Exchange 2019 新功能介绍--安全性篇

Exchange 2019正式版已经出来一段时间了，关于它的一些新功能，大家应该有了一些基本的了解，后续我会针对新功能一一地给大家分享。
今天给大家分享的是针对exchange 2019 安全性，在安全性方面，exchange 2019相比2016，在2方面增强了安全性：

针对第1点，exchange 2019支持安装在windows server Core环境，我就不进行详细的介绍了，有需要了解的朋友可以参考下面的链接：
https://blogs.technet.microsoft.com/exchange/2018/07/26/deploy-exchange-server-2019-on-windows-server-core/

针对第2点，阻止针对EAC和EMS的外部访问，在exchange 2019之前的版本中，如果管理员禁止在外部针对EAC的访问，我们需要经过以下过程方可实现：

1. 修改exchange 2013或2016的虚拟ECP虚拟目录，将参数adminenable设置为false:Set-ECPVirtualDirectory -Identity "<Server>\ecp (Default Web Site)" -AdminEnabled $false
2. 在生产环境再重新搭建1台exchange 2013或2016服务器用于EAC管理或者通过对现有服务器添加第2个IP然后通过IIS创建新的网站来实现

如果大家使用的是exchange 2013或2016，正好又有这个需求，大家可以参考下面的链接：
https://docs.microsoft.com/ZH-CN/exchange/architecture/client-access/disable-exchange-admin-center-access?view=exchserver-2016

在本地exchange 2019中，增强了针对EAC和EMS外部访问的安全性，我们可以通过客户端访问规则来直接限制对ExchangeAdminCenter 和 RemotePowerShell的限制，下面我通过一些操作来具体的为大家介绍：

1. 我们可以通过以下命令只允许指定的IP对EAC的访问
   New-ClientAcce***ule -Name AllowAccessEAC -Action Allow -AnyOfProtocols ExchangeAdminCenter -AnyOfClientIPAddressesOrRanges 192.168.1.8
2. 通过以下命令允许指定的IP段对EAC的访问
   New-ClientAcce***ule -Name AllowAccessEAC -Action Allow -AnyOfProtocols ExchangeAdminCenter -AnyOfClientIPAddressesOrRanges 192.168.1.0/24

目前exchange 2019仅支持对ExchangeAdminCenter 和 RemotePowerShell的控制，而exchange online上支持以下列表：

1. ExchangeActiveSync

2. ExchangeAdminCenter

3. ExchangeWebServices

4. IMAP4

5. OfflineAddressBook

6. OutlookAnywhere

7. OutlookWebApp

8. POP3

9. PowerShellWebServices

10. RemotePowerShell

11. REST

12. UniversalOutlook (Mail and Calendar app)

具体的过程大家可以参考官方的链接：
https://docs.microsoft.com/en-us/powershell/module/exchange/client-access/new-clientacce***ule?view=exchange-ps