===== Ограничение внешнего доступа к администрированию =====

Для ограничения доступа к административным панелям Exchange при публикации OWA можно пойти разными путями. 

1. Ограничение можно задать на уровне IIS при помощи модуля //IP address and domain restrictions//.

В этом случае потребуется установка данного IIS-модуля, которую можно выполнить так:

   Install-WindowsFeature -Name Web-IP-Security   
В данном сценарии необходимо будет задавать ограничения на уровне конкретных директорий IIS (к примеру, ECP, PowerShell и т.д.). 

Сначала необходимо задать разрешенные адреса, либо диапазоны адресов. Пример:

;#;
{{::ecp_ip_dom_restr.jpg|}}
;#;

Затем задать принцип блокировки: блокировать всё, что не попадает в перечень, указанный выше. Пример:

;#;
{{:exchange:ecp_ip_dom_restr_order.jpg|}}
;#;

2. Однако, более предпочтительный и современный способ блокировки внешнего доступа заключается в использовании командлета //New-ClientAccessRule//, который в одну команду ограничит разные административные функции. Пример его использования с исключением для таких же диапазонов адресов, которые мы разрешали при настройке модуля IIS выше:

<WRAP prewrap>
<code>
New-ClientAccessRule -Name "Block-ECP Outside ORG" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 172.250.0.0/16,10.10.0.0/16 -Priority 1
</code>
</WRAP>

{{tag>Exchange Microsoft Mail PowerShell IIS}}