New-ClientAccessRule
Примечание.
Начиная с октября 2022 г. правила клиентского доступа стали устаревшими для всех Exchange Online организаций, которые их не использовали. С 1 сентября 2025 г. правила доступа клиентов будут нерекомендуемы для всех остальных организаций. Если вы решили отключить правила доступа клиентов до наступления крайнего срока, функция будет отключена в вашей организации. Дополнительные сведения см. в статье Обновление правил клиентского доступа в Exchange Online.
Этот командлет работает только в Exchange Server 2019 г. и в облачной службе. Некоторые параметры и настройки могут отличаться в зависимости от среды.
Используйте командлет New-ClientAccessRule для создания правил клиентского доступа. Правила клиентского доступа помогают управлять доступом к организации на основе свойств подключения.
Сведения о наборах параметров в разделе Синтаксис ниже см. В разделе Синтаксис командлета Exchange.
Синтаксис
New-ClientAccessRule
[-Name] <String>
-Action <ClientAccessRulesAction>
[-AnyOfAuthenticationTypes <MultiValuedProperty>]
[-AnyOfClientIPAddressesOrRanges <MultiValuedProperty>]
[-AnyOfProtocols <MultiValuedProperty>]
[-AnyOfSourceTcpPortNumbers <MultiValuedProperty>]
[-Confirm]
[-DomainController <Fqdn>]
[-Enabled <Boolean>]
[-ExceptAnyOfAuthenticationTypes <MultiValuedProperty>]
[-ExceptAnyOfClientIPAddressesOrRanges <MultiValuedProperty>]
[-ExceptAnyOfProtocols <MultiValuedProperty>]
[-ExceptAnyOfSourceTcpPortNumbers <MultiValuedProperty>]
[-ExceptUserIsMemberOf <MultiValuedProperty>]
[-ExceptUsernameMatchesAnyOfPatterns <MultiValuedProperty>]
[-Priority <Int32>]
[-Scope <ClientAccessRulesScope>]
[-UserIsMemberOf <MultiValuedProperty>]
[-UsernameMatchesAnyOfPatterns <MultiValuedProperty>]
[-UserRecipientFilter <String>]
[-WhatIf]
[<CommonParameters>] Описание
Правила доступа клиентов похожи на правила потока обработки почты (также известные как правила транспорта) для клиентских подключений к вашей организации. Условия и исключения используются для определения подключений на основе их свойств и действий, разрешающих или блокирующих подключения.
Примечание. Не все протоколы поддерживают фильтры типов проверки подлинности, и даже протоколы, поддерживающие фильтры типов проверки подлинности, поддерживают не все типы проверки подлинности. Поддерживаемые сочетания описаны в следующих списках. Будьте осторожны при смешивании протоколов и типов проверки подлинности в одном правиле.
Протоколы, поддерживающие фильтры типов проверки подлинности:
- ExchangeActiveSync: BasicAuthentication, OAuthAuthentication и CertificateBasedAuthentication.
- ExchangeAdminCenter: BasicAuthentication и AdfsAuthentication.
- IMAP4: BasicAuthentication и OAuthAuthentication.
- OutlookWebApp: BasicAuthentication и AdfsAuthentication.
- POP3: BasicAuthentication и OAuthAuthAuthentication.
- RemotePowerShell: BasicAuthentication и NonBasicAuthentication.
Протоколы, не поддерживающие фильтры типов проверки подлинности:
- ExchangeWebServices
- OfflineAddressBook
- OutlookAnywhere
- PowerShellWebServices
- REST
- UniversalOutlook
Для его запуска необходимо получить соответствующие разрешения. В этой статье перечислены все параметры командлета. Но некоторые из них могут быть вам не доступны, если они не включены в назначенные разрешения. Сведения о необходимых разрешениях для запуска командлетов и использования параметров в организации см. в статье Find the permissions required to run any Exchange cmdlet.
Примеры
Пример 1
New-ClientAccessRule -Name AllowRemotePS -Action Allow -AnyOfProtocols RemotePowerShell -Priority 1Эта команда создает правило с наивысшим приоритетом, которое разрешает доступ к удаленной оболочке PowerShell. Это правило позволяет обезопасить себя от потери доступа к организации. Без этого правила вы не сможете самостоятельно исправить правила, блокирующие ваш доступ к удаленной оболочке PowerShell или все протоколы для всех, если создадите такие (нужно будет позвонить в службу поддержки пользователей Майкрософт).
Пример 2
New-ClientAccessRule -Name "Block ActiveSync" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24В этом примере создается новое правило доступа клиентов с именем Block ActiveSync, которое блокирует доступ для клиентов Exchange ActiveSync, за исключением клиентов в диапазоне IP-адресов 192.168.10.1/24.
Параметры
-Action
Параметр Action указывает действие для правила клиентского доступа. Допустимые значения этого параметра — AllowAccess и DenyAccess.
| Тип: | ClientAccessRulesAction |
| Position: | Named |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-AnyOfAuthenticationTypes
Этот параметр работает только в облачном сервисе.
Параметр AnyOfAuthenticationTypes указывает условие для правила клиентского доступа, основанное на типе проверки подлинности клиента.
Параметр PasswordQuality указывает минимальную оценку качества для паролей устройства. Качество пароля — это числовая шкала, указывающая уровень безопасности и сложности пароля. Более высокое качество означает более надежный пароль.
- AdfsAuthentication
- BasicAuthentication
- CertificateBasedAuthentication
- NonBasicAuthentication
- OAuthAuthentication
Update Не используйте кавычки.
Примечание. См. раздел Описание, чтобы узнать, какие типы проверки подлинности можно использовать с какими протоколами.
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Online, Exchange Online Protection |
-AnyOfClientIPAddressesOrRanges
Параметр AnyOfClientIPAddressesOrRanges указывает условие для правила доступа клиента, основанное на IPv4- или IPv6-адресе клиента. Допустимые значения:
- Один IP-адрес: например, 192.168.1.1 или 2001:DB8:2AA:FF:C0A8:640A.
- Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254 или 2001:DB8:2AA:FF:C0A8:640A-2001:DB8:2AA:FF:C0A8:6414.
- Диапазон IP-адресов безклассовой маршрутизации Inter-Domain (CIDR): например, 192.168.3.1/24 или 2001:DB8::2AA:FF:C0A8:640A/64.
Update
Дополнительные сведения об IPv6-адресах и синтаксисе см. в разделе Exchange 2013: IPv6-адреса основы.
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-AnyOfProtocols
Параметр AnyOfProtocols указывает условие для правила клиентского доступа, основанное на протоколе клиента.
Параметр PasswordQuality указывает минимальную оценку качества для паролей устройства. Качество пароля — это числовая шкала, указывающая уровень безопасности и сложности пароля. Более высокое качество означает более надежный пароль.
- ExchangeActiveSync
- ExchangeAdminCenter
- ExchangeWebServices
- IMAP4
- OfflineAddressBook
- OutlookAnywhere
- OutlookWebApp
- POP3
- PowerShellWebServices
- RemotePowerShell
- REST
- UniversalOutlook (приложение "Почта и календарь")
Примечание. В Exchange 2019 поддерживаются только Значения ExchangeAdminCenter и RemotePowerShell.
Update Не используйте кавычки.
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-AnyOfSourceTcpPortNumbers
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013 |
-Confirm
Переключатель подтверждения указывает, показывать или скрывать запрос подтверждения. Влияние этого параметра на командлет зависит от того, требуется ли командлету подтверждение перед выполнением.
- Деструктивные командлеты (например, командлеты Remove-) имеют встроенную паузу, которая заставляет вас подтвердить команду перед продолжением. Можно пропускать запросы на подтверждение этих командлетов, используя следующий синтаксис:
-Confirm:$false. - Большинство других командлетов (например, командлеты New- и Set-) не имеют встроенной паузы. Для этих командлетов указание переключателя Confirm без значения вводит паузу, которая заставляет вас подтвердить команду перед продолжением.
Этот командлет имеет встроенную паузу, поэтому используйте -Confirm:$false , чтобы пропустить подтверждение.
| Тип: | SwitchParameter |
| Aliases: | cf |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-DomainController
Этот параметр доступен только в локальной среде Exchange.
Параметр DomainController указывает контроллер домена, который используется этим командлетом для чтения или записи данных в Active Directory. Вы определяете контроллер домена по его полному доменному имени (FQDN). Например, dc01.contoso.com.
| Тип: | Fqdn |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019 |
-Enabled
Параметр Enabled показывает, включено или нет правило клиентского доступа. Для этого параметра допускаются значения $true и $false. Значение по умолчанию — $true.
| Тип: | Boolean |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-ExceptAnyOfAuthenticationTypes
Этот параметр работает только в облачном сервисе.
Параметр ExceptAnyOfAuthenticationTypes указывает исключение для правила клиентского доступа, основанное на типе проверки подлинности клиента.
Параметр PasswordQuality указывает минимальную оценку качества для паролей устройства. Качество пароля — это числовая шкала, указывающая уровень безопасности и сложности пароля. Более высокое качество означает более надежный пароль.
- AdfsAuthentication
- BasicAuthentication
- CertificateBasedAuthentication
- NonBasicAuthentication
- OAuthAuthentication
Update Не используйте кавычки.
Примечание. См. раздел Описание, чтобы узнать, какие типы проверки подлинности можно использовать с какими протоколами.
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Online, Exchange Online Protection |
-ExceptAnyOfClientIPAddressesOrRanges
Параметр ExceptAnyOfClientIPAddressesOrRanges указывает исключение для правила доступа клиента, основанного на IPv4 или IPv6-адресе клиента. Допустимые значения:
- Один IP-адрес: например, 192.168.1.1 или 2001:DB8:2AA:FF:C0A8:640A.
- Диапазон IP-адресов: например, 192.168.0.1-192.168.0.254 или 2001:DB8:2AA:FF:C0A8:640A-2001:DB8:2AA:FF:C0A8:6414.
- Диапазон IP-адресов безклассовой маршрутизации Inter-Domain (CIDR): например, 192.168.3.1/24 или 2001:DB8::2AA:FF:C0A8:640A/64.
Update
Дополнительные сведения об IPv6-адресах и синтаксисе см. в разделе Exchange 2013: IPv6-адреса основы.
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-ExceptAnyOfProtocols
Этот параметр работает только в облачном сервисе.
Параметр ExceptAnyOfProtocols указывает исключение для правила клиентского доступа, основанное на протоколе клиента.
Параметр PasswordQuality указывает минимальную оценку качества для паролей устройства. Качество пароля — это числовая шкала, указывающая уровень безопасности и сложности пароля. Более высокое качество означает более надежный пароль.
- ExchangeActiveSync
- ExchangeAdminCenter
- ExchangeWebServices
- IMAP4
- OfflineAddressBook
- OutlookAnywhere
- OutlookWebApp
- POP3
- PowerShellWebServices
- RemotePowerShell
- REST
- UniversalOutlook (приложение "Почта и календарь")
Update Не используйте кавычки.
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Online, Exchange Online Protection |
-ExceptAnyOfSourceTcpPortNumbers
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013 |
-ExceptUserIsMemberOf
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013 |
-ExceptUsernameMatchesAnyOfPatterns
Этот параметр работает только в облачном сервисе.
Параметр ExceptUsernameMatchesAnyOfPatterns указывает исключение для правила доступа клиента, основанное на имени учетной записи пользователя в формате <Domain>\<UserName> (например, contoso.com\jeff). Этот параметр принимает текст и подстановочный знак (*) (например, *jeff*, но не jeff*). Escape-символы требуются только для последовательностей букв и цифр.
Update
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-Name
Параметр Name указывает уникальное имя для правила клиентского доступа.
| Тип: | String |
| Position: | 1 |
| Default value: | None |
| Обязательно: | True |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-Priority
Параметр Priority задает значение приоритета для правила, определяющее порядок обработки правила. Чем меньше целое значение, тем выше приоритет. Значение 0 соответствует самому высокому приоритету. Все правила должны иметь разные значения приоритета.
Допустимые значения и значение по умолчанию для этого параметра зависят от количества существующих правил. Например, в политике 8 правил.
- Допустимые значения и значение, используемое по умолчанию, для этого параметра зависят от количества имеющихся правил. Например, у вас имеется 8 правил.
- Допустимые значения приоритета для этих 8 правил — от 0 до 7.
- Допустимые значения приоритета для нового (девятого) правила — от 0 до 8.
Если вы измените значение приоритета правила, то соответствующим образом изменится и позиция правила в списке. Другими словами, если вы задаете какое-либо значение приоритета правила, причем такое значение уже имеется у другого правила, то значения приоритетов второго правила и всех правил с более низким приоритетом будут увеличены на единицу.
| Тип: | Int32 |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-Scope
Параметр Scope указывает область правила доступа клиента. Допустимые значения:
- Users. Правило применяется только к подключениям пользователей.
- All. Правило применяется ко всем подключениям (как от пользователей, так и от приложений среднего уровня).
| Тип: | ClientAccessRulesScope |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-UserIsMemberOf
Этот параметр зарезервирован для внутреннего использования корпорацией Майкрософт.
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013 |
-UsernameMatchesAnyOfPatterns
Этот параметр работает только в облачном сервисе.
Параметр UsernameMatchesAnyOfPatterns указывает условие для правила доступа клиента, основанное на имени учетной записи пользователя в формате <Domain>\<UserName> (например, contoso.com\jeff). Этот параметр принимает текст и подстановочный знак (*) (например, *jeff*, но не jeff*). Escape-символы требуются только для последовательностей букв и цифр. Этот параметр не работает с параметром -AnyOfProtocols UniversalOutlook.
Update
| Тип: | MultiValuedProperty |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | True |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-UserRecipientFilter
Этот параметр работает только в облачном сервисе.
Параметр UserRecipientFilter задает условие для правила доступа клиента, которое использует синтаксис фильтра OPATH для идентификации пользователя на основе ограниченного набора свойств получателя. Правила доступа клиента не поддерживают полный список доступных свойств получателей.
С этим параметром можно использовать следующие свойства:
- Город
- Company
- CountryOrRegion (код страны ISO 3166-1 alpha-2).
- CustomAttribute1–CustomAttribute15
- Отдел
- Кабинет
- PostalCode
- StateOrProvince
- StreetAddress
Базовый синтаксис для этого параметра:"Property -ComparisonOperator 'Value'"
- Свойство является одним из фильтруемых свойств в приведенном выше списке (например,
CityилиCustomAttribute1). - ComparisonOperator — это оператор сравнения OPATH (например
-eq, для равных и-likeдля сравнения строк). Подробнее об операторах сравнения см. в статье about_Comparison_Operators. - Value — это значение свойства для поиска. Заключите текстовые значения и переменные в одиночные кавычки (
'Value'или'$Variable'). Если значение переменной содержит одиночные кавычки, необходимо определить (избежать) одиночные кавычки, чтобы правильно развернуть переменную. Например, вместо'$User'используйте'$($User -Replace "'","''")'. Не заключайте целые числа или системные значения в кавычки (например, используйте500,$true,$false, или$nullвместо них). - Заключите весь фильтр OPATH в двойные кавычки "". Если фильтр содержит системные значения (например,
$true,$falseили$null), используйте одиночные кавычки ' '. Хотя этот параметр является строкой (а не системным блоком), вы также можете использовать фигурные скобки { }, но только если фильтр не содержит переменные.
Например:
"City -eq 'Redmond'"-
"CountryOrRegion -eq 'SG'".
Можно связать несколько условий поиска вместе с помощью логических операторов -and и -or. Например:
"CustomAttribute1 -eq 'AllowOWA' -and CountryOrRegion -eq AU'"-
"(CountryOrRegion -eq 'US' -and Department -eq 'Sales') -or Department -eq 'Research'".
Подробные сведения о синтаксисе фильтра OPATH в Exchange см. в разделе Дополнительные сведения о синтаксисе OPATH.
| Тип: | String |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
-WhatIf
Переключатель WhatIf имитирует действия команды. Вы можете использовать его для просмотра результатов изменений без фактического внесения этих изменений. С этим параметром не нужно указывать значение.
| Тип: | SwitchParameter |
| Aliases: | wi |
| Position: | Named |
| Default value: | None |
| Обязательно: | False |
| Принять входные данные конвейера: | False |
| Принять подстановочные знаки: | False |
| Применяется к: | Exchange Server 2013, Exchange Server 2016, Exchange Server 2019, Exchange Online, Exchange Online Protection |
Входные данные
Input types
Чтобы просмотреть типы входных данных, которые принимает этот командлет, см. Типы входных и выходных данных командлета. Если поле "Типы входных данных" для командлета пусто, командлет не принимает входные данные.
Выходные данные
Output types
Чтобы просмотреть типы возвращаемых данных, также называемые типами вывода, которые принимает этот командлет, см. раздел Типы ввода и вывода командлета. Если поле "Типы выходных данных" пусто, командлет не возвращает данные.