Отключение мобильного Outlook для внешних пользователей в Exchange 2013
Я исчерпывающе гуглял эту проблему, но безрезультатно, и сейчас я нахожусь в той точке, где цитата поддержки Microsoft за 2000 $ выглядит вполне разумной, но я надеялся, что у кого-то здесь есть идея.
ПРОБЛЕМА: мы хотели бы отключить доступ к Exchange для всех, кто не находится в нашей корпоративной локальной сети. Местоположение является небольшим ответвлением от основного филиала, и его электронная почта размещена локально по соображениям безопасности. Мы не хотим, чтобы кто-либо за пределами здания мог добавить свою учетную запись Exchange в установку Outlook, мобильное устройство или что-либо подобное. Мы работаем с Exchange 2013 на сервере 2012R2, IIS 8.
Мы решили проблему с мобильными устройствами с помощью функции карантина Exchange, но для пользователей настольных компьютеров такого не существует. Я пробовал:
- заходя в EPC, Серверы -> Outlook Anywhere и закрывая имя внешнего хоста Outlook Anywhere / заменяя его на что-то, что не разрешается - насколько я могу судить, это абсолютно ничего не сделало
- с помощью команды Get-Mailbox -MAPIBlockOutlookRpcHttp для почтовых ящиков я не хочу иметь доступ к Outlook за пределами сети. Хотя раньше это работало на Exchange 2007, в 2013 году он также отключил доступ для внутренних пользователей.
- установка IP -адреса и ограничений домена на веб-сайте RPC в IIS, чтобы запретить все, что не является локальным IP -адресом - также абсолютно ничего не сделало, даже если настроено запретить каждый диапазон IP -адресов
- магия крови
Я чувствую, что это не должно быть так сложно. Мы не беспокоимся о внешнем доступе к OWA, поскольку у нас есть двухфакторное устройство перед ним. Отключение автообнаружения тоже не подойдет; любые запросы на аутентификацию в Exchange с публичного IP -адреса должны быть сброшены, точка.
Я знаю, что эта проблема довольно нишевая (учитывая, что я нашел только несколько подобных инцидентов в Google), но я надеюсь, что кто-то здесь сможет понять, что я делаю неправильно. Заранее спасибо!
2 ответа
Вам нужен обратный прокси. Команда разработчиков Exchange рассказала, как это сделать, в блоге 2013 года.
Это позволит вам контролировать доступ к 443, поэтому вы можете разрешить OWA, ActiveSync, но заблокировать Outlook Anywhere.
Хотя ограничения IP-адреса должны были работать. Вы запускали IISRESET впоследствии, чтобы он вступил в силу?
Самый простой способ - просто не открывать свой почтовый сервер на портах 80/443 для внешнего мира, если вы не хотите, чтобы ЛЮБОЙ внешний мог иметь к нему доступ. Все еще позволяет для внутреннего общения. Если у вас есть правила брандмауэра, разрешающие его, отключите их.