Политики почтовых ящиков мобильных устройств в Exchange Online
В Microsoft 365 или Office 365 можно создать политики почтовых ящиков мобильных устройств, чтобы применить общий набор политик или параметров безопасности к коллекции пользователей. Политика почтовых ящиков мобильных устройств по умолчанию создается в каждой организации Microsoft 365 или Office 365.
Обзор политик почтовых ящиков мобильных устройств
Политики почтовых ящиков мобильных устройств можно использовать для управления множеством различных параметров. например:
- Требование ввести пароль
- Минимальная длина пароля
- Разрешение числового ПИН-кода или использование специальных символов в пароле
- Период бездействия устройства перед требованием повторного ввода пароля
- Очистка устройства после указанного количества неудачных попыток ввести пароль
Параметры пароля мобильного устройства и биометрические данные
Многие мобильные устройства поддерживают биометрические данные, такие как Apple Touch ID или Face ID. Политики почтовых ящиков мобильных устройств Exchange не определяют, можно ли использовать биометрические данные вместо ввода ПИН-кода устройства. Политики почтовых ящиков мобильных устройств можно настроить так, чтобы требовать ПИН-код устройства, но затем пользователи определяют, используют ли они биометрические данные после выполнения требования к ПИН-коду устройства.
Клиентам, которым требуется расширенный контроль над использованием биометрии, следует рассмотреть решения для регистрации устройств, такие как Microsoft Intune. Дополнительные сведения см. в разделе Развертывание параметров конфигурации приложений Outlook для iOS и Android .
Параметры пароля мобильного устройства и Android
Android 9.0 и более ранних версий используют функции администрирования устройств Android для управления параметрами паролей устройств, определенными в политике почтовых ящиков мобильных устройств.
В Android 10.0 и более поздних версиях Android удалила функции администрирования устройств. Вместо этого приложения, которым требуется блокировка экрана, запрашивают сложность блокировки экрана устройства (или рабочего профиля) с помощью API getPasswordComplexity . Приложения, которым требуется более надежная блокировка экрана, направляют пользователя к системным параметрам блокировки экрана, позволяя пользователю обновить параметры безопасности, чтобы они соответствовали требованиям. Приложение не знает пароль пользователя; приложению известно только уровень сложности пароля. Android поддерживает следующие четыре уровня сложности пароля:
| Уровень сложности пароля | Требования к паролям |
|---|---|
| Нет | Требования к паролю не настроены |
| Низкая | Пароль может быть шаблоном или ПИН-кодом с повторяющимися последовательности (4444) или упорядоченными (1234, 4321, 2468) |
| Средняя | Пароли, соответствующие одному из следующих критериев:
|
| Высокая | Пароли, соответствующие одному из следующих критериев:
|
Уровни сложности паролей Android сопоставляются со следующими параметрами политики почтовых ящиков мобильных устройств Exchange:
| Параметр политики почтового ящика мобильных устройств | Уровень сложности пароля Android |
|---|---|
| Пароль включен = false | Нет |
| Разрешить простой пароль = true Минимальная длина < пароля 4 |
Низкая |
| Требуется буквенно-цифровой пароль = false Минимальная длина >пароля = 4 Минимальная длина < пароля 8 |
Средняя |
| Требуется буквенно-цифровой пароль = true Минимальная длина < пароля 6 |
Средняя |
| Требуется буквенно-цифровой пароль = false Минимальная длина >пароля = 8 |
Высокая |
| Требуется буквенно-цифровой пароль = true Минимальная длина >пароля = 6 |
Высокая |
Параметры политики почтовых ящиков мобильного устройства
В следующей таблице перечислены параметры, которые можно задать с помощью политик почтовых ящиков мобильных устройств.
Параметры политики почтовых ящиков мобильных устройств:
| Setting | Описание |
|---|---|
| Разрешить Bluetooth | Данный параметр определяет, будет ли мобильное устройство принимать подключения Bluetooth. Доступны следующие значения: "Отключить", "Только для громкой связи" и "Разрешить". Значение этого параметра по умолчанию "Разрешить". |
| Разрешить браузер | Этот параметр определяет, разрешен ли на мобильном устройстве браузер Pocket Internet Explorer. Этот параметр не влияет на браузеры сторонних производителей, установленные на мобильном устройстве. Значение по умолчанию — $true. |
| Разрешить камеру | Этот параметр определяет, можно ли использовать камеру мобильного устройства. Значение по умолчанию — $true. |
| Разрешить пользовательскую электронную почту | Этот параметр определяет, может ли пользователь настраивать личную учетную запись электронной почты (POP3 или IMAP4) на мобильном устройстве. Значение по умолчанию — $true. Этот параметр не контролирует доступ посторонних почтовых программ для мобильных устройств к электронной почте. |
| Разрешить синхронизацию с настольным ПК | Этот параметр определяет, может ли мобильное устройство синхронизироваться с настольным компьютером через кабель, порт IrDA или Bluetooth. Значение по умолчанию — $true. |
| Разрешить управление внешним устройством | Этот параметр определяет, разрешено ли внешней программе управления устройствами управлять мобильным устройством. |
| Разрешить сообщения электронной почты в формате HTML | Этот параметр определяет, может ли электронная почта при синхронизации с мобильным устройством сохранять формат HTML. Если для этого параметра задано значение $false, все сообщения электронной почты преобразуются в обычный текст. |
| Разрешить общий доступ к Интернету | Этот параметр определяет, можно ли использовать мобильное устройство в качестве модема для настольного или портативного компьютера. Значение по умолчанию — $true. |
| AllowIrDA | Этот параметр определяет, разрешены ли на мобильном устройстве инфракрасные соединения. |
| Разрешить обновление Mobile OTA | Этот параметр определяет, можно ли отправлять параметры политики почтового ящика мобильного устройства на мобильное устройство через мобильное подключение. Значение по умолчанию — true. |
| Разрешить неинициализируемые устройства | Этот параметр указывает, разрешено ли мобильным устройствам, поддерживающим применение всех параметров политики, подключаться к Office 365 с помощью Exchange ActiveSync. Использование неинициализируемых мобильных устройств представляет угрозы для безопасности. Например, некоторые неинициализируемые устройства могут не применять требования организации к паролям. |
| Разрешить POPIMAPEmail | Этот параметр определяет, может ли пользователь настроить на мобильном устройстве учетную запись электронной почты POP3 или IMAP4. Значение по умолчанию — $true. Этот параметр не управляет доступом посторонних почтовых программ. |
| Разрешить подключение к удаленному рабочему столу | Этот параметр определяет, может ли мобильное устройство инициировать подключение к удаленному рабочему столу. Значение по умолчанию — $true. |
| Разрешить использовать простой пароль | Этот параметр включает или отключает функцию использования простого пароля, например "1111" или "1234". Значение по умолчанию — $true. |
| Разрешить согласование алгоритма шифрования S/MIME | Этот параметр указывает, может ли приложение для обмена сообщениями на мобильном устройстве согласовывать алгоритм шифрования, если сертификат получателя не поддерживает указанный алгоритм шифрования. |
| Разрешить сертификаты программного обеспечения S/MIME | Этот параметр определяет, разрешены ли на мобильном устройстве сертификаты программного обеспечения S/MIME. |
| Разрешить карты памяти | Этот параметр определяет, позволяет ли мобильное устройство получать доступ к сведениям, которые хранятся на карте памяти. |
| Разрешить обмен текстовыми сообщениями | Этот параметр указывает, разрешен ли для мобильного устройства обмен текстовыми сообщениями. Значение по умолчанию — $true. |
| Разрешить неподписанные приложения | Этот параметр указывает, можно ли устанавливать на мобильное устройство неподписанные приложения. Значение по умолчанию — $true. |
| Разрешить неподписанные установочные пакеты | Этот параметр указывает, можно ли запускать на мобильном устройстве неподписанные установочные пакеты. Значение по умолчанию — $true. |
| Разрешить Wi-Fi | Этот параметр указывает, разрешен ли для мобильного устройства беспроводной доступ к Интернету. Значение по умолчанию — $true. |
| Требовать ввода буквенно-цифрового пароля | Этот параметр требует, чтобы пароль содержал не только цифры, но и другие символы. Значение по умолчанию — $true. |
| Список одобренных приложений | Этот параметр содержит список одобренных приложений, которые можно запускать на мобильном устройстве. |
| Вложения разрешены | Этот параметр разрешает загрузку вложений на мобильное устройство. Значение по умолчанию — $true. |
| Шифрование устройства включено | Этот параметр включает шифрование на мобильном устройстве. Не все мобильные устройства могут поддерживать шифрование. Дополнительные сведения см. в документации на устройство и операционную систему. |
| Интервал обновления политики устройства | Этот параметр указывает частоту, с которой политики почтового ящика мобильного устройства отправляется с сервера на мобильное устройство. |
| Служба IRM включена | Этот параметр указывает, включена ли служба управления правами доступа к данным (IRM) на мобильном устройстве. |
| Максимальный размер вложения | Этот параметр контролирует максимальный размер вложений, которые могут быть загружены на мобильное устройство. Значение по умолчанию "Unlimited". |
| Фильтр максимального времени хранения календаря | Этот параметр задает максимальный диапазон дней календаря, который можно синхронизировать с мобильным устройством. Допустимы следующие значения: Все Две недели OneMonth Тримесяца SixMonths |
| Фильтр максимального времени хранения электронной почты | Этот параметр задает максимальное количество дней для сообщений электронной почты, для которых выполняется синхронизация с мобильным устройством. Допустимы следующие значения: Все OneDay ThreeDays OneWeek Две недели OneMonth |
| Максимальный размер усечения текста сообщений электронной почты | Этот параметр задает максимальный размер сообщений электронной почты, при котором они усекаются во время синхронизации с мобильным устройством. Значение задается в килобайтах (КБ). |
| Максимальный размер текста сообщений электронной почты в формате HTML | Этот параметр задает максимальный размер сообщений электронной почты в формате HTML, при котором они усекаются во время синхронизации с мобильным устройством. Значение задается в килобайтах (КБ). |
| Максимальное время простоя до блокировки | Этот параметр указывает период бездействия мобильного устройства, в течение которого для возобновления работы устройства не требуется вводить пароль. Можно задать интервал от 30 секунд до 1 часа. Значение по умолчанию равно 15 минутам. |
| Максимальное количество неудачных попыток ввода пароля | Этот параметр указывает число попыток ввода правильного пароля для мобильного устройства. Можно ввести число от 4 до 16. Значение по умолчанию 8. |
| Минимальное количество сложных символов в пароле | Этот параметр задает минимальное количество сложных символов, необходимых в пароле мобильного устройства. Сложный символ — это любой символ, не являющийся буквой. |
| Минимальная длина пароля | Этот параметр указывает минимальное число знаков в пароле мобильного устройства. Можно ввести число от 1 до 16. Значение по умолчанию 4. |
| Пароль включен | Этот параметр включает пароль мобильного устройства. |
| Срок действия пароля | Этот параметр позволяет администратору настроить временной интервал, по истечении которого необходимо изменить пароль мобильного устройства. |
| Журнал пароля | Этот параметр определяет число использовавшихся паролей, хранящихся в почтовом ящике пользователя. Пользователь не может использовать сохраненный пароль повторно. |
| Восстановление пароля включено | При включении этого параметра на мобильном устройстве создается пароль для восстановления, который отправляется на сервер. Если пользователь забыл пароль мобильного устройства, чтобы разблокировать мобильное устройство и разрешить пользователю создать новый пароль, можно использовать пароль для восстановления. |
| Требовать шифрование устройства | Этот параметр определяет, необходимо ли шифрование для устройства. Если задано значение $true, мобильное устройство должно поддерживать и реализовывать шифрование для синхронизации с сервером. |
| Требовать шифрование сообщений S/MIME | Этот параметр определяет, необходимо ли шифровать сообщения S/MIME. Значение по умолчанию — $false. |
| Требовать алгоритм шифрования S/MIME | Этот параметр задает алгоритм, который должен использоваться для шифрования сообщений S/MIME. |
| Требовать при роуминге выполнение синхронизации вручную | Этот параметр указывает, должно ли мобильное устройство синхронизироваться вручную при роуминге. Включение автоматической синхронизации при роуминге может привести к непредвиденным расходам на мобильную связь. |
| Требовать подписанный алгоритм S/MIME | Этот параметр задает алгоритм, который должен использоваться для подписи сообщения. |
| Требовать подписанные сообщения S/MIME | Этот параметр указывает, должно ли мобильное устройство отправлять подписанные сообщения S/MIME. |
| Требовать шифрование карты памяти | Этот параметр определяет, необходимо ли шифровать карту памяти. Не все операционные системы для мобильных устройств поддерживают шифрование карт памяти. Дополнительные сведения см. в документации к мобильному устройству и операционной системе. |
| Список недопустимых приложений в ПЗУ | Этот параметр содержит список приложений, которые невозможно запускать в ПЗУ. |
Управление политиками почтовых ящиков мобильных устройств
Политики почтовых ящиков мобильных устройств можно создавать, изменять или удалять в Центре администрирования Exchange (EAC) или Exchange Online PowerShell. В Центре администрирования Exchange можно настроить только часть доступных параметров. Остальные параметры можно настроить с помощью Exchange Online PowerShell.
Что нужно знать перед началом работы
Предполагаемое время выполнения: 15 минут.
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе "Мобильные устройства" в разделе Разрешения компонентов в Exchange Online.
Сведения об открытии Центра администрирования Exchange см. в статье Центр администрирования Exchange в Exchange Online. Сведения о том, как подключиться к Exchange Online PowerShell, см. в статье Подключение к Exchange Online PowerShell.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этом разделе, см. в разделе Сочетания клавиш для Центра администрирования Exchange.
Совет
Возникли проблемы? Обратитесь за помощью к участникам форумов Exchange. Посетите форумы по адресу Exchange Online.
Создание политики почтовых ящиков мобильных устройств
Использование Центра администрирования Exchange для создания новой политики почтовых ящиков мобильного устройства
Примечание.
В Центре администрирования Exchange можно установить только некоторые параметры политики почтовых ящиков мобильного устройства. Чтобы задать все параметры политики почтовых ящиков мобильных устройств, необходимо использовать Exchange Online PowerShell.
В EAC щелкнитеПолитики почтовых ящиковмобильных> устройств и нажмите кнопку Добавить
Настройте параметры политики почтовых ящиков мобильного устройства, используя различные флажки и раскрывающиеся списки.
Предупреждение
Чтобы назначить новую политику почтовых ящиков мобильного устройства политикой по умолчанию, выберите пункт Политика по умолчанию. Если политика почтовых ящиков мобильного устройства назначена политикой по умолчанию, она будет автоматически назначаться каждому новому пользователю при его создании.
Щелкните Сохранить.
Создание политики почтовых ящиков мобильных устройств с помощью PowerShell Exchange Online
Вы создаете политику почтовых ящиков мобильных устройств с помощью командлета New-MobileDeviceMailboxPolicy .
В Exchange Online PowerShell выполните следующую команду.
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
Как проверить, все ли получилось?
Чтобы проверить, успешно ли создана политика почтовых ящиков мобильного устройства, выполните одно из указанных ниже действий.
В EAC щелкнитеПолитики почтовых ящиковмобильных> устройств и убедитесь, что новая политика отображается в представлении списка.
В Exchange Online PowerShell выполните следующую команду.
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Дополнительные сведения об этом командлете см. в разделе Get-MobileDeviceMailboxPolicy.
Использование Центра администрирования Exchange для изменения политики почтовых ящиков мобильного устройства
Примечание.
В Центре администрирования Exchange можно изменить только некоторые параметры политики почтовых ящиков мобильного устройства. Чтобы изменить все параметры политики почтовых ящиков мобильных устройств, необходимо использовать Exchange Online PowerShell.
В EAC щелкнитеПолитики почтовых ящиковмобильных> устройств.
Выберите политику в представлении списка и нажмите кнопку Изменить
На вкладках Общие и Безопасность измените параметры политики почтовых ящиков мобильного устройства.
Нажмите кнопку Сохранить, чтобы обновить политику.
Изменение параметров политики почтовых ящиков мобильных устройств с помощью Exchange Online PowerShell
Вы изменяете политику почтовых ящиков мобильных устройств с помощью командлета Set-MobileDeviceMailboxPolicy .
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
Как проверить, все ли получилось?
Чтобы убедиться в том, что изменения в политику почтовых ящиков мобильного устройства успешно внесены, выполните одно из указанных ниже действий.
В EAC щелкнитеПолитика почтовых ящиковмобильных> устройств, а затем выберите определенную политику. На панели подробностей будут перечислены параметры политики.
В консоли Shell выполните следующую команду:
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Дополнительные сведения об этом командлете см. в разделе Get-MobileDeviceMailboxPolicy.