Назад | Перейти на главную страницу

Отключение мобильного Outlook для внешних пользователей в Exchange 2013

Я тщательно искал эту проблему в Google безрезультатно, и нахожусь в той точке, где предложение Microsoft на поддержку в 2000 долларов действительно выглядит разумным, но я надеялся, что, возможно, у кого-то из присутствующих появится идея.

ПРОБЛЕМА: мы хотели бы отключить доступ к Exchange для всех, кто не находится в нашей корпоративной локальной сети. Это место является небольшим ответвлением основного филиала, и его электронная почта размещена локально по соображениям безопасности. Мы не хотим, чтобы кто-либо за пределами здания мог добавить свою учетную запись Exchange в программу установки Outlook, мобильное устройство или что-то подобное. Мы запускаем Exchange 2013 на Server 2012R2, IIS 8.

Мы решили проблему мобильных устройств с помощью функции карантина Exchange, но для пользователей настольных компьютеров такой вещи не существует. я пытался:

Я чувствую, что это не должно быть так сложно. Нас не беспокоит внешний доступ к OWA, поскольку перед ним стоит двухфакторное устройство. Отключение автообнаружения тоже не поможет; любые запросы на аутентификацию в Exchange с общедоступного IP-адреса должны быть отклонены, точка.

Я знаю, что эта проблема довольно нишевая (учитывая, что я обнаружил лишь несколько подобных инцидентов в Google), но я надеюсь, что кто-то здесь сможет понять, что я делаю не так. Заранее спасибо!

Самый простой способ - просто не открывать свой почтовый сервер на портах 80/443 внешнему миру, если вы не хотите, чтобы ЛЮБОЙ внешний доступ имел к нему доступ. По-прежнему позволяет внутреннее общение. Если у вас есть правила брандмауэра, разрешающие это, отключите их.

Вам нужен обратный прокси. Группа разработчиков продукта Exchange описала, как это сделать, в блоге за 2013 год.

http://blogs.technet.com/b/exchange/archive/2013/07/19/reverse-proxy-for-exchange-server-2013-using-iis-arr-part-1.aspx

Это позволит вам контролировать доступ к 443, поэтому вы можете разрешить OWA, ActiveSync, но заблокировать Outlook Anywhere.

Хотя ограничения IP-адреса должны были работать. Вы запускали IISRESET после этого, чтобы он вступил в силу?