Политики почтовых ящиков мобильных устройств в Exchange Online
В Microsoft 365 или Office 365 можно создать политики почтовых ящиков мобильных устройств, чтобы применить общий набор политик или параметров безопасности к коллекции пользователей. Политика почтовых ящиков мобильных устройств по умолчанию создается в каждой организации Microsoft 365 или Office 365.
Обзор политик почтовых ящиков мобильных устройств
Политики почтовых ящиков мобильных устройств можно использовать для управления множеством различных параметров. К этим параметрам относятся:
- Требование ввести пароль
- Минимальная длина пароля
- Разрешение числового ПИН-кода или требование специальных символов в пароле
- Назначение периода бездействия устройства перед требованием повторного ввода пароля
- Очистка устройства после указанного количества неудачных попыток ввести пароль
Параметры пароля мобильного устройства и биометрические данные
Многие мобильные устройства поддерживают биометрические данные, такие как Apple Touch ID или Face ID. Политики почтовых ящиков мобильных устройств Exchange не определяют, можно ли использовать биометрические данные вместо ввода ПИН-кода устройства. Политики почтовых ящиков мобильных устройств можно настроить для требования ПИН-кода устройства, но затем пользователи определяют, используют ли они биометрические данные после выполнения требования к ПИН-коду устройства.
Клиентам, которым требуется расширенный контроль над использованием биометрии, следует рассмотреть решения для регистрации устройств, такие как Microsoft Intune. Дополнительные сведения см. в статье Развертывание параметров конфигурации приложений Outlook для iOS и Android.
Параметры пароля мобильного устройства и Android
Android 9.0 и более ранних версий используют функции администрирования устройств Android для управления параметрами паролей устройств, определенными в политике почтовых ящиков мобильных устройств.
В Android 10.0 и более поздних версиях Android удалила функции администрирования устройств. Вместо этого приложения, которым требуется блокировка экрана, запрашивают сложность блокировки экрана устройства (или рабочего профиля) с помощью API getPasswordComplexity . Приложения, которым требуется более надежная блокировка экрана, направляют пользователя к системным параметрам блокировки экрана , позволяя пользователю обновить параметры безопасности, чтобы они соответствовали требованиям. Приложение не знает пароль пользователя; приложению известно только уровень сложности пароля. Android поддерживает следующие четыре уровня сложности пароля:
| Уровень сложности пароля | Требования к паролям |
|---|---|
| Нет | Требования к паролю не настроены. |
| Низкая | Пароль может быть шаблоном или ПИН-кодом с повторяющимися последовательности (4444) или упорядоченными (1234, 4321, 2468). |
| Средняя | Пароли, соответствующие одному из следующих критериев:
|
| Высокая | Пароли, соответствующие одному из следующих критериев:
|
Уровни сложности паролей Android сопоставляются со следующими параметрами политики почтовых ящиков мобильных устройств Exchange:
| Параметр политики почтового ящика мобильных устройств | Уровень сложности пароля Android |
|---|---|
| Пароль включен = false | Нет |
| Разрешить простой пароль = true Минимальная длина < пароля 4 |
Низкая |
| Требуется буквенно-цифровой пароль = false Минимальная длина >пароля = 4 Минимальная длина < пароля 8 |
Средняя |
| Требуется буквенно-цифровой пароль = true Минимальная длина < пароля 6 |
Средняя |
| Требуется буквенно-цифровой пароль = false Минимальная длина >пароля = 8 |
Высокая |
| Требуется буквенно-цифровой пароль = true Минимальная длина >пароля = 6 |
Высокая |
Параметры политики почтовых ящиков мобильного устройства
В следующей таблице перечислены параметры, которые можно указать с помощью политик почтовых ящиков мобильных устройств: Параметры политики почтовых ящиков мобильных устройств
| Setting | Описание |
|---|---|
| Разрешить Bluetooth | Данный параметр определяет, будет ли мобильное устройство принимать подключения Bluetooth. Доступные параметры : Отключить, Только HandsFree и Разрешить. Значение по умолчанию — Allow. |
| Разрешить браузер | Этот параметр определяет, разрешен ли на мобильном устройстве браузер Pocket Internet Explorer. Этот параметр не влияет на браузеры сторонних производителей, установленные на мобильном устройстве. Значение по умолчанию — $true. |
| Разрешить камеру | Этот параметр определяет, можно ли использовать камеру мобильного устройства. Значение по умолчанию — $true. |
| Разрешить пользовательскую электронную почту | Этот параметр определяет, может ли пользователь настраивать личную учетную запись электронной почты (POP3 или IMAP4) на мобильном устройстве. Значение по умолчанию — $true. Этот параметр не контролирует доступ посторонних почтовых программ для мобильных устройств к электронной почте. |
| Разрешить синхронизацию с настольным ПК | Этот параметр определяет, может ли мобильное устройство синхронизироваться с настольным компьютером через кабель, порт IrDA или Bluetooth. Значение по умолчанию — $true. |
| Разрешить управление внешним устройством | Этот параметр определяет, разрешено ли внешней программе управления устройствами управлять мобильным устройством. |
| Разрешить сообщения электронной почты в формате HTML | Этот параметр определяет, может ли электронная почта при синхронизации с мобильным устройством сохранять формат HTML. Если для этого параметра задано значение $false, все сообщения электронной почты преобразуются в обычный текст. |
| Разрешить общий доступ к Интернету | Этот параметр определяет, можно ли использовать мобильное устройство в качестве модема для настольного или портативного компьютера. Значение по умолчанию — $true. |
| AllowIrDA | Этот параметр определяет, разрешены ли на мобильном устройстве инфракрасные соединения. |
| Разрешить обновление Mobile OTA | Этот параметр определяет, можно ли отправлять параметры политики почтового ящика мобильного устройства на мобильное устройство через мобильное подключение. Значение по умолчанию — true. |
| Разрешить неинициализируемые устройства | Этот параметр указывает, разрешено ли мобильным устройствам, поддерживающим применение всех параметров политики, подключаться к Office 365 с помощью Exchange ActiveSync. Использование неинициализируемых мобильных устройств представляет угрозы для безопасности. Например, некоторые неинициализируемые устройства могут не применять требования организации к паролям. |
| Разрешить POPIMAPEmail | Этот параметр определяет, может ли пользователь настроить на мобильном устройстве учетную запись электронной почты POP3 или IMAP4. Значение по умолчанию — $true. Этот параметр не управляет доступом посторонних почтовых программ. |
| Разрешить подключение к удаленному рабочему столу | Этот параметр определяет, может ли мобильное устройство инициировать подключение к удаленному рабочему столу. Значение по умолчанию — $true. |
| Разрешить использовать простой пароль | Этот параметр включает или отключает функцию использования простого пароля, например "1111" или "1234". Значение по умолчанию — $true. |
| Разрешить согласование алгоритма шифрования S/MIME | Этот параметр указывает, может ли приложение для обмена сообщениями на мобильном устройстве согласовывать алгоритм шифрования, если сертификат получателя не поддерживает указанный алгоритм шифрования. |
| Разрешить сертификаты программного обеспечения S/MIME | Этот параметр определяет, разрешены ли на мобильном устройстве сертификаты программного обеспечения S/MIME. |
| Разрешить карты памяти | Этот параметр определяет, позволяет ли мобильное устройство получать доступ к сведениям, которые хранятся на карте памяти. |
| Разрешить обмен текстовыми сообщениями | Этот параметр указывает, разрешен ли для мобильного устройства обмен текстовыми сообщениями. Значение по умолчанию — $true. |
| Разрешить неподписанные приложения | Этот параметр указывает, можно ли устанавливать на мобильное устройство неподписанные приложения. Значение по умолчанию — $true. |
| Разрешить неподписанные установочные пакеты | Этот параметр указывает, можно ли запускать на мобильном устройстве неподписанные установочные пакеты. Значение по умолчанию — $true. |
| Разрешить Wi-Fi | Этот параметр указывает, разрешен ли для мобильного устройства беспроводной доступ к Интернету. Значение по умолчанию — $true. |
| Требовать ввода буквенно-цифрового пароля | Этот параметр требует, чтобы пароль содержал не только цифры, но и другие символы. Значение по умолчанию — $true. |
| Список одобренных приложений | Этот параметр содержит список одобренных приложений, которые можно запускать на мобильном устройстве. |
| Вложения разрешены | Этот параметр разрешает загрузку вложений на мобильное устройство. Значение по умолчанию — $true. |
| Шифрование устройства включено | Этот параметр включает шифрование на мобильном устройстве. Не все мобильные устройства могут поддерживать шифрование. Дополнительные сведения см. в документации на устройство и операционную систему. |
| Интервал обновления политики устройства | Этот параметр указывает частоту, с которой политики почтового ящика мобильного устройства отправляется с сервера на мобильное устройство. |
| Служба IRM включена | Этот параметр указывает, включена ли служба управления правами доступа к данным (IRM) на мобильном устройстве. |
| Максимальный размер вложения | Этот параметр контролирует максимальный размер вложений, которые могут быть загружены на мобильное устройство. Значение по умолчанию — Unlimited. |
| Фильтр максимального времени хранения календаря | Этот параметр задает максимальный диапазон дней календаря, который можно синхронизировать с мобильным устройством. Допустимы следующие значения: Все Две недели OneMonth Тримесяца SixMonths |
| Фильтр максимального времени хранения электронной почты | Этот параметр задает максимальное количество дней для синхронизации элементов электронной почты с мобильным устройством. Допустимы следующие значения: Все OneDay ThreeDays OneWeek Две недели OneMonth |
| Максимальный размер усечения текста сообщений электронной почты | Этот параметр задает максимальный размер сообщений электронной почты, при котором они усекаются во время синхронизации с мобильным устройством. Значение в "килобайтах (КБ)". |
| Максимальный размер текста сообщений электронной почты в формате HTML | Этот параметр задает максимальный размер сообщений электронной почты в формате HTML, при котором они усекаются во время синхронизации с мобильным устройством. Значение в "килобайтах (КБ)". |
| Максимальное время простоя до блокировки | Это значение указывает время, в течение которого мобильное устройство может быть неактивным, прежде чем пароль потребуется для его повторной активации. Можно ввести любой интервал между 30 секундами и 1 часом. Значение по умолчанию — 15 минут. |
| Максимальное количество неудачных попыток ввода пароля | Этот параметр указывает число попыток ввода правильного пароля для мобильного устройства. Можно ввести любое число от 4 до 16. Значение по умолчанию — 8. |
| Минимальное количество сложных символов в пароле | Этот параметр задает минимальное количество сложных символов, необходимых в пароле мобильного устройства. Сложный символ — это символ, который не является буквой. |
| Минимальная длина пароля | Этот параметр указывает минимальное число знаков в пароле мобильного устройства. Можно ввести любое число от 1 до 16. Значение по умолчанию — 4. |
| Пароль включен | Этот параметр включает пароль мобильного устройства. |
| Срок действия пароля | Этот параметр позволяет администратору настроить временной интервал, по истечении которого необходимо изменить пароль мобильного устройства. |
| Журнал пароля | Этот параметр определяет число использовавшихся паролей, хранящихся в почтовом ящике пользователя. Пользователь не может использовать сохраненный пароль повторно. |
| Восстановление пароля включено | При включении этого параметра на мобильном устройстве создается пароль для восстановления, который отправляется на сервер. Если пользователь забыл пароль мобильного устройства, чтобы разблокировать мобильное устройство и разрешить пользователю создать новый пароль, можно использовать пароль для восстановления. |
| Требовать шифрование устройства | Этот параметр определяет, необходимо ли шифрование для устройства. Если задано значение $true, мобильное устройство должно поддерживать и реализовывать шифрование для синхронизации с сервером. |
| Требовать шифрование сообщений S/MIME | Этот параметр определяет, необходимо ли шифровать сообщения S/MIME. Значение по умолчанию — $false. |
| Требовать алгоритм шифрования S/MIME | Этот параметр задает алгоритм, используемый при шифровании сообщений S/MIME. |
| Требовать при роуминге выполнение синхронизации вручную | Этот параметр указывает, должно ли мобильное устройство синхронизироваться вручную при роуминге. Разрешение автоматической синхронизации в роуминге часто приводит к большим, чем ожидалось, затратам на данные для плана передачи данных мобильного устройства. |
| Требовать подписанный алгоритм S/MIME | Этот параметр задает алгоритм, используемый при подписи сообщения. |
| Требовать подписанные сообщения S/MIME | Этот параметр указывает, должно ли мобильное устройство отправлять подписанные сообщения S/MIME. |
| Требовать шифрование карты памяти | Этот параметр определяет, необходимо ли шифровать карту памяти. Не все операционные системы для мобильных устройств поддерживают шифрование карт памяти. Дополнительные сведения см. в документации к мобильному устройству и операционной системе. |
| Список недопустимых приложений в ПЗУ | Этот параметр содержит список приложений, которые невозможно запускать в ПЗУ. |
Управление политиками почтовых ящиков мобильных устройств
Политики почтовых ящиков мобильных устройств можно создавать, изменять или удалять в Центре администрирования Exchange (EAC) или Exchange Online PowerShell. В Центре администрирования Exchange можно настроить только часть доступных параметров. Остальные параметры можно настроить с помощью Exchange Online PowerShell.
Что нужно знать перед началом работы
Предполагаемое время выполнения: 15 минут.
Для выполнения этой процедуры (процедур) необходимы соответствующие разрешения. Сведения о необходимых разрешениях см. в разделе "Мобильные устройства" статьи Разрешения функций в Exchange Online.
Сведения об открытии Центра администрирования Exchange см. в разделе Центр администрирования Exchange в Exchange Online. Сведения о подключении к Exchange Online PowerShell см. в разделе Подключение к Exchange Online PowerShell.
Сведения о сочетаниях клавиш, которые могут применяться к процедурам, описанным в этой статье, см. в разделе Сочетания клавиш для Центра администрирования Exchange.
Создание политики почтовых ящиков мобильных устройств
Использование Центра администрирования Exchange для создания новой политики почтовых ящиков мобильного устройства
В EAC перейдите кразделу Политика почтовых ящиковмобильных> устройств, а затем нажмите кнопку Создать
На странице Сведения о политике нового почтового ящика мобильных устройств используйте различные флажки и раскрывающийся список, чтобы настроить параметры для следующих разделов:
- Создание политики
- Добавление параметров безопасности
- Проверка и завершение
Нажмите Создать.
Предупреждение
Выберите Это политика по умолчанию , чтобы сделать новую политику мобильных почтовых ящиков по умолчанию. После того как вы сделаете политику мобильного почтового ящика политикой по умолчанию, все новые пользователи автоматически назначаются этой политике при их создании.
Создание политики почтовых ящиков мобильных устройств с помощью PowerShell Exchange Online
Вы можете создать новую политику почтовых ящиков мобильных устройств с помощью командлета New-MobileDeviceMailboxPolicy .
В Exchange Online PowerShell выполните следующую команду:
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
Как проверить, все ли получилось?
Чтобы проверить, успешно ли создана политика почтовых ящиков мобильного устройства, выполните одно из указанных ниже действий.
В EAC перейдите в разделПолитика почтовых ящиковмобильных> устройств и убедитесь, что новая политика отображается в представлении списка.
В Exchange Online PowerShell выполните следующую команду:
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Дополнительные сведения об этом командлете см. в разделе Get-MobileDeviceMailboxPolicy.
Использование Центра администрирования Exchange для изменения политики почтовых ящиков мобильного устройства
Примечание.
В Центре администрирования Exchange можно изменить только некоторые параметры политики почтовых ящиков мобильного устройства. Чтобы изменить все параметры политики почтовых ящиков мобильных устройств, необходимо использовать Exchange Online PowerShell.
В EAC перейдите к разделу Политикапочтовых ящиков мобильных> устройств.
Выберите политику в представлении списка, а затем щелкните Изменить
На вкладках Общие и Безопасность измените параметры политики почтовых ящиков мобильного устройства.
Нажмите кнопку Сохранить , чтобы обновить политику.
Изменение параметров политики почтовых ящиков мобильных устройств с помощью Exchange Online PowerShell
Политику почтовых ящиков мобильных устройств можно изменить с помощью командлета Set-MobileDeviceMailboxPolicy .
- В Exchange Online PowerShell выполните следующую команду:
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
Как проверить, все ли получилось?
Чтобы убедиться, что политика почтовых ящиков мобильных устройств успешно изменена, выполните одно из следующих действий.
В EAC перейдите в разделПолитика почтовых ящиковмобильных> устройств и выберите определенную политику. В области, где отображаются сведения о политике почтового ящика, вы увидите ряд параметров политики.
В Exchange Online PowerShell выполните следующую команду.
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
Дополнительные сведения об этом командлете см. в разделе Get-MobileDeviceMailboxPolicy.