Открыть сервис

Address Book Policies

Address Book Policies (политики адресной книги, ABP) — это набор правил и конфигурационных параметров в среде Microsoft Exchange Server, предназначенный для автоматического управления и сегментации списков адресов (address lists), списков рассылки (distribution groups), автономных адресных книг (OAB) и других объектов глобального списка адресов (GAL). ABP позволяет администраторам ограничивать видимость контактов, пользователей и групп в зависимости от организационной принадлежности, местоположения или других критериев, обеспечивая тем самым изоляцию адресных данных между разными подразделениями, компаниями или клиентами в мультитенантной среде.

История и предпосылки появления

До внедрения ABP в Exchange Server 2007 все пользователи в организации видели единый глобальный список адресов (GAL). Это создавало проблемы в сценариях, где требовалось разделение информации, например, в хостинговых компаниях, предоставляющих услуги электронной почты разным клиентам, или в крупных холдингах с независимыми дочерними предприятиями. Администраторы были вынуждены вручную настраивать разрешения на объекты Active Directory, что было трудоёмко и чревато ошибками.

В Exchange Server 2010 функционал ABP был значительно расширен и стал доступен через интерфейс управления (Exchange Management Console и Exchange Management Shell). В последующих версиях (Exchange 2013, 2016, 2019) ABP остаётся ключевым инструментом для управления видимостью адресной информации, особенно в гибридных и мультитенантных развёртываниях. В Exchange Online (часть Microsoft 365) ABP также поддерживается, но управляется через облачные интерфейсы (Exchange Admin Center) и PowerShell для Exchange Online.

Основные компоненты и принцип работы

ABP состоит из нескольких взаимосвязанных элементов, которые вместе определяют, какие объекты будут видны конкретному пользователю или группе пользователей.

Глобальный список адресов (GAL)

GAL — это основной каталог всех почтовых объектов в организации Exchange, включая пользователей, контакты, группы и общие папки. По умолчанию все пользователи видят один и тот же GAL. ABP позволяет создавать виртуальные «разделы» GAL, назначая разные политики разным пользователям.

Списки адресов (Address Lists)

Списки адресов — это предопределённые или пользовательские фильтры, которые группируют объекты по определённым признакам (например, «Все пользователи», «Все контакты», «Пользователи отдела продаж»). В рамках ABP администратор выбирает, какие списки адресов будут доступны пользователям, к которым применена данная политика. Пользователи увидят только те списки, которые включены в их ABP.

Автономные адресные книги (Offline Address Books, OAB)

OAB — это кэшированная копия адресной книги, загружаемая на клиентские устройства (Outlook, Outlook для Mac, мобильные приложения) для работы в автономном режиме. Каждая ABP может ссылаться на определённый OAB, который содержит только те объекты, которые разрешены данной политикой. Это гарантирует, что даже при отключении от сети пользователь не увидит запрещённые контакты.

Списки рассылки (Distribution Groups)

ABP может ограничивать видимость групп рассылки. Пользователь, которому назначена политика, увидит в GAL только те группы, которые разрешены его ABP. Это предотвращает случайную отправку писем в группы, предназначенные для другого отдела или клиента.

Создание и применение политик

Процесс настройки ABP включает несколько этапов, выполняемых администратором Exchange.

Этап 1: Создание необходимых объектов

Администратор создаёт:

Этап 2: Создание политики ABP

Политика создаётся командой New-AddressBookPolicy в Exchange Management Shell или через графический интерфейс. В параметрах указываются:

Этап 3: Назначение политики пользователям

Политика назначается почтовому ящику пользователя с помощью команды Set-Mailbox -Identity "ИмяПользователя" -AddressBookPolicy "ИмяПолитики". После применения изменения вступают в силу после обновления OAB на клиенте (обычно в течение нескольких часов, но может быть ускорено принудительной генерацией).

Примеры использования

Мультитенантная среда хостинг-провайдера

Хостинговая компания предоставляет почтовые услуги нескольким независимым клиентам. Каждому клиенту создаётся отдельная ABP. В рамках политики для клиента «А» видны только его сотрудники, его списки адресов и его OAB. Сотрудники клиента «Б» не видят контакты клиента «А» и наоборот. Это обеспечивает полную изоляцию адресных данных.

Крупная корпорация с дочерними предприятиями

Холдинг включает несколько юридически независимых дочерних компаний (например, ООО «Альфа» и ООО «Бета»). Администратор создаёт ABP для каждой компании. Сотрудники ООО «Альфа» видят в GAL только своих коллег и контакты, относящиеся к их компании. Сотрудники ООО «Бета» — только свои. При необходимости можно создать общую ABP для руководителей, которые должны видеть контакты обеих компаний.

Отделы с особыми требованиями безопасности

В организации может быть отдел, работающий с конфиденциальной информацией (например, отдел кадров или юридический отдел). Для них создаётся ABP, которая скрывает их контакты от остальных сотрудников, но позволяет им видеть всех остальных. Это реализуется путём исключения их списка адресов из общей ABP и включения в специальную.

Ограничения и особенности

ABP не является средством управления доступом к данным (разрешениями). Пользователь, которому назначена политика, не видит объект в адресной книге, но если он знает точный SMTP-адрес этого объекта, он всё равно может отправить ему письмо. Для полной изоляции необходимо дополнительно настраивать разрешения на отправку (Delivery Restrictions) и права доступа к почтовым ящикам.

ABP работает только на уровне клиентских приложений (Outlook, Outlook Web App, мобильные приложения). На серверном уровне (например, при отправке через SMTP-клиент) политика не применяется.

В Exchange Online ABP поддерживается, но имеет ограничения по сравнению с локальной версией. Например, нельзя создать собственный GAL — используется только глобальный список адресов организации. Управление ABP в облаке осуществляется через PowerShell для Exchange Online или через Центр администрирования Exchange.

Администрирование и мониторинг

Для управления ABP администраторы используют:

Для диагностики проблем с видимостью объектов администраторы проверяют:

Критика и альтернативы

Основная критика ABP связана с тем, что она не обеспечивает полной безопасности. Как отмечалось, знание адреса позволяет обойти политику. Для сценариев, где требуется строгая изоляция, рекомендуется использовать отдельные лесные домены Active Directory с федерацией доверия, либо решения сторонних разработчиков, интегрируемых с Exchange.

В некоторых случаях вместо ABP применяется ручное управление разрешениями на объекты Active Directory, что даёт более тонкий контроль, но значительно сложнее в администрировании. В Exchange Online для изоляции данных часто используют разделение на разные организации (tenants) Microsoft 365, что является более надёжным, но и более дорогим решением.

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →