业管理员希望部分员工(例如财务等敏感用户)只能在公司内网使用收发邮件,离开公司网络就不能使用邮件。这也一定程度上保护了企业的数据安全。
在本地部署的Exchange server要做到这样的效果也不难,可以在IIS中去配置,那么在Exchange Online上怎么来实现这些功能呢?Exchange Online的服务器企业管理员也无法接触到,就不用说去配置IIS了,其实也是有办法的,针对Online用户是有客户端访问策略,根据这个访问策略去调整用户基于网络位置的访问就可以实现离开公司网络就无法收发邮件了。
首先需要连接到Exchange Online PowerShell,执行以下命令,或者把以下命令搞到一个ps1文件中通过一个脚本来执行,保存脚本也方便以后随时远程连接
Set-ExecutionPolicy RemoteSigned
$UserCredential = Get-Credential
$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://partner.outlook.cn/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection
Import-PSSession $Session -DisableNameChecking
如果是国际版用户需要将partner.outlook.cn替换成outlook.office365.com
以管理员身份打开Windows PowerShell,切换到ps脚本所在目录,然后使用.\nameofps1.ps1来连接到Exchange Online,这时候会提示输入用户名密码,注意这里至少是Exchange Online管理员权限,一般我们都是用全局管理员登录操作
登录后我们就可以新建客户端访问策略,来控制这些用户可以在哪里访问Exchange Online服务
策略的应用都要有对象,针对所有用户我们怎么去区分呢?最简单的是在用户属性中编辑好部门,只要是这个部门的用户都只能在公司内网使用邮件。
首先我们创建一个test账号,配置其部门为it
然后确定企业上网的出口IP地址。这里以我办公室的IP为例
下面就开始创建规则
New-ClientAcce***ule -Name "Block" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync,ExchangeAdminCenter,IMAP4,OfflineAddressBook,OutlookWebApp,POP3,PowerShellWebServices,RemotePowerShell,REST -ExceptAnyOfClientIPAddressesOrRanges 171.214.149.118 -UserRecipientFilter {Department -eq "finance"}
如果还希望Outlook客户端在公司以外网络也无法使用那么还需要在AnyOfProtocols后面加上OutlookAnyWhere,如果还想禁用EWS那么在加上ExchangeWebServices即可
如果企业有多个上网出口IP,那么需要把所有出口公网IP地址添加上去以英文逗号“,”作为分隔符。
ExceptAnyOfClientIPAddressesOrRanges参数指定客户端访问规则的例外,该规则基于客户端的IP地址:
单个IP地址,如:192.168.1.1
IP地址范围,如:192.168.0.1-192.168.0.200
网段,如:192.168.2.0/24
查看上面创建的规则详细信息,来验证创建的规则是否生效。其实可以看到好多365后台AD的信息哦
以上命令仅支持Exchange Server 2019或Exchange Online,遗憾的是2013或2016不支持
那么接下来我在远程服务器上测试登录test账号的OWA
登录OWA提示被禁止
而在办公网络中可以正常访问
这样就达到了我们最初的目的。
-UserRecipientFilter参数不一定非要是部门也可以是其他参数,可用的有
ü 市
ü 公司
ü 用户国家或注册地
ü 自定义属性1-15
ü 部门
ü 办公室
ü 邮政编码
ü 省
ü 街道地址
更多的时候可以选择配置自定义属性来做用户的分类,因为可能有些部门里面的个别用户是需要在外网使用邮件的,来看下自定义属性怎么配置:
最后使用Get-Mailbox -Identity test | fl检查自定义属性
这样就可以根据customattribute来筛选用户了
由此衍生的场景是部分用户可以内网使用有些用户可以外网使用(仅支持Exchange Server 2019,更多信息可参考New-ClientAcce***ule命令)
------------------------------------------增加内容----------------------------------------------
增加outlookanywhere和EWS的外部访问限制
使用以下PowerShell命令设置
Set-ClientAcce***ule -Action DenyAccess -AnyOfProtocols OutlookAnyWhere,ExchangeWebServices,ExchangeActiveSync,ExchangeAdminCenter,IMAP4,OfflineAddressBook,OutlookWebApp,POP3,PowerShellWebServices,RemotePowerShell,REST -Identity “block”
完成设置
##
上面的设置是全部重新设置了一次,如果只是想增加一两个配置则可以使用@{Add="<Value1>","<Value2>"...; Remove="<Value1>","<Value2>"...}语法,如下:
Set-ClientAcce***ule -Identity "block" -ExceptAnyOfClientIPAddressesOrRanges @{Add="12.68.1.10"}
Set-ClientAcce***ule -Identity "block" -ExceptAnyOfClientIPAddressesOrRanges @{remove="171.214.149.118"}
##
事先在我机器上配置好outlook,然后回到家中我的上网IP已经发生变化
当IP发生变化时outlook会不断的尝试连接但是无法连接到Exchange Server
转载于:https://blog.51cto.com/scnbwy/2330114
Exchange Online基于网络位置限制使用相关推荐
- Nat. Commun | 基于网络的药物组合预测
本期介绍2019年3月发表在Nature Communications的研究工作,该工作由哈佛医学院.东北大学和Dana-Farber癌症研究所等机构的研究人员完成.药物组合能够增加治疗功效和降低毒性 ...
- pxe+kickstart 实现基于网络的无人值守安装操作系统
基于网络的无人值守安装操作系统 简介: 1.pxe PXE(preboot execute environment,预启动执行环境)是由Intel公司开发的最新技术,工作于Client/Server的 ...
- 虚拟专题:知识图谱 | 基于网络防御知识图谱的0day攻击路径预测方法
来源:网络与信息安全学报 基于网络防御知识图谱的0day攻击路径预测方法 孙澄, 胡浩, 杨英杰, 张红旗 信息工程大学 摘要:针对 0day 漏洞未知性造成的攻击检测难问题,提出了一种基于知识图谱的 ...
- 基于网络索引树的异常轨迹检测算法
针对轨迹数据的运动规律和特征,结合空间划分的方法,提出本文的基于网络索引的异常轨迹检测方法. 实验结果表明,该算法可提高异常轨迹挖掘效率,且更有现实意义. 该算法不足:对参数比较敏感,目前(2014) ...
- 基于移动位置服务器,基于移动位置的服务系统及方法
本申请是申请号为03148343.7.申请日为2003年6月30日.发明名称为"基于移动位置的服务系统及方法"的发明专利申请的分案申请. 技术领域 本发明涉及一种基于位置的移动台服 ...
- 基于网络小型文件型的数据管理系统
基于网络小型文件型数据管理系统的构建功能具体如下: (1)支持定长记录. (2)支持使用标准的SQL 语句进行数据操纵,例如:INSERT.SELECT.DELETE 和UPDATE. (3)支持条件 ...
- 基于网络视频监控的人员考勤系统设计
程序IT圈 学习编程技术,关注这个公众号足够了 本文是由公众号大数据AI之家投稿,转载需联系作者 . 一. 选题背景 考勤系统是现代机关单位和公司必备的系统.现在使用最多的考勤系统是打卡系统.指纹 ...
- 加入域时提示“不能访问网络位置” 域
在加入域时又出现了"不能访问网络位置"的错误 . 在排除了网络连接和帐号密码的错误后,发现问题只可能是操作系统上的. 通过微软的问题数据库发现,解决方法如下: 当您尝试加入域时,出 ...
- htpc派_您应该为HTPC使用PCI,USB或基于网络的电视调谐器吗?
htpc派 Whether you're interested in recording live TV using Plex or considering setting up NextPVR, y ...
最新文章
- 利用“队列”解决“窗口混乱”问题
- 【预告】腾讯移动分析 MTA 即刻登陆 2017 GMTC 全球移动技术大会
- python:dist-packages site-packages
- windows 下使用 Filezilla server 搭建 ftp 服务器
- 图解MongoDB的连接与使用,通俗易懂
- python鼠标事件 详解_Python selenium键盘鼠标事件实现过程详解
- DLedger —基于 raft 协议的 commitlog 存储库
- 坐标下降法和交替最小二乘法的区别是什么?
- 数据分析之落地sop流程
- SAI2 安装及导入笔刷素材
- 编码浅析 ASCII EASCII GBK系列 Uincode UTF-8/16/32
- 机器学习正则化线性回归(调参技巧(matlab))
- 《淘宝技术这十年》简评
- 在windows 2003 中,启动SQL Server 2000 提示“没有找到MSVCR71.dll因此这个应用程序未能启动”
- 神州数码笔试题C语言,神州数码笔试真题
- 腾讯云最新10元/月有效期到2018年8月20日
- med4way:中介效应和交互效应分析
- 知识图谱---简单实践(学习笔记)
- 棋盘覆盖问题与可视化代码演示
- NOIP2016普及组复赛——T4魔法阵
热门文章
- 空白DirectX11应用程序
- Java和C++在细节上的差异(转)
- java 计算26个字母在一段文本中出现的频率(保留小数点后4位)
- Linux自动亮度,ubuntu亮度无法自动调节终极解决方案
- php curl跨域cookie_PHP curl模拟文件上传(接口请求实现跨域文件中转)
- qt 等待线程结束_c – 停止Qt线程:调用exit()或quit()不会停止线程执行
- java listview用法_Java ListView.setMultiChoiceModeListener方法代码示例
- MySQL常见错误代码(转)
- Oracle存储过程及调用
- 2021快手奢侈品行业数据价值报告