none
Exchange Online条件付きアクセスの書き方 RRS feed

  • 質問

  • Exchange Online のクライアント アクセス規則に関する手順

    ( ttps://docs.microsoft.com/ja-jp/exchange/clients-and-mobile-in-exchange-online/client-access-rules/procedures-for-client-access-rules )

    で、

    New-ClientAccessRule -Name "Restrict EAC Access" -Action DenyAccess `

    -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 192.168.10.1/24 `

    -ExceptUsernameMatchesAnyOfPatterns *tanyas*

    という例が有ります。

    大まかな内容は、

    「除外するユーザー( 192.168.10.1/24で無くてもアクセスできるユーザー )の指定が、*tanyas*」ですが、

    ワイルドカードでは、○さんと○山さんと○川さんが居て、前2人のみ除外の時困ります。

    別の書き方として、ドメイン¥tanyasと有りますが、どう見ても、昔ながらのドメイン名

    (「ドメイン.co.example」が新しいドメイン名なら、「ドメイン」が昔ながらの(クラウドで無い)ドメイン名)

    の書き方で、

    新しい書き方なら、tanyas@ドメイン.co.exampleの様に「@」付きの書き方です。

    ExceptUsernameMatchesAnyOfPatternsで、「@」付きの書き方は出来ないのでしょうか?

    2019年11月3日 9:31

回答

  • ExceptUsernameMatchesAnyOfPatterns の仕様は

    https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/client-access-rules/client-access-rules

    に書かれていて、

    "Accepts text and the wildcard character (*) to identify the user's account name in the format <Domain>\<UserName> (for example, contoso.com\jeff or *jeff*, but not jeff*). Non-alphanumeric characters don't require an escape character.
    You can specify multiple values separated by commas.
    "

    となっていますね。これを見る限りではドメイン名は dotless である必要はないようです。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク gitkxxxbase 2019年11月5日 10:11
    2019年11月4日 7:06
  • その辺りの制限についてはここで質問するよりサポートに問い合わせをされた方が良いかと思います。

    個別の環境や運用に依存する話はここのようなコミュニティ フォーラムでの対応は困難なので、ちゃんとした実績のある SIer のコンサルティングを受けるか、構築自体を依頼されることも検討しましょう。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク gitkxxxbase 2019年11月6日 7:35
    2019年11月6日 5:20

すべての返信

  • ExceptUsernameMatchesAnyOfPatterns の仕様は

    https://docs.microsoft.com/en-us/exchange/clients-and-mobile-in-exchange-online/client-access-rules/client-access-rules

    に書かれていて、

    "Accepts text and the wildcard character (*) to identify the user's account name in the format <Domain>\<UserName> (for example, contoso.com\jeff or *jeff*, but not jeff*). Non-alphanumeric characters don't require an escape character.
    You can specify multiple values separated by commas.
    "

    となっていますね。これを見る限りではドメイン名は dotless である必要はないようです。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク gitkxxxbase 2019年11月5日 10:11
    2019年11月4日 7:06
  • 有難うございました。

    関連した質問ですが、もう一つさせて下さい。

    現在、リバースプロキシ(クライアント証明書付き)で、OWAを公開していて、
    クライアント証明書を持たない人は社内のみでExchangeにアクセスとしているのを、

    365になった暁には、New-ClientAccessRuleで、
    -ExceptUsernameMatchesAnyOfPatternsにある人は(旧)OWAの扱い、
    無い人は社内のみ(特定のIPのみ)としようとしているのですが、

    現在、クライアント証明書は90枚発行していて、容易に100枚になり得ます。
    -ExceptUsernameMatchesAnyOfPatternsに100個とか、書いていいのでしょうか?
    そんなことをしたら、BANをくらうとか無いでしょうか?

    #現在Microsoft 365 Businessを1つ、Essentialを2つ入手し、
    #固定IP用のVPNサービスにも入りましたので、試せるのですが、
    #BANはいやです。

    後、@("*\maru", "*\maruyama")とかではダメでしょうか?
    (domain.co.example\maruよりは、*\maruの方がコストが安い様に見えます。)

    2019年11月5日 10:24
  • その辺りの制限についてはここで質問するよりサポートに問い合わせをされた方が良いかと思います。

    個別の環境や運用に依存する話はここのようなコミュニティ フォーラムでの対応は困難なので、ちゃんとした実績のある SIer のコンサルティングを受けるか、構築自体を依頼されることも検討しましょう。


    Hebikuzure aka Murachi Akira

    • 回答としてマーク gitkxxxbase 2019年11月6日 7:35
    2019年11月6日 5:20
  • 当初の質問は、ユーザーベースでのアクセス制御で、二つ目の質問は証明書ベースでのアクセス制御を行っているが、それをユーザーベースでコントロールしたい場合、制限に引っかかるか?ということでしょうか

    制限の話ですとサポートに聞かれたほうが良いです。(公開資料で明らかになっていない場合は特に)

    なお、filter条件で指定すれば、特定の属性に値を入れることで、その条件に合致したものだけを対象にできると記載がありますので、そのような方法を取れば、全パターンの記載は不要では無いでしょうか

    ちなみに条件付きアクセスでh無いですね。

    2019年11月6日 21:39