Exchange Online 中的移动设备邮箱策略
在 Microsoft 365 或 Office 365 中,可以创建移动设备邮箱策略,以将一组常见的策略或安全设置应用于用户集合。 每个 Microsoft 365 或 Office 365 组织中都会创建一个默认的移动设备邮箱策略。
移动设备邮箱策略概述
您可以使用移动设备邮箱策略管理许多不同的设置。 这些设置包括:
- 要求使用密码
- 指定最小密码长度
- 允许使用数字 PIN 或要求在密码中使用特殊字符
- 指定在要求用户重新输入密码之前设备可以保持非活动状态的时间
- 指定密码尝试失败多少次后擦除设备
移动设备密码设置和生物识别
许多移动设备支持生物识别,例如 Apple Touch ID 或人脸 ID。 Exchange 移动设备邮箱策略无法控制是否可以使用生物识别,而不是键入设备 PIN。 可以将移动设备邮箱策略配置为要求设备 PIN,但用户随后在符合设备 PIN 要求后控制他们是否使用生物识别。
需要对生物识别的使用进行高级控制的客户应考虑设备注册解决方案,例如Microsoft Intune。 有关详细信息,请参阅部署 Outlook for iOS 和 Outlook for Android 应用配置设置。
移动设备密码设置和 Android
Android 9.0 及更早版本利用 Android 的设备管理功能来管理移动设备邮箱策略中定义的设备密码设置。
对于 Android 10.0 及更高版本,Android 已删除设备管理功能。 相反,需要屏幕锁定的应用使用 getPasswordComplexity API 查询设备的 (或工作配置文件) 屏幕锁定复杂性。 需要更强屏幕锁定的应用会将用户定向到 系统屏幕锁定 设置,从而允许用户更新安全设置,使其符合要求。 应用在任何时候都无法识别用户的密码;应用仅知道密码复杂性级别。 Android 支持以下四个密码复杂性级别:
| 密码复杂性级别 | 密码要求 |
|---|---|
| None | 未配置密码要求。 |
| 低 | 密码可以是重复 (4444) 或排序 (1234、4321、2468) 序列的模式或 PIN。 |
| 中 | 满足以下条件之一的密码:
|
| 高 | 满足以下条件之一的密码:
|
Android 的密码复杂性级别映射到以下 Exchange 移动设备邮箱策略设置:
| 移动设备邮箱策略设置 | Android 密码复杂性级别 |
|---|---|
| 密码启用 = false | None |
| 允许简单密码 = true 最小密码长度 < 4 |
低 |
| 需要字母数字密码 = false 最小密码长度 >= 4 最小密码长度 < 8 |
中 |
| 需要字母数字密码 = true 最小密码长度 < 6 |
中 |
| 需要字母数字密码 = false 最小密码长度 >= 8 |
高 |
| 需要字母数字密码 = true 最小密码长度 >= 6 |
高 |
移动设备邮箱策略设置
下表汇总了可以使用移动设备邮箱策略指定的设置: 移动设备邮箱策略设置
| Setting | 说明 |
|---|---|
| 允许蓝牙 | 此设置指定移动设备是否允许建立 Bluetooth 连接。 可用选项包括“禁用”、“仅免提”和“允许”。 默认值为 Allow。 |
| 允许浏览器 | 此设置指定是否允许在移动设备上使用 Pocket Internet Explorer。 此设置不会影响移动设备上安装的第三方浏览器。 默认值为 $true。 |
| 允许照相机 | 此设置指定是否可以使用移动设备上的照相机。 默认值为 $true。 |
| 允许用户电子邮件 | 此设置指定移动设备用户是否可以在移动设备上配置个人电子邮件帐户(POP3 或 IMAP4)。 默认值为 $true。 此设置不控制使用第三方移动设备电子邮件程序对电子邮件帐户的访问。 |
| 允许桌面同步 | 此设置指定移动设备是否可以通过电缆、蓝牙或 IrDA 连接与计算机进行同步。 默认值为 $true。 |
| 允许外部设备管理 | 此设置指定是否允许使用外部设备管理程序来管理移动设备。 |
| 允许 HTML 电子邮件 | 此设置指定同步到移动设备的电子邮件是否可以采用 HTML 格式。 如果此设置设置为 $false,则所有电子邮件都转换为纯文本。 |
| 允许 Internet 共享 | 此设置指定是否可以使用移动设备作为台式机或便携式计算机的调制解调器。 默认值为 $true。 |
| AllowIrDA | 此设置指定移动设备是否允许建立红外连接。 |
| 允许移动 OTA 更新 | 此设置指定是否可以通过手机网络数据连接将移动设备邮箱策略设置发送到移动设备。 默认值为 true。 |
| 允许不可设置的设备 | 此设置指定是否允许可能不支持应用所有策略设置的移动设备使用Exchange ActiveSync连接到Office 365。 允许不可设置的设备会产生安全隐患。 例如,某些不可设置的设备可能无法实现组织的密码要求。 |
| 允许 POP/IMAP 电子邮件 | 此设置指定用户是否可以在移动设备上配置 POP3 或 IMAP4 电子邮件帐户。 默认值为 $true。 此设置不控制第三方电子邮件程序的访问。 |
| 允许远程桌面 | 此设置指定移动设备是否可以启动远程桌面连接。 默认值为 $true。 |
| 允许简单密码 | 此设置启用或禁用诸如 1111 或 1234 这样的简单密码。 默认值为 $true。 |
| 允许 S/MIME 加密算法协商 | 此设置指定移动设备上的邮件应用程序是否可以在收件人的证书不支持指定的加密算法时协商加密算法。 |
| 允许 S/MIME 软件证书 | 此设置指定移动设备上是否允许使用 S/MIME 软件证书。 |
| 允许存储卡 | 此设置指定移动设备是否可以访问存储卡中存储的信息。 |
| 允许短信服务 | 此设置指定是否可以在移动设备上使用短信服务。 默认值为 $true。 |
| 允许未签名应用程序 | 此设置指定是否可以在移动设备上安装未签名的应用程序。 默认值为 $true。 |
| 允许未签名安装程序包 | 此设置指定是否可以在移动设备上运行未签名的安装程序包。 默认值为 $true。 |
| 允许 Wi-Fi | 此设置指定是否允许在移动设备上进行无线 Internet 访问。 默认值为 $true。 |
| 必须是字母数字密码 | 此设置要求密码包含数字和非数字字符。 默认值为 $true。 |
| 已许可应用程序列表 | 此设置存储了可以在移动设备上运行的已许可应用程序的列表。 |
| 启用附件 | 此设置使附件可以下载到移动设备。 默认值为 $true。 |
| 启用设备加密 | 此设置在移动设备上启用加密。 并非所有移动设备都可以强制实行加密。 有关详细信息,请参阅设备和移动操作系统文档。 |
| 设备策略刷新间隔 | 此设置指定从服务器向移动设备发送移动设备邮箱策略的频率。 |
| 启用 IRM | 此设置指定移动设备上是否启用了信息权限管理 (IRM)。 |
| 最大附件大小 | 此设置控制可下载到移动设备的附件的最大大小。 默认值为 Unlimited。 |
| 最长日历期限筛选器 | 此设置指定可同步到移动设备的日历日的最大范围。 接受以下值: 全部 TwoWeeks OneMonth ThreeMonths SixMonths |
| 最长电子邮件期限筛选器 | 此设置指定电子邮件项目同步到移动设备的最大天数。 接受以下值: 全部 OneDay ThreeDays OneWeek TwoWeeks OneMonth |
| 最大电子邮件正文截断大小 | 此设置指定电子邮件在同步到移动设备的过程中被截断的最大大小。 该值以“kb (KB) ”为单位。 |
| 最大电子邮件 HTML 正文截断大小 | 此设置指定 HTML 电子邮件在同步到移动设备的过程中被截断的最大大小。 该值以“kb (KB) ”为单位。 |
| 最大不活动时间锁定 | 此值指定在需要密码才能重新激活移动设备之前处于非活动状态的时间长度。 可以输入 30 秒 到 1 小时之间的任意间隔。 默认值为 15 分钟。 |
| 最大密码失败尝试次数 | 此设置指定用户为移动设备输入正确密码之前可以尝试的次数。 可以输入 4 到 16 的任何数字。 默认值为 8。 |
| 最小密码复杂字符数 | 此设置指定移动设备密码中所需的最小复杂字符数。 复杂字符是一个不是字母的字符。 |
| 最短密码长度 | 此设置指定移动设备密码包含的最小字符数。 可以输入 1 到 16 的任何数字。 默认值为 4。 |
| 启用密码 | 此设置启用移动设备密码。 |
| 密码有效期 | 此设置使管理员可以配置密码更改时长,经过此时长之后必须更改移动设备的密码。 |
| 密码历史记录 | 此设置指定可以存储在用户邮箱中的旧密码数。 用户不能重复使用已存储的密码。 |
| 启用密码恢复 | 启用此设置后,移动设备可以生成恢复密码并发送到服务器。 如果用户忘记自己的移动设备密码,可使用恢复密码解除锁定移动设备,然后可以创建新的移动设备密码。 |
| 要求设备加密 | 此设置指定是否要求设备加密。 如果设置为 $true,则移动设备必须能够支持并实现加密才能与服务器同步。 |
| 要求加密 S/MIME 邮件 | 此设置指定是否必须加密 S/MIME 邮件。 默认值为 $false。 |
| 要求加密 S/MIME 算法 | 此设置指定加密 S/MIME 消息时要使用的算法。 |
| 漫游时要求手动同步 | 此设置指定移动设备漫游时是否必须手动同步。 在漫游时允许自动同步经常会导致移动设备数据计划的数据成本高于预期。 |
| 要求签名 S/MIME 算法 | 此设置指定要在对消息进行签名时使用的算法。 |
| 要求签名 S/MIME 邮件 | 此设置指定移动设备是否必须发送已签名的 S/MIME 邮件。 |
| 要求存储卡加密 | 此设置指定是否必须加密存储卡。 并非所有移动设备操作系统均支持存储卡加密。 有关详细信息,请参阅您的移动设备及移动操作系统的文档。 |
| 未许可的 ROM 中应用程序列表 | 此设置指定不能在 ROM 中运行的应用程序列表。 |
管理移动设备邮箱策略
可以在 Exchange 管理中心 (EAC) 或Exchange Online PowerShell 中创建、修改或删除移动设备邮箱策略。 如果在 EAC 中创建策略,只能配置可用设置的子集。 可以使用 Exchange Online PowerShell 配置其余设置。
开始前,有必要了解什么?
估计完成时间:15 分钟。
你必须先获得权限,然后才能执行此过程或多个过程。 有关所需权限的信息,请参阅 Exchange Online 中的功能权限一文中的“移动设备”功能。
有关如何 (EAC) 打开 Exchange 管理中心的信息,请参阅 Exchange Online 中的 Exchange 管理中心。 有关如何连接到 PowerShell Exchange Online的信息,请参阅连接到 Exchange Online PowerShell。
有关可能适用于本文中的过程的键盘快捷方式的信息,请参阅 Exchange 管理中心的键盘快捷方式。
新建移动设备邮箱策略
使用 EAC 创建新的移动设备邮箱策略
在 EAC 中,转到 “移动>移动设备邮箱策略”,然后选择“ 新建
。在 “新建移动设备邮箱策略 详细信息”页中,使用各种复选框和下拉列表配置以下部分的设置:
- 创建策略
- 添加安全设置
- 审阅并完成
选择“创建”。
警告
选择“ 这是默认策略 ”,使新的移动邮箱策略成为默认策略。 将移动邮箱策略设置为默认策略后,将在创建所有新用户时自动分配此策略。
使用 Exchange Online PowerShell 创建新的移动设备邮箱策略
可以使用 New-MobileDeviceMailboxPolicy cmdlet 创建新的移动设备邮箱策略。
在 PowerShell Exchange Online运行以下命令:
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
如何知道操作成功?
要验证是否已成功创建移动设备邮箱策略,可使用以下选项之一:
在 EAC 中,转到 “移动>移动设备邮箱策略”,并验证新策略是否显示在 “列表 ”视图中。
在 PowerShell Exchange Online运行以下命令:
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
有关此 cmdlet 的详细信息,请参阅 Get-MobileDeviceMailboxPolicy。
使用 EAC 编辑移动设备邮箱策略
注意
只能在 EAC 中编辑一部分移动设备邮箱策略设置。 若要编辑所有移动设备邮箱策略设置,需要使用 powerShell Exchange Online。
在 EAC 中,转到 移动设备>邮箱策略。
从 “列表 ”视图中选择一个策略,然后选择“ 编辑
。使用“常规”和“安全”选项卡来编辑移动设备邮箱策略设置。
选择“ 保存” 以更新策略。
使用 Exchange Online PowerShell 编辑移动设备邮箱策略设置
可以使用 Set-MobileDeviceMailboxPolicy cmdlet 编辑移动设备邮箱策略。
- 在 PowerShell Exchange Online运行以下命令:
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
如何知道操作成功?
若要验证是否已成功编辑移动设备邮箱策略,请执行以下步骤之一:
在 EAC 中,转到 “移动>移动设备邮箱策略”,然后选择特定策略。 在显示邮箱策略详细信息的窗格中,你将看到列出了许多策略设置。
在 Exchange Online PowerShell 中运行以下命令。
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
有关此 cmdlet 的详细信息,请参阅 Get-MobileDeviceMailboxPolicy。