Criteri per le cassette postali dei dispositivi mobili in Exchange Online
In Microsoft 365 o Office 365, è possibile creare criteri cassetta postale per dispositivi mobili per applicare un set comune di criteri o impostazioni di sicurezza a una raccolta di utenti. Un criterio cassetta postale per dispositivi mobili predefinito viene creato in ogni organizzazione di Microsoft 365 o Office 365.
Informazioni generali sui criteri cassetta postale dei dispositivi mobili
È possibile utilizzare i criteri cassetta postale dei dispositivi mobili per gestire molte impostazioni differenti. Queste impostazioni includono:
- Richiesta di una password
- Definizione della lunghezza minima per la password
- Consentire un PIN numerico o richiedere caratteri speciali nella password
- Impostare il tempo di inattività di un dispositivo prima che venga richiesto all'utente di immettere nuovamente una password
- Cancellazione di un dispositivo dopo un determinato numero di tentativi di immissione della password non riusciti
Impostazioni della password del dispositivo mobile e biometria
Molti dispositivi mobili supportano la biometria, ad esempio Apple Touch ID o Face ID. I criteri cassetta postale dei dispositivi mobili di Exchange non controllano se è possibile usare la biometria anziché digitare il PIN del dispositivo. I criteri cassetta postale per dispositivi mobili possono essere configurati per richiedere un PIN del dispositivo, ma gli utenti controllano se usano la biometria dopo aver soddisfatto il requisito del PIN del dispositivo.
I clienti che necessitano di un controllo avanzato sull'uso della biometria devono prendere in considerazione soluzioni di registrazione dei dispositivi, ad esempio Microsoft Intune. Per altre informazioni, vedere Distribuzione delle impostazioni di configurazione delle app di Outlook per iOS e Android.
Impostazioni della password del dispositivo mobile e Android
Android 9.0 e versioni precedenti usano la funzionalità di amministratore del dispositivo Android per gestire le impostazioni delle password del dispositivo definite nei criteri cassetta postale di un dispositivo mobile.
Con Android 10.0 e versioni successive, Android ha rimosso la funzionalità di amministratore del dispositivo. Invece, le app che richiedono un blocco dello schermo eseguono query sulla complessità del blocco dello schermo del dispositivo (o del profilo di lavoro) usando l'API getPasswordComplexity . Le app che richiedono un blocco dello schermo più forte indirizzano l'utente alle impostazioni di blocco della schermata di sistema , consentendo all'utente di aggiornare le impostazioni di sicurezza per diventare conformi. In nessun momento l'app è a conoscenza della password dell'utente; l'app è a conoscenza solo del livello di complessità della password. Android supporta i quattro livelli di complessità delle password seguenti:
| Livello di complessità delle password | Requisiti delle password |
|---|---|
| Nessuno | Non sono configurati requisiti per le password. |
| Bassa | La password può essere un modello o un PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468). |
| Medio | Password che soddisfano uno dei criteri seguenti:
|
| Alto | Password che soddisfano uno dei criteri seguenti:
|
I livelli di complessità delle password di Android sono mappati alle impostazioni seguenti dei criteri cassetta postale per dispositivi mobili di Exchange:
| Impostazione dei criteri cassetta postale per dispositivi mobili | Livello di complessità delle password Android |
|---|---|
| Password abilitata = false | Nessuno |
| Consenti password semplice = true Lunghezza < minima password 4 |
Bassa |
| Password alfanumerica obbligatoria = false Lunghezza minima password >= 4 Lunghezza < minima password 8 |
Medio |
| Password alfanumerica obbligatoria = true Lunghezza < minima password 6 |
Medio |
| Password alfanumerica obbligatoria = false Lunghezza minima password >= 8 |
Alto |
| Password alfanumerica obbligatoria = true Lunghezza minima password >= 6 |
Alto |
Impostazioni dei criteri cassetta postale per i dispositivi mobili
La tabella seguente riepiloga le impostazioni che è possibile specificare usando i criteri cassetta postale per dispositivi mobili: Impostazioni dei criteri cassetta postale per dispositivi mobili
| Impostazione | Descrizione |
|---|---|
| Consenti Bluetooth | Questa impostazione consente di specificare se un dispositivo mobile permette di eseguire connessioni Bluetooth. Le opzioni disponibili sono Disabilita, Solo vivavoce e Consenti. Il valore predefinito è Allow. |
| Consenti browser | Questa impostazione specifica se Pocket Internet Explorer è consentito nel dispositivo mobile. Questa impostazione non influisce sui browser di terze parti installati sul dispositivo mobile. Il valore predefinito è $true. |
| Consenti fotocamera | Questa impostazione consente di specificare se è possibile utilizzare la fotocamera del dispositivo mobile. Il valore predefinito è $true. |
| Consenti posta consumer | Questa impostazione consente di specificare se l'utente del dispositivo mobile può configurare un account di posta elettronica personale (POP3 o IMAP4) sul dispositivo mobile. Il valore predefinito è $true. Questa impostazione non controlla l'accesso agli account di posta elettronica che usano programmi di posta elettronica per dispositivi mobili di terze parti. |
| Consenti sincronizzazione desktop | Questa impostazione consente di specificare se il dispositivo mobile può essere sincronizzato con un PC tramite cavo, connessione Bluetooth o IrDA. Il valore predefinito è $true. |
| Consenti gestione dispositivo esterno | Questa impostazione consente di specificare se un programma di gestione dei dispositivi esterni può gestire il dispositivo mobile. |
| Consenti posta HTML | Questa impostazione consente di specificare se i messaggi di posta elettronica sincronizzati con il dispositivo mobile possono essere in formato HTML. Se questa impostazione è impostata su $false, tutti i messaggi di posta elettronica vengono convertiti in testo normale. |
| Consenti condivisione Internet | Questa impostazione consente di specificare se il dispositivo mobile può essere utilizzato come modem per un computer desktop o portatile. Il valore predefinito è $true. |
| AllowIrDA | Questa impostazione consente di specificare se le connessioni a infrarossi sono consentite sul dispositivo mobile. |
| Consenti aggiornamento OTA mobile | Questa impostazione consente di specificare se le impostazioni dei criteri cassetta postale dei dispositivi mobili possono essere inviate al dispositivo mobile su una connessione dati cellulare. Il valore predefinito è true. |
| Consenti dispositivi senza provisioning | Questa impostazione specifica se i dispositivi mobili che potrebbero non supportare l'applicazione di tutte le impostazioni dei criteri possono connettersi a Office 365 usando Exchange ActiveSync. L'accettazione di dispositivi mobili non soggetti a provisioning comporta implicazioni a livello di sicurezza. Ad esempio, alcuni dispositivi non con provisioning potrebbero non essere in grado di implementare i requisiti delle password di un'organizzazione. |
| Consenti POPIMAPEmail | Questa impostazione consente di specificare se l'utente può configurare un account di posta elettronica POP3 o IMAP4 sul dispositivo mobile. Il valore predefinito è $true. Questa impostazione non controlla l'accesso da parte di programmi di posta elettronica di terze parti. |
| Consenti desktop remoto | Questa impostazione consente di specificare se il dispositivo mobile può avviare una connessione desktop remoto. Il valore predefinito è $true. |
| Consenti password semplice | Questa impostazione consente di abilitare o disabilitare l'utilizzo di una password semplice come 1111 o 1234. Il valore predefinito è $true. |
| Consenti negoziazione algoritmo di crittografia S/MIME | Questa impostazione specifica se l'applicazione di messaggistica nel dispositivo mobile può negoziare l'algoritmo di crittografia se il certificato di un destinatario non supporta l'algoritmo di crittografia specificato. |
| Consenti certificati software S/MIME | Questa impostazione consente di specificare se i certificati software S/MIME sono consentiti o meno sul dispositivo mobile. |
| Consenti scheda di memoria | Questa impostazione consente di specificare se il dispositivo mobile può accedere alle informazioni archiviate su una scheda di memoria. |
| Consenti invio messaggi di testo | Questa impostazione consente di specificare se è consentito inviare messaggi di testo dal dispositivo mobile. Il valore predefinito è $true. |
| Consenti applicazioni non firmate | Questa impostazione consente di specificare se è possibile installare applicazioni non firmate sul dispositivo mobile. Il valore predefinito è $true. |
| Consenti pacchetti di installazione non firmati | Questa impostazione consente di specificare se è possibile eseguire un pacchetto di installazione non firmato sul dispositivo mobile. Il valore predefinito è $true. |
| Consenti Wi-Fi | Questa impostazione consente di specificare se l'accesso Internet wireless è consentito sul dispositivo mobile. Il valore predefinito è $true. |
| Password alfanumerica obbligatoria | Questa impostazione richiede una password con caratteri numerici e non numerici. Il valore predefinito è $true. |
| Elenco applicazioni approvate | Questa impostazione consente di archiviare un elenco di applicazioni approvate che è possibile eseguire sul dispositivo mobile. |
| Allegati abilitati | Questa impostazione consente di abilitare il download degli allegati nel dispositivo mobile. Il valore predefinito è $true. |
| Crittografia del dispositivo abilitata | Questa impostazione consente di abilitare la crittografia nel dispositivo mobile. Non tutti i dispositivi mobili possono imporre la crittografia. Per ulteriori informazioni, vedere la documentazione del dispositivo e del sistema operativo per dispositivi mobili. |
| Intervallo di aggiornamento criteri del dispositivo | Questa impostazione consente di specificare la frequenza con cui i criteri cassetta postale dei dispositivi mobili vengono inviati dal server al dispositivo mobile. |
| IRM abilitato | Questa impostazione consente di specificare se Information Rights Management (IRM) è abilitato sul dispositivo mobile. |
| Dimensione massima allegati | Questa impostazione consente di controllare la dimensione massima degli allegati che possono essere scaricati sul dispositivo mobile. Il valore predefinito è Unlimited. |
| Filtro intervallo calendario massimo | Questa impostazione consente di specificare l'intervallo massimo di giorni del calendario sincronizzabili nel dispositivo mobile. Sono consentiti i seguenti valori: Tutti TwoWeeks OneMonth Tre mesi SixMonths |
| Filtro intervallo posta elettronica massimo | Questa impostazione specifica il numero massimo di giorni per la sincronizzazione degli elementi di posta elettronica con il dispositivo mobile. Sono consentiti i seguenti valori: Tutti OneDay Tre giorni OneWeek TwoWeeks OneMonth |
| Dimensione massima troncamento corpo posta elettronica | Questa impostazione consente di specificare la dimensione massima raggiunta la quale i messaggi di posta elettronica vengono troncati quando sincronizzati nel dispositivo mobile. Il valore è espresso in "kilobyte (KB)". |
| Dimensione massima troncamento corpo HTML posta elettronica | Questa impostazione consente di specificare la dimensione massima raggiunta la quale i messaggi di posta elettronica HTML vengono troncati quando sincronizzati nel dispositivo mobile. Il valore è espresso in "kilobyte (KB)". |
| Tempo massimo di inattività prima del blocco | Questo valore specifica il periodo di tempo per il quale il dispositivo mobile può essere inattivo prima che venga richiesta una password per riattivarla. È possibile immettere qualsiasi intervallo compreso tra 30 secondi e 1 ora. Il valore predefinito è 15 minuti. |
| Numero massimo tentativi password non riusciti | Questa impostazione specifica il numero di tentativi che un utente può eseguire per immettere la password corretta per il dispositivo mobile. È possibile immettere qualsiasi numero compreso tra 4 e 16. Il valore predefinito è 8. |
| Numero minimo di caratteri complessi nella password | Questa impostazione specifica il numero minimo di caratteri complessi necessari nella password del dispositivo mobile. Un carattere complesso è un carattere che non è una lettera. |
| Lunghezza minima password | Questa impostazione consente di specificare il numero minimo di caratteri nella password del dispositivo mobile. È possibile immettere qualsiasi numero compreso tra 1 e 16. Il valore predefinito è 4. |
| Password abilitata | Questa impostazione consente di abilitare la password del dispositivo mobile. |
| Scadenza password | Questa impostazione consente all'amministratore di configurare un intervallo di tempo trascorso il quale la password del dispositivo mobile deve essere modificata. |
| Cronologia password | Questa impostazione consente di specificare il numero di password già utilizzate che è possibile memorizzare nella cassetta postale dell'utente. L'utente non può riutilizzare una password memorizzata. |
| Ripristino password abilitato | Quando questa impostazione è abilitata, il dispositivo mobile genera una password di ripristino che viene inviata al server. Se la password del dispositivo mobile viene dimenticata, è possibile utilizzare la password di ripristino per sbloccare il dispositivo mobile e abilitare la creazione di una nuova password. |
| Richiedi crittografia dispositivo | Questa impostazione consente di specificare se è richiesta la crittografia. Se impostato su $true, il dispositivo mobile deve essere in grado di supportare e implementare la crittografia per la sincronizzazione con il server. |
| Richiedi messaggi S/MIME crittografati | Questa impostazione consente di specificare se i messaggi S/MIME devono essere crittografati. Il valore predefinito è $false. |
| Richiedi algoritmo di crittografia S/MIME | Questa impostazione specifica l'algoritmo da usare durante la crittografia dei messaggi S/MIME. |
| Richiedi sincronizzazione manuale durante il roaming | Questa impostazione consente di specificare se il dispositivo mobile deve essere sincronizzato manualmente durante il roaming. Consentire la sincronizzazione automatica durante il roaming comporta spesso costi di dati superiori al previsto per il piano dati del dispositivo mobile. |
| Richiedi algoritmo S/MIME firmato | Questa impostazione specifica l'algoritmo da utilizzare durante la firma di un messaggio. |
| Richiedi messaggi S/MIME firmati | Questa impostazione consente di specificare se il dispositivo mobile deve inviare messaggi S/MIME firmati. |
| Richiedi crittografia della scheda di memoria | Questa impostazione consente di specificare se la scheda di memoria deve essere crittografata. Non tutti i sistemi operativi di dispositivi mobili supportano la crittografia della scheda di memoria. Per ulteriori informazioni, vedere la documentazione del dispositivo mobile e del sistema operativo per dispositivi mobili. |
| Elenco applicazioni InROM non approvate | Questa impostazione consente di specificare un elenco di applicazioni che non possono essere eseguite nella ROM. |
Gestione dei criteri cassetta postale dei dispositivi mobili
I criteri cassetta postale per dispositivi mobili possono essere creati, modificati o eliminati nell'interfaccia di amministrazione di Exchange o Exchange Online PowerShell. Se si crea un criterio in EAC, è possibile configurare solo un sottoinsieme delle impostazioni disponibili. È possibile configurare le altre impostazioni usando Exchange Online PowerShell.
Che cosa è necessario sapere prima di iniziare?
Tempo stimato per il completamento: 15 minuti.
Devi disporre delle autorizzazioni per poter eseguire queste procedure. Per informazioni sulle autorizzazioni necessarie, vedere la funzionalità "Dispositivi mobili" nell'articolo Autorizzazioni per le funzionalità in Exchange Online.
Per informazioni su come aprire l'interfaccia di amministrazione di Exchange, vedere Interfaccia di amministrazione di Exchange in Exchange Online. Per informazioni su come connettersi a Exchange Online PowerShell, vedere Connettersi a Exchange Online PowerShell.
Per informazioni sui tasti di scelta rapida che possono essere applicati alle procedure in questo articolo, vedere Tasti di scelta rapida per l'interfaccia di amministrazione di Exchange.
Creazione di un nuovo criterio della cassetta postale dei dispositivi mobili
Creazione di un nuovo criterio cassetta postale per il dispositivo mobile tramite EAC
Nell'interfaccia di amministrazione di Exchange passare aCriteri cassetta postale per dispositivimobili> e quindi selezionare Nuova
Nella pagina Nuovi criteri cassetta postale per dispositivi mobili usare le varie caselle di controllo e gli elenchi a discesa per configurare le impostazioni per le sezioni seguenti:
- Creazione di un criterio
- Aggiungere le impostazioni di sicurezza
- Rivedere e completare
Selezionare Crea.
Avviso
Selezionare Questo è il criterio predefinito per fare in modo che il nuovo criterio cassetta postale per dispositivi mobili sia quello predefinito. Dopo aver creato un criterio cassetta postale per dispositivi mobili come criterio predefinito, a tutti i nuovi utenti viene assegnato automaticamente questo criterio al momento della creazione.
Usare il Exchange Online PowerShell per creare un nuovo criterio cassetta postale per dispositivi mobili
È possibile creare un nuovo criterio cassetta postale per dispositivi mobili usando il cmdlet New-MobileDeviceMailboxPolicy .
Nel Exchange Online PowerShell eseguire il comando seguente:
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
Come verificare se l'operazione ha avuto esito positivo
Per verificare la corretta creazione del criterio cassetta postale per il dispositivo mobile, utilizzare una delle seguenti opzioni:
Nell'interfaccia di amministrazione di Exchange passare aCriteri cassetta postale per dispositivi mobili> mobili e verificare che i nuovi criteri siano visualizzati nella visualizzazione Elenco.
Nel Exchange Online PowerShell eseguire il comando seguente:
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Per altre informazioni su questo cmdlet, vedere Get-MobileDeviceMailboxPolicy.
Modifica di un criterio cassetta postale per il dispositivo mobile tramite EAC
Nota
In Interfaccia di amministrazione di Exchange è possibile modificare solo un sottoinsieme di impostazioni del criterio cassetta postale per il dispositivo mobile. Per modificare tutte le impostazioni dei criteri cassetta postale per dispositivi mobili, è necessario usare il Exchange Online PowerShell.
Nell'interfaccia di amministrazione di Exchange passare aCriteri cassetta postale per dispositivi mobili>.
Selezionare un criterio nella visualizzazione Elenco e quindi selezionare
Utilizzare le schede Generale e Protezione per modificare le impostazioni del criterio cassetta postale del dispositivo mobile.
Selezionare Salva per aggiornare i criteri.
Usare il Exchange Online PowerShell per modificare le impostazioni dei criteri cassetta postale dei dispositivi mobili
È possibile modificare un criterio cassetta postale per dispositivi mobili usando il cmdlet Set-MobileDeviceMailboxPolicy .
- Nel Exchange Online PowerShell eseguire il comando seguente:
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
Come verificare se l'operazione ha avuto esito positivo
Per verificare di aver modificato correttamente i criteri cassetta postale di un dispositivo mobile, eseguire una delle operazioni seguenti:
Nell'interfaccia di amministrazione di Exchange passare aCriteri cassetta postale per dispositivi mobili> mobili e quindi scegliere un criterio specifico. Nel riquadro che mostra i dettagli dei criteri cassetta postale verranno visualizzate diverse impostazioni dei criteri elencate.
In Exchange Online PowerShell eseguire il comando seguente.
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Per altre informazioni su questo cmdlet, vedere Get-MobileDeviceMailboxPolicy.