在一些安全要求比較高點的企業(yè)中使用Office365往往有這個一個需求：

網(wǎng)站建設哪家好，找成都創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁設計、網(wǎng)站建設、微信開發(fā)、小程序定制開發(fā)、集團企業(yè)網(wǎng)站建設等服務項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了龍井免費建站歡迎大家使用！

企業(yè)管理員希望部分員工（例如財務等敏感用戶）只能在公司內(nèi)網(wǎng)使用收發(fā)郵件，離開公司網(wǎng)絡就不能使用郵件。這也一定程度上保護了企業(yè)的數(shù)據(jù)安全。

在本地部署的Exchange server要做到這樣的效果也不難，可以在IIS中去配置，那么在Exchange Online上怎么來實現(xiàn)這些功能呢？Exchange Online的服務器企業(yè)管理員也無法接觸到，就不用說去配置IIS了，其實也是有辦法的，針對Online用戶是有客戶端訪問策略，根據(jù)這個訪問策略去調(diào)整用戶基于網(wǎng)絡位置的訪問就可以實現(xiàn)離開公司網(wǎng)絡就無法收發(fā)郵件了。

 首先需要連接到Exchange Online PowerShell，執(zhí)行以下命令，或者把以下命令搞到一個ps1文件中通過一個腳本來執(zhí)行，保存腳本也方便以后隨時遠程連接

Set-ExecutionPolicy RemoteSigned

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://partner.outlook.cn/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $Session -DisableNameChecking

如果是國際版用戶需要將partner.outlook.cn替換成outlook.office365.com

以管理員身份打開Windows PowerShell，切換到ps腳本所在目錄，然后使用.\nameofps1.ps1來連接到Exchange Online，這時候會提示輸入用戶名密碼，注意這里至少是Exchange Online管理員權限，一般我們都是用全局管理員登錄操作

登錄后我們就可以新建客戶端訪問策略，來控制這些用戶可以在哪里訪問Exchange Online服務

策略的應用都要有對象，針對所有用戶我們怎么去區(qū)分呢?最簡單的是在用戶屬性中編輯好部門，只要是這個部門的用戶都只能在公司內(nèi)網(wǎng)使用郵件。

首先我們創(chuàng)建一個test賬號，配置其部門為it

然后確定企業(yè)上網(wǎng)的出口IP地址。這里以我辦公室的IP為例

下面就開始創(chuàng)建規(guī)則

New-ClientAcce***ule -Name "Block" -Action DenyAccess -AnyOfProtocols ExchangeActiveSync,ExchangeAdminCenter,IMAP4,OfflineAddressBook,OutlookWebApp,POP3,PowerShellWebServices,RemotePowerShell,REST -ExceptAnyOfClientIPAddressesOrRanges 171.214.149.118 -UserRecipientFilter {Department -eq "finance"}

如果還希望Outlook客戶端在公司以外網(wǎng)絡也無法使用那么還需要在AnyOfProtocols后面加上OutlookAnyWhere，如果還想禁用EWS那么在加上ExchangeWebServices即可

如果企業(yè)有多個上網(wǎng)出口IP，那么需要把所有出口公網(wǎng)IP地址添加上去以英文逗號“,”作為分隔符。

ExceptAnyOfClientIPAddressesOrRanges參數(shù)指定客戶端訪問規(guī)則的例外，該規(guī)則基于客戶端的IP地址：

單個IP地址，如：192.168.1.1

IP地址范圍，如：192.168.0.1-192.168.0.200

網(wǎng)段，如：192.168.2.0/24

查看上面創(chuàng)建的規(guī)則詳細信息，來驗證創(chuàng)建的規(guī)則是否生效。其實可以看到好多365后臺AD的信息哦

以上命令僅支持Exchange Server 2019或Exchange Online，遺憾的是2013或2016不支持

那么接下來我在遠程服務器上測試登錄test賬號的OWA

登錄OWA提示被禁止

而在辦公網(wǎng)絡中可以正常訪問

這樣就達到了我們最初的目的。

-UserRecipientFilter參數(shù)不一定非要是部門也可以是其他參數(shù)，可用的有

ü 市

ü 公司

ü 用戶國家或注冊地

ü 自定義屬性1-15

ü 部門

ü 辦公室

ü 郵政編碼

ü 省

ü 街道地址

更多的時候可以選擇配置自定義屬性來做用戶的分類，因為可能有些部門里面的個別用戶是需要在外網(wǎng)使用郵件的，來看下自定義屬性怎么配置：

最后使用Get-Mailbox -Identity test | fl檢查自定義屬性

這樣就可以根據(jù)customattribute來篩選用戶了

由此衍生的場景是部分用戶可以內(nèi)網(wǎng)使用有些用戶可以外網(wǎng)使用（僅支持Exchange Server 2019，更多信息可參考New-ClientAcce***ule命令）

------------------------------------------增加內(nèi)容----------------------------------------------

增加outlookanywhere和EWS的外部訪問限制

使用以下PowerShell命令設置

Set-ClientAcce***ule -Action DenyAccess -AnyOfProtocols OutlookAnyWhere,ExchangeWebServices,ExchangeActiveSync,ExchangeAdminCenter,IMAP4,OfflineAddressBook,OutlookWebApp,POP3,PowerShellWebServices,RemotePowerShell,REST -Identity “block”

完成設置

##

上面的設置是全部重新設置了一次，如果只是想增加一兩個配置則可以使用@{Add="",""...; Remove="",""...}語法，如下：

Set-ClientAcce***ule -Identity "block" -ExceptAnyOfClientIPAddressesOrRanges @{Add="12.68.1.10"}

Set-ClientAcce***ule -Identity "block" -ExceptAnyOfClientIPAddressesOrRanges @{remove="171.214.149.118"}

##

事先在我機器上配置好outlook，然后回到家中我的上網(wǎng)IP已經(jīng)發(fā)生變化

當IP發(fā)生變化時outlook會不斷的嘗試連接但是無法連接到Exchange Server

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內(nèi)外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

分享名稱：ExchangeOnline基于網(wǎng)絡位置限制使用-創(chuàng)新互聯(lián)
文章URL：http://weahome.cn/article/diocgh.html