Для ограничения доступа к административным панелям Exchange при публикации OWA можно пойти разными путями.

1. Ограничение можно задать на уровне IIS при помощи модуля IP address and domain restrictions.

В этом случае потребуется установка данного IIS-модуля, которую можно выполнить так:

 Install-WindowsFeature -Name Web-IP-Security   

В данном сценарии необходимо будет задавать ограничения на уровне конкретных директорий IIS (к примеру, ECP, PowerShell и т.д.).

Сначала необходимо задать разрешенные адреса, либо диапазоны адресов. Пример:

Затем задать принцип блокировки: блокировать всё, что не попадает в перечень, указанный выше. Пример:

2. Однако, более предпочтительный и современный способ блокировки внешнего доступа заключается в использовании командлета New-ClientAccessRule, который в одну команду ограничит разные административные функции. Пример его использования с исключением для таких же диапазонов адресов, которые мы разрешали при настройке модуля IIS выше:

New-ClientAccessRule -Name "Block-ECP Outside ORG" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 172.250.0.0/16,10.10.0.0/16 -Priority 1