了解移动设备管理

Exchange 2010
 

适用于: Exchange Server 2010 SP2, Exchange Server 2010 SP3

上一次修改主题: 2014-03-05

MicrosoftExchange Server 2010 Service Pack 1 (SP1) 和 MicrosoftExchange ActiveSync 为用户和管理员提供了许多不同功能。作为管理员,您可以创建允许列表、阻止列表和隔离列表,以指定允许哪些移动设备访问您的 Exchange 邮箱。使用隔离列表可以仅允许用户的已分配设备连接到 Exchange 服务器。

注释注意:
在本主题中,术语移动设备指具有和不具有移动电话服务的移动设备。假定所有移动电话和设备都具有某种形式的 Internet 连接(使用移动电话数据计划或使用无线 Internet 访问)。

Exchange 2010 SP1 服务器遵循一种简单的逻辑序列来确定每个移动设备的访问状态。每个设备可以处于允许、阻止或隔离状态。可以通过组织规则或豁免来定义每个设备的访问状态。豁免是一种应用于单个用户或单个设备的规则。每当从尝试通过存储在 Exchange 2010 服务器上的邮箱同步数据的移动设备接收到 Exchange ActiveSync 请求时,便会应用豁免。质询序列包括以下步骤:

  1. 移动设备是否经过身份验证?   如果没有,则要求移动设备提供正确凭据。否则,继续执行下一步。

  2. 是否为当前用户启用了 Exchange ActiveSync?   如果没有,则向设备返回“访问受限”错误。否则,继续执行下一步。

  3. 当前移动设备是否满足移动策略强制标准?   如果不满足,则阻止访问。否则,继续执行下一步。

  4. 用户的个人豁免是否阻止此移动设备?   如果是,则阻止访问。否则,继续执行下一步。

  5. 用户的个人豁免是否允许此移动设备?   如果是,则授予完全访问权限。否则,继续执行下一步。

  6. 设备访问规则是否阻止此移动设备?   如果是,则阻止访问。否则,继续执行下一步。

  7. 设备访问规则是否隔离此移动设备?   如果是,则隔离设备。否则,继续执行下一步。

  8. 设备访问规则是否允许此移动设备?   如果是,则授予完全访问权限。否则,继续执行下一步。

  9. 应用每个 Exchange ActiveSync 组织设置的默认访问状态。   这会根据组织设置授予访问权限、阻止访问或隔离当前设备。

返回顶部

设备访问状态是特定设备的状态。设备的访问状态可以为以下状态之一:允许、阻止或隔离。可以通过多种方式控制设备访问状态。移动设备处于每种访问状态时的行为方式是不同的。

处于允许访问状态时,移动设备可以通过 Exchange ActiveSync 进行同步并连接到 Exchange 服务器以检索电子邮件和操作日历信息、联系人、任务和便笺。只要设备符合您配置的 Exchange ActiveSync 邮箱策略,便会继续保持这种状态。

有关详细信息,请参阅查看或配置 Exchange ActiveSync 邮箱策略属性

因您配置的设备访问设置而受到阻止的移动设备不会被允许连接到 Exchange 服务器,并会收到 HTTP 403 禁止访问错误。用户会从 Exchange 服务器收到一封电子邮件,告知其已阻止移动设备访问邮箱。您可以将自定义文本添加到此邮件,以便为其设备受到阻止的用户提供说明。

移动设备还可能因为未能应用 Exchange ActiveSync 邮箱策略而受到阻止。如果发生这种情况,则用户不会收到告知其已阻止移动设备访问邮箱的电子邮件。但是,Outlook Web App 中显示的移动设备信息会表示该设备由于未能应用 Exchange ActiveSync 邮箱策略而受到阻止。

被隔离的移动设备可以连接到 Exchange 服务器。但是,仅向其授予有限的数据访问权限。用户可以向其自己的“日历”、“联系人”、“任务”和“便笺”文件夹添加内容,但是服务器不允许设备从用户邮箱检索任何内容。用户会收到一封电子邮件,告知其已隔离移动设备。此邮件会由设备接收,也会在用户邮箱中提供。您可以将自定义文本添加到此邮件,以便为其设备受到隔离的用户提供说明。

在配置 Exchange ActiveSync 组织设置时,可以指定一个或多个管理员在已隔离设备首次尝试连接到 Exchange 服务器时收到电子邮件。这些管理员随后可以决定是通过创建个人豁免将该移动设备从隔离中释放、完全阻止该设备还是创建对该移动设备和其他类似移动设备执行操作的规则。

注意 默认升级宽限期允许隔离的设备继续与已从以前版本的 Exchange 移动到 Exchange Server 2010 的邮箱同步。默认升级宽限期为七 (7) 天,从升级设备同步状态时开始。仅当设备联系到 Exchange 服务器时,才升级设备访问状态。因此,如果设备未联系到服务器,则不会升级其访问状态。

此外,如果当设备运行以前版本的 Exchange 时,在升级之前未检测到设备的同步状态,则设备不会收到升级宽限期。

当移动设备首次连接到 Exchange ActiveSync 时,设备会暂时处于设备发现访问状态。处于此状态时,设备会受到隔离,直至服务器识别出设备。此状态可能会维持 1 到 14 分钟。当移动设备处于此状态时,不会向管理员或用户发送任何电子邮件。

当移动设备处于邮箱升级访问状态时,会向其授予对用户邮箱的完全访问权限。邮箱升级访问状态与允许状态相同,只不过该状态是在邮箱从早期版本的 Exchange 2010 迁移而来后,从设备首次连接到 Microsoft Exchange 服务器开始持续不超过七天的时间。需要此状态是为了使移动设备有时间将其信息和通信协议正确升级到最新 Exchange ActiveSync 版本并由设备访问管理系统识别出来。只要识别出移动设备,Exchange 便会基于 Exchange 2010 配置应用相应的访问权限。

返回顶部

可以通过配置以下内容控制设备访问:

  • 用户的个人豁免。

  • 用于移动设备系列或特定型号的组织范围规则。

  • 用于不属于其他类别的所有设备的默认访问状态。

可以向特定用户分配特定移动设备。这种分配使您可以为特定设备显式授予访问权限或显式阻止特定设备,而不考虑规则和其他设备访问设置。如果没有为特定用户显式授予或阻止某个移动设备,则会根据前面讨论的编号步骤确定该设备的访问权限。

注释注意:
与 Microsoft Exchange Server 2007 不同,为用户的特定设备显式授予访问权限不会隐式拒绝其他设备的访问。如果用户尝试连接到另一个设备,则该设备的访问状态将由组织的设备访问设置确定。

可以使用 Set-CASMailbox cmdlet 或 Exchange 控制面板 (ECP) 创建个人豁免。

通过设备访问规则,您可以基于设备的某些属性(如型号)来设置对一组特定设备可用的访问类型。若要创建这些规则,需要了解设备型号和系列信息。这些信息可以在移动设备与 Exchange 服务器成功同步后获取。

可以使用 New-ActiveSyncDeviceAccessRule cmdlet 或通过 ECP 创建设备访问规则,如下图所示。

新建设备访问规则

新设备访问规则

为设备设置规则时,请务必了解设备“系列”与特定设备之间的差异。此信息会作为 EAS 协议的一部分进行通信,并且由设备本身进行报告。例如,设备规则仅适用于特定设备类型。设备系列表示一系列相似设备,如 Pocket PC。此区别十分重要,因为许多设备制造商会通过对不同运营商使用不同名称,来发布相同设备。当创建规则时,可选择设备系列或特定型号,但不能同时选择两者。

在“新建设备访问规则”页面上,单击“浏览”以显示最近连接到 Exchange 服务器的所有设备或设备系列的列表。然后,选择要执行的操作。可以选择以下任何操作:

允许访问

阻止访问

隔离

Exchange ActiveSync 的默认组织访问状态可确定向不由设备访问规则或个人豁免管理的移动设备授予的访问级别。可以使用 Set-ActiveSyncOrganizationSettings cmdlet 设置默认组织访问状态。

隔离通知使您可以指定在将设备置于隔离状态时接收电子邮件警报的人员。可以向列表添加一个或多个管理员、用户或通讯组。此列表中的任何人都会收到电子邮件通知,该通知提供有关设备、尝试连接设备的人员以及进行尝试的时间的信息。

返回顶部

在为移动设备指定访问级别之前,您可能需要获取组织中所有移动电话和设备的列表。可以将 Get-CASMailbox cmdlet 与 Get-ActiveSyncDeviceStatistics cmdlet 结合使用来获取此列表。有关详细信息,请参阅 Get-ActiveSyncDeviceStatistics

可以使用允许列表向已知设备列表授予访问权限,并限制其他所有设备的访问。为此,必须创建规则,以便允许所需的特定设备访问用户邮箱。在创建了这样一种规则后,必须立即设置组织的默认访问状态以阻止所有其他设备。若要将新设备添加到允许列表,请创建新规则。

可以使用阻止列表在默认情况下向所有设备授予访问权限,而阻止您不希望其访问您所在组织的一组设备的访问。可以通过针对您不希望其与组织邮箱同步的设备创建阻止规则,来创建阻止列表。组织设置应设置为向未由现有规则显式阻止的所有设备授予访问权限,从而允许所有设备。若要将新设备或设备组添加到阻止列表,请创建新规则。

除了创建允许和阻止列表之外,您还可以在新移动设备引入组织时隔离这些设备,同时进行评估。例如,如果您具有一个针对组织中不允许的移动设备的阻止列表,以及一个针对组织中允许的移动设备的允许列表,则可以将默认组织访问设置设置为隔离。所有其他设备会自动受到隔离,这使您可以在新设备引入组织时发现这些设备并决定是将其添加到允许列表还是阻止列表。下图显示已为特定用户隔离的一个移动设备。

用户的移动设备已隔离

已为此用户隔离出一个设备

可以使用实时审核发现当前正与组织中的 Exchange 服务器同步的所有设备。可通过将默认组织访问设置设置为隔离来设置实时审核。

当默认组织访问设置切换为隔离后,会在几分钟内生成已隔离设备的列表。可以使用该列表创建允许和阻止列表。创建允许和阻止列表之前,会阻止所有用户与 Exchange 服务器同步。

返回顶部

 © 2010 Microsoft Corporation。保留所有权利。
显示: