Exchange Server中的移动设备邮箱策略
在Exchange Server中,可以创建移动设备邮箱策略,以将一组常见的策略或安全设置应用于用户集合。 在 Exchange Server 组织中部署Exchange ActiveSync后,可以创建新的移动设备邮箱策略或修改现有策略。 安装 Exchange Server 时,会创建默认的移动设备邮箱策略。 这条默认的移动设备邮箱策略将自动分配给所有用户。
移动设备邮箱策略概述
您可以使用移动设备邮箱策略管理许多不同的设置。 其中包括:
- 要求使用密码
- 指定最小密码长度
- 要求在密码中使用数字或特殊字符
- 指定在要求用户重新输入密码之前设备可以保持非活动状态的时间
- 指定密码尝试失败多少次后擦除设备
有关所有可配置的设置的详细信息,请参阅移动设备策略设置。
Exchange 移动设备邮箱策略
Exchange ActiveSync是一种客户端协议,可用于将移动设备与 Exchange 邮箱同步。 安装 Exchange Server 时,默认启用Exchange ActiveSync。
可以在 Exchange 管理中心 (EAC) 或 Exchange 命令行管理程序中创建移动设备邮箱策略。 如果在 EAC 中创建策略,只能配置可用设置的子集。 可以使用 Exchange 命令行管理程序配置其余设置。
移动设备密码设置和生物识别
许多移动设备支持生物识别,例如 Apple Touch ID 或人脸 ID。 Exchange 移动设备邮箱策略无法控制是否可以使用生物识别,而不是键入设备 PIN。 可以将移动设备邮箱策略配置为要求设备 PIN,但用户随后在符合设备 PIN 要求后控制他们是否使用生物识别。
移动设备密码设置和 Android
Android 9.0 及更早版本利用 Android 的设备管理功能来管理移动设备邮箱策略中定义的设备密码设置。
对于 Android 10.0 及更高版本,Android 已删除设备管理功能。 相反,需要屏幕锁定的应用会查询设备的 (或工作配置文件的) 屏幕锁定复杂性。 需要更强屏幕锁定的应用会将用户定向到系统屏幕锁定设置,从而允许用户更新安全设置,使其符合要求。 应用在任何时候都无法识别用户的密码;应用仅知道密码复杂性级别。 Android 支持以下四个密码复杂性级别:
| 密码复杂性级别 | 密码要求 |
|---|---|
| 无 | 未配置密码要求 |
| 低 | 密码可以是重复 (4444) 或有序 (1234、4321、2468) 序列的模式或 PIN |
| 中 | 满足以下条件之一的密码:
|
| 高 | 满足以下条件之一的密码:
|
从 Exchange 移动设备邮箱策略的角度来看,Android 的密码复杂性级别映射到以下策略设置:
| 移动设备邮箱策略设置 | Android 密码复杂性级别 |
|---|---|
| 密码启用 = false | 无 |
| 允许简单密码 = true 最小密码长度 < 4 |
低 |
| 允许简单密码 = true 最小密码长度 < 6 |
中 |
| 允许简单密码 = false 需要字母数字密码 = true 最小密码长度 < 6 |
中 |
| 允许简单密码 = true 最小密码长度 > 6 |
高 |
| 允许简单密码 = false 需要字母数字密码 = true 最小密码长度 >= 6 |
高 |
移动设备邮箱策略设置
下表总结了可以使用移动设备邮箱策略指定的设置。
| Setting | 说明 |
|---|---|
| 允许蓝牙 | 此设置指定移动设备是否允许建立 Bluetooth 连接。 可用选项包括“禁用”、“仅免提”和“允许”。 默认值为“允许”。 |
| 允许浏览器 | 此设置指定是否允许在移动设备上使用 Pocket Internet Explorer。 此设置不会影响移动设备上安装的第三方浏览器。 默认值为 $true。 |
| 允许照相机 | 此设置指定是否可以使用移动设备上的照相机。 默认值为 $true。 |
| 允许用户电子邮件 | 此设置指定移动设备用户是否可以在移动设备上配置个人电子邮件帐户(POP3 或 IMAP4)。 默认值为 $true。 此设置不控制使用第三方移动设备电子邮件程序对电子邮件帐户的访问。 |
| 允许桌面同步 | 此设置指定移动设备是否可以通过电缆、蓝牙或 IrDA 连接与计算机进行同步。 默认值为 $true。 |
| 允许外部设备管理 | 此设置指定是否允许使用外部设备管理程序来管理移动设备。 |
| 允许 HTML 电子邮件 | 此设置指定同步到移动设备的电子邮件是否可以采用 HTML 格式。 如果此设置设置为 $false,则所有电子邮件都转换为纯文本。 |
| 允许 Internet 共享 | 此设置指定是否可以使用移动设备作为台式机或便携式计算机的调制解调器。 默认值为 $true。 |
| AllowIrDA | 此设置指定移动设备是否允许建立红外连接。 |
| 允许移动 OTA 更新 | 此设置指定是否可以通过手机网络数据连接将移动设备邮箱策略设置发送到移动设备。 默认值为 $true。 |
| 允许不可设置的设备 | 此设置指定是否允许可能不支持应用所有策略设置的移动设备使用 Exchange ActiveSync 连接到Exchange Server。 允许不可设置的设备会产生安全隐患。 例如,某些不可设置的设备可能无法实现组织的密码要求。 |
| 允许 POP/IMAP 电子邮件 | 此设置指定用户是否可以在移动设备上配置 POP3 或 IMAP4 电子邮件帐户。 默认值为 $true。 此设置不控制第三方电子邮件程序的访问。 |
| 允许远程桌面 | 此设置指定移动设备是否可以启动远程桌面连接。 默认值为 true。 |
| 允许简单密码 | 此设置启用或禁用诸如 1111 或 1234 这样的简单密码。 默认值为 $true。 |
| 允许 S/MIME 加密算法协商 | 此设置指定移动设备上的邮件应用程序是否可以在收件人的证书不支持指定的加密算法时协商加密算法。 |
| 允许 S/MIME 软件证书 | 此设置指定移动设备上是否允许使用 S/MIME 软件证书。 |
| 允许存储卡 | 此设置指定移动设备是否可以访问存储卡中存储的信息。 |
| 允许短信服务 | 此设置指定是否可以在移动设备上使用短信服务。 默认值为 $true。 |
| 允许未签名应用程序 | 此设置指定是否可以在移动设备上安装未签名的应用程序。 默认值为 $true。 |
| 允许未签名安装程序包 | 此设置指定是否可以在移动设备上运行未签名的安装程序包。 默认值为 $true。 |
| 允许 Wi-Fi | 此设置指定是否允许在移动设备上进行无线 Internet 访问。 默认值为 $true。 |
| 必须是字母数字密码 | 此设置要求密码包含数字和非数字字符。 默认值为 $true。 |
| 已许可应用程序列表 | 此设置存储了可以在移动设备上运行的已许可应用程序的列表。 |
| 启用附件 | 此设置使附件可以下载到移动设备。 默认值为 $true。 |
| 启用设备加密 | 此设置在移动设备上启用加密。 并非所有移动设备都可以强制实行加密。 有关详细信息,请参阅设备和移动操作系统文档。 |
| 设备策略刷新间隔 | 此设置指定从服务器向移动设备发送移动设备邮箱策略的频率。 |
| 启用 IRM | 此设置指定移动设备上是否启用了信息权限管理 (IRM)。 |
| 最大附件大小 | 此设置控制可下载到移动设备的附件的最大大小。 默认值为“Unlimited”。 |
| 最长日历期限筛选器 | 此设置指定可同步到移动设备的日历日的最大范围。 接受以下值: 1:全部 2:OneDay 3:三天 4:一周 5:两周 6:一个月 |
| 最长电子邮件期限筛选器 | 此设置指定可同步到移动设备的电子邮件项的最大天数。 接受以下值: 1:全部 2:OneDay 3:三天 4:一周 5:两周 6:一个月 |
| 最大电子邮件正文截断大小 | 此设置指定电子邮件在同步到移动设备的过程中被截断的最大大小。 该值以千字节 (KB) 为单位。 |
| 最大电子邮件 HTML 正文截断大小 | 此设置指定 HTML 电子邮件在同步到移动设备的过程中被截断的最大大小。 该值以千字节 (KB) 为单位。 |
| 最大不活动时间锁定 | 此值指定移动设备在要求提供密码重新激活之前可处于非活动状态的时长。 可以输入 30 秒和 1 小时之间的任何时间间隔。 默认值为 15 分钟。 |
| 最大密码失败尝试次数 | 此设置指定用户为移动设备输入正确密码之前可以尝试的次数。 可以输入 4 到 16 之间的任意数字。 默认值为 8。 |
| 最小密码复杂字符数 | 此设置指定移动设备密码要求的字符集数量。 字符集有:
您可以输入介于 1 到 4 之间的任意数字。 默认值为 1。 |
| 最短密码长度 | 此设置指定移动设备密码包含的最小字符数。 可以输入 1 到 16 之间的任意数字。 默认值为 4。 |
| 启用密码 | 此设置启用移动设备密码。 |
| 密码有效期 | 此设置使管理员可以配置密码更改时长,经过此时长之后必须更改移动设备的密码。 |
| 密码历史记录 | 此设置指定可以存储在用户邮箱中的旧密码数。 用户不能重复使用已存储的密码。 |
| 启用密码恢复 | 启用此设置后,移动设备可以生成恢复密码并发送到服务器。 如果用户忘记自己的移动设备密码,可使用恢复密码解除锁定移动设备,然后可以创建新的移动设备密码。 |
| 要求设备加密 | 此设置指定是否要求设备加密。 如果设置为 $true,则移动设备必须能够支持并实现加密才能与服务器同步。 |
| 要求加密 S/MIME 邮件 | 此设置指定是否必须加密 S/MIME 邮件。 默认值为 $false。 |
| 要求加密 S/MIME 算法 | 此设置指定加密 S/MIME 邮件时必须使用哪种必需的算法。 |
| 漫游时要求手动同步 | 此设置指定移动设备漫游时是否必须手动同步。 如果允许在漫游时自动同步,将会经常使移动设备数据计划的数据费用超过预期。 |
| 要求签名 S/MIME 算法 | 此设置指定为邮件签名时必须使用哪种必需的算法。 |
| 要求签名 S/MIME 邮件 | 此设置指定移动设备是否必须发送已签名的 S/MIME 邮件。 |
| 要求存储卡加密 | 此设置指定是否必须加密存储卡。 并非所有移动设备操作系统均支持存储卡加密。 有关详细信息,请参阅您的移动设备及移动操作系统的文档。 |
| 未许可的 ROM 中应用程序列表 | 此设置指定不能在 ROM 中运行的应用程序列表。 |