管理用户登录的访问权限和安全策略。
一、功能概述
访问策略功能用于统一管理用户登录的访问权限与安全控制,支持基于用户范围、IP 地址和客户端类型的多维度精细化策略配置。管理员可在单一界面中灵活组合条件,实现对访问行为的精准管控。策略将仅对所选客户端类型生效,确保安全规则按预期作用于指定终端(如阿里邮箱自有端、钉钉、网页端、Outlook 插件、微信公众号等),从而在保障合法访问的同时,有效拦截高风险或未授权的登录请求。
二、功能亮点
IP限制与客户端管控合二为一,为您提供更灵活、更强大的访问控制能力。
一站式高效管理
告别多菜单跳转。现在,您可以在一个统一的面板中,同时完成对IP、客户端的访问权限配置。
更精细的场景组合
支持多维度组合策略,满足更复杂的控制需求。
白名单与黑名单双模式
独占允许(白名单)
开启仅允许模式,系统将自动屏蔽指定用户所有未明确定义的访问
轻松实现零信任管控
常规拦截(黑名单)
开启常规模式,仅针对特定的高危IP段或不合规的客户端进行精准拦截
其余默认放行
平滑无感迁移
您的历史规则已自动升级为新版策略并继续生效,无需您重新配置。
原有功能对应为安全管理-账号安全策略下的“自有端登录安全”和“设置安全登录IP”。
三、创建访问策略
邮箱管理员进入域管理-安全管理-账号安全-访问策略,点击创建策略按钮。
A. 选择策略类型
系统提供两种策略类型,管理员可根据安全需求选择:
策略类型 | 说明 |
允许访问 | 针对指定用户,仅允许符合策略条件的访问请求,其他所有未匹配的访问将被阻止。适用于高安全要求场景(即白名单模式)。 |
拒绝访问 | 针对指定用户,阻止符合策略条件的访问请求,其他未匹配的访问将被允许。适用于风险拦截场景(即黑名单模式)。 |
策略执行逻辑说明
阻止优先原则:如果用户同时匹配白名单和黑名单策略,优先执行黑名单策略(拒绝访问)。
默认允许策略:未匹配任何策略的用户默认允许访问。
B. 设置策略条件
1. 适用对象
可灵活指定策略生效的用户范围:
全部成员:策略对域内所有用户生效。
指定部门与成员:
支持选择具体部门或成员。
勾选“添加部门时包含子部门”,则策略将覆盖所选部门及其所有下级子部门。
排除特定对象(“除了”选项):
可在“全部成员”或“指定范围”基础上,排除某些部门或成员。
同样支持“包含子部门”选项。
2. IP 范围
支持填写单个 IP(如
192.168.1.1)或 IP 段(如192.168.1.1-192.168.1.100)。可添加多个 IP 条目,策略将对所有列出的 IP 生效。
支持指定地区(按地区设置当前仅支持IPv4)。
3. 适用客户端
支持按客户端类型进行精细化控制,可多选:
阿里邮箱自有端(包含移动端与桌面端)
阿里邮箱网页端(不包含域管后台)
钉钉 PC 端
钉钉移动端
阿里邮箱 Outlook 插件
微信公众号
三方客户端
注:策略将仅对所选客户端类型生效。
C. 测试验证
创建或修改策略后,建议通过以下方式验证策略是否按预期生效:
使用目标用户账号,从不同 IP 地址或客户端尝试登录。
观察是否按策略允许或拒绝访问。
查看系统日志或安全审计记录,确认策略触发情况。
创建访问策略时最后一步可以直接进行测试,也可以创建后通过测试验证按钮进入测试。
1、创建策略时,最后一步进行的测试验证,将按生效状态进行匹配。
2、创建策略后,点击测试验证按钮,若策略在测试时已启用(开关开启),则按生效规则进行匹配;若创建后未开启策略开关,则测试将按未生效状态处理,即该策略不会参与匹配。
以网页端为例:
当用户的访问因策略限制被拒绝时,登录界面将显示明确提示:“管理员已开启IP登录限制,当前IP无法登录”,便于用户及时了解受限原因。
