Exchange 2019 新功能介紹--安全性篇

Exchange 2019正式版已經出來一段時間了，關于它的一些新功能，大家應該有了一些基本的了解，后續我會針對新功能一一地給大家分享。
今天給大家分享的是針對exchange 2019 安全性，在安全性方面，exchange 2019相比2016，在2方面增強了安全性：

針對第1點，exchange 2019支持安裝在windows server Core環境，我就不進行詳細的介紹了，有需要了解的朋友可以參考下面的鏈接：
https://blogs.technet.microsoft.com/exchange/2018/07/26/deploy-exchange-server-2019-on-windows-server-core/

針對第2點，阻止針對EAC和EMS的外部訪問，在exchange 2019之前的版本中，如果管理員禁止在外部針對EAC的訪問，我們需要經過以下過程方可實現：

1. 修改exchange 2013或2016的虛擬ECP虛擬目錄，將參數adminenable設置為false:Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false
2. 在生產環境再重新搭建1臺exchange 2013或2016服務器用于EAC管理或者通過對現有服務器添加第2個IP然后通過IIS創建新的網站來實現

如果大家使用的是exchange 2013或2016，正好又有這個需求，大家可以參考下面的鏈接：
https://docs.microsoft.com/ZH-CN/exchange/architecture/client-access/disable-exchange-admin-center-access?view=exchserver-2016

在本地exchange 2019中，增強了針對EAC和EMS外部訪問的安全性，我們可以通過客戶端訪問規則來直接限制對ExchangeAdminCenter 和 RemotePowerShell的限制，下面我通過一些操作來具體的為大家介紹：

1. 我們可以通過以下命令只允許指定的IP對EAC的訪問
   New-ClientAcce***ule -Name AllowAccessEAC -Action Allow -AnyOfProtocols ExchangeAdminCenter -AnyOfClientIPAddressesOrRanges 192.168.1.8
2. 通過以下命令允許指定的IP段對EAC的訪問
   New-ClientAcce***ule -Name AllowAccessEAC -Action Allow -AnyOfProtocols ExchangeAdminCenter -AnyOfClientIPAddressesOrRanges 192.168.1.0/24

目前exchange 2019僅支持對ExchangeAdminCenter 和 RemotePowerShell的控制，而exchange online上支持以下列表：

1. ExchangeActiveSync

2. ExchangeAdminCenter

3. ExchangeWebServices

4. IMAP4

5. OfflineAddressBook

6. OutlookAnywhere

7. OutlookWebApp

8. POP3

9. PowerShellWebServices

10. RemotePowerShell

11. REST

12. UniversalOutlook (Mail and Calendar app)

具體的過程大家可以參考官方的鏈接：
https://docs.microsoft.com/en-us/powershell/module/exchange/client-access/new-clientacce***ule?view=exchange-ps