Ограничить — отключить эксчендж сервер веб доступ к почте OWA Outlook Web Access ECP внешний доступ , или через Интернет и сохранить доступ к EAS ActiveSync
1)Как отключить и включить OWA группами безопасности. How to disable and enable OWA by security groups.
Создаём политику в powerShell
New-OWAMailboxPolicy -Name OWALimited
Exchange admin center\permissions\Outlook Web App policies
для управления функционалом OWA через политику вкл/выкл.
Set-OWAmailboxpolicy -identity OWALimited -CalendarEnabled $false
https://technet.microsoft.com/en-us/library/dd297989(v=exchg.160).aspx
Назначить политику OWALimited на e-mail адрес
Set-casmailbox sidorov.aa@5house.win -owamailboxpolicy:owalimited
Выключить всем To disable OWA open EMS and type:
Get-Mailbox -ResultSize unlimited |Set-CASMailbox -OWAEnabled $false
Включить всем OWA, To enable it back to all users type:
Get-Mailbox -ResultSize unlimited |Set-CASMailbox -OWAEnabled $true
https://technet.microsoft.com/ru-ru/library/bb124124(v=exchg.160).aspx
Включить OWA по группе ad ldap
Get-DistributionGroupMember -Identity "group name" | set-CASMailbox -OWAEnabled $True
Get-DistributionGroupMember -Identity "MSK01-OWA-Allow" | set-CASMailbox -OWAEnabled $True
2)Блокировка по ip IP restrictions https://technet.microsoft.com/en-us/library/cc730889.aspx http://www.iis.net/configreference/system.webserver/security/ipsecurity
I was using IIS to prevent outside addresses from accessing my exchange 2010/2013/2016
https://docs.microsoft.com/en-us/iis/configuration/system.webServer/security/ipSecurity/
follow the link above to add the ‘ip address and domain restriction‘ [Ограничение IP-адресов и имен доменов] role to the server
powershell
add-windowsfeature Web-IP-Security
then go into IIS and modify just the ECP and OWA domain restriction (i added ip restriction to the root and it will propagate to all of the ECP, EWS, MAPI, OAB, etc and it then prevented users from accessing the server)
i added an allow ip rule 192.168.0.1
mask: 255.255.255.0
to allow the LAN to access the OWA and ECP
and i added the deny everyone else below it
0.0.0.0
mask: 255.255.255.255
seems to be working
Во избежание ошибок OWA , рекомендуется использовать iis-Access for unspecified clients-Deny за место 0.0.0.0
Источник MSExchange OWA код события 108 , Outlook Web App не удалось подключится к веб-службе Exchange из-за ошибки конфигурации Код ответа 403 . Через OwA не удаляются любые письма.
3)Редирект owa на локальный адрес Redirecting owa to external/local adress
4)Удалить внешнюю ссылку на owa ecp ,remove external url + iisreset (не помогает) Delete the external link to owa ecp, remove external url + iisreset (does not help)
Способ не работает при использовании reverse proxy обратного прокси , но microsoft tmg fw умел разграничивать