如何把 OWA 网页版关在家里，手机端照样在外跑？

1. 为什么要这么折腾？（背景情况）

最近大家可能听说了，很多黑客专门盯着公司的 OWA（就是那个外网登录邮箱的网页）。因为只要有员工密码弱，人家在外网一猜一个准，进去了就能看全公司的邮件。

但是，咱们又不能把外网访问全掐死，毕竟大家出差还得用手机 Outlook 收邮件。

我们的目标是：

• 在公司外面： 电脑浏览器打不开邮箱网页（安全）。
• 在公司外面： 手机 Outlook 正常收发（方便）。
• 在公司里面： 啥都不受影响。

Exchange 就像一个有很多房间的大房子，每个房间都有个“门牌号”：

网页版 (OWA) 的门牌号叫 /owa。

手机版 (ActiveSync) 的门牌号叫 /Microsoft-Server-ActiveSync。

我们要做的，就是只在 /owa 这个房间门口设个保安，看你是从哪儿来的。内网的放行，外网的拦住；而手机版的那个房间，咱们不设岗，照样让它通着。

第一步：找对地方

打开服务器上的 IIS 管理器，这就像是公司的总配电箱。在左边菜单里找到一个叫 owa 的文件夹。

第二步：安个“保安”

在这个文件夹里，找一个叫 “IP 地址和域名限制” 的图标，双击进去。

把默认规则改成**“拒绝”**（意思是谁也别进来）。

然后点右边的“添加允许条目”，把咱们公司办公室的 IP 段（比如 192.168.1.1 这种）填进去。

第三步：同样操作给 ecp

ecp 是管理员后台，这个也必须按上面的步骤封了，免得黑客去撞管理员密码。

黑客/你在家： 输入网址，直接报错“403 访问被拒绝”，想破密码都没地方输。

你的手机： 叮！新邮件照样提醒，完全没感觉。

你在办公室： 浏览器打开网页，正常登录。

别锁错门： 千万别去动那个叫 Microsoft-Server-ActiveSync 的文件夹，动了它，全公司的手机 Outlook 就都瘫痪了。

VPN 注意： 如果你们有 VPN，记得把 VPN 的 IP 段也加到“允许”里，不然连了 VPN 也打不开网页版。

另外，还有一个办法基于 PowerShell 的策略控制

使用 Client Access Rules 直接在协议层拦截，不经过 IIS：

# 1. 创建规则：拒绝所有外部 OWA 访问

New-ClientAccessRule -Name "Block_External_OWA" `

-Action DenyAccess `

-AnyOfProtocols OutlookWebApp `

-ExceptAnyOfClientIPAddressesOrRanges 192.168.1.0/24

# 2. 验证 ActiveSync（手机端）是否受限（预期结果：不受限制）

Get-ClientAccessRule "Block_External_OWA"

命令的意思是：拒绝所有 OWA 协议访问，除非请求来自 192.168.1.0/24 这个内网段。

但需要注意的是在部分Exchange 2019 版本中，唯一支持的值是 ExchangeAdminCenter 和 RemotePowerShell”。

这意味着： 如果你用的是 Exchange 2019，想通过这条命令来精准锁死 OutlookWebApp（也就是 OWA）可能行不通，因为它目前主要支持锁后台管理 (EAC) 和远程脚本。

以上仅供参考，如需要更多技术支持和帮助，欢迎和我司客户服务部沟通，电话：4006028603，也可发邮件至service@corp-email.com。