管理适用于 Exchange Server 的 Outlook for iOS 和 Outlook for Android 设备
重要
Outlook for iOS 和 Android 支持本地邮箱的混合新式身份验证,无需利用基本身份验证。 本文中包含的信息仅涉及基本身份验证。 有关详细信息,请参阅 将混合新式身份验证与 Outlook for iOS 和 Android 配合使用。
Microsoft 建议使用 Exchange ActiveSync 管理用于访问本地环境中的 Exchange 邮箱的移动设备。 Exchange ActiveSync 是一种 Microsoft Exchange 同步协议,它允许移动电话访问运行 Microsoft Exchange 的服务器上的组织信息。
本文重点介绍使用基本身份验证进行身份验证时运行 Outlook for iOS 和 Android 的移动设备的特定Exchange ActiveSync功能和方案。 Exchange ActiveSync 中提供了有关 Microsoft Exchange 同步协议的完整信息。 此外,Office 博客上还详细介绍了对运行 Outlook for iOS 和 Android 的设备使用Exchange ActiveSync的密码强制实施和其他好处。
移动设备邮箱策略
Outlook for iOS 和 Android 支持 Exchange 本地中的以下移动设备邮箱策略设置:
启用设备加密
仅在 Android) 上 (最小密码长度
启用密码
允许用于管理 Outlook for Android 可穿戴应用的蓝牙 ()
当启用 AllowBluetooth (默认行为) 或配置为 HandsfreeOnly 时,工作或学校帐户允许 Android 设备上的 Outlook 与可穿戴式 Outlook 之间的可穿戴同步。
禁用 AllowBluetooth 后,Android 版 Outlook 将禁用 Android 设备上的 Outlook 与可穿戴式 Outlook 之间的同步, (指定工作或学校帐户,并删除以前为帐户) 同步的所有数据。 禁用同步完全在 Outlook 内部控制;蓝牙未在设备或可穿戴设备上禁用,任何其他可穿戴应用也不会受到影响。
注意
Outlook for Android 将从 8 月底开始推出对 AllowBluetooth 设置的支持。
有关如何创建或修改现有移动设备邮箱策略的信息,请参阅 移动设备邮箱策略。
PIN 锁定和设备加密
如果组织的 Exchange ActiveSync 策略要求提供移动设备的密码,以便用户同步电子邮件,则 Outlook 将在设备级别强制实施此策略。 根据 Apple 和 Google 提供的可用控件,该操作在 iOS 设备和 Android 设备之间的工作方式不同。
在 iOS 设备上,Outlook 会检查以确保正确设置密码或 PIN。 如果未设置密码,Outlook 会提示用户在 iOS 设置中创建密码。 在设置密码之前,用户将无法访问 Outlook for iOS。
在 Android 设备上,Outlook 将强制执行屏幕锁定规则。 此外,Google 还提供了一些控件,可允许 Outlook for Android 遵守有关密码长度和复杂性的 Exchange 策略,并控制在擦除手机前允许的屏幕解锁尝试次数。 Outlook for Android 也会鼓励存储加密(如果未启用),通过逐步演练指导用户完成此过程。
不支持这些密码安全设置的 iOS 和 Android 设备将无法连接到 Exchange 邮箱。
设备加密
iOS 设备附带内置加密,启用密码后,Outlook 会使用该加密来加密 Outlook 在本地存储在 iOS 设备上的所有数据。 因此,无论 ActiveSync 策略是否需要,带 PIN 的 iOS 设备都将被加密。
Outlook for Android 支持通过 Exchange 移动设备邮箱策略进行设备加密。 但是,在 Android 7.0 之前,此过程的可用性和实现因 Android OS 版本和设备制造商而异,这允许用户在加密过程中取消。 随着 Google 向 Android 7.0 引入的更改,Outlook for Android 现在可以在运行 Android 7.0 或更高版本的设备上强制加密。 设备运行这些操作系统的用户将无法取消加密过程。
即使 Android 设备未加密并且攻击者拥有该设备,只要启用设备 PIN,攻击者仍然无法访问 Outlook 数据库。 即使启用了 USB 调试并安装了 Android SDK 也是如此。 如果攻击者尝试 root 此设备,以绕过 PIN 来获取此信息的访问权限,则 root 进程将擦除所有设备存储并删除所有 Outlook 数据。 如果设备在被盗前未加密并由用户进行 root,则攻击者可能通过在设备上启用 USB 调试并将设备插入安装了 Android SDK 的计算机,来获取 Outlook 数据库的访问权限。
通过 Exchange ActiveSync 进行远程擦除
Exchange ActiveSync使管理员能够远程擦除设备,例如设备是否遭到入侵或丢失/被盗。 对于 Outlook for iOS 和 Android,远程擦除仅擦除 Outlook 应用本身中的数据,不会触发完整的设备擦除。
有关详细信息 ,请参阅在移动电话上执行远程擦除 。
设备访问策略
应默认启用 Outlook for iOS 和 Android,但在某些现有的 Exchange 本地环境中,应用可能会因各种原因而被阻止。 组织决定标准化用户如何访问 Exchange 数据,并将 Outlook for iOS 和 Outlook for Android 用作最终用户的唯一电子邮件应用程序后,你可以为运行于用户 iOS 和 Android 设备上的其他电子邮件应用配置阻止。 在本地 Exchange 中设置这些块有两个选项:第一个选项阻止所有设备,并且仅允许使用 Outlook for iOS 和 Android;第二个选项允许阻止单个设备使用本机Exchange ActiveSync应用。
注意
由于设备 ID 不受任何物理设备 ID 约束,设备 ID 可自行更改。 出现这种情况时,如果将设备 ID 用于管理用户设备,则会造成意想不到的后果,因为 Exchange 可能会意外地阻止或隔离现有的“允许”设备。 因此,Microsoft 建议管理员仅根据设备类型或设备型号设置允许/阻止设备的移动设备访问策略。
选项 1:阻止除 Outlook for iOS 和 Android 之外的所有电子邮件应用
可以使用以下 Exchange 本地 PowerShell 命令定义默认阻止规则,然后为 Outlook for iOS 和 Android 以及 Windows 设备配置允许规则。 此配置将阻止任何Exchange ActiveSync本机应用连接,并且仅允许 Outlook for iOS 和 Android。
创建默认阻止规则:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block为 Outlook for iOS 和 Outlook for Android 创建允许规则
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow可选:创建允许 Windows 设备上的 Outlook 进行Exchange ActiveSync连接的规则 (WindowsMail 引用Windows 10) 中包含的邮件应用:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
选项 2:在 Android 和 iOS 设备上阻止本机 Exchange ActiveSync 应用
或者,可以在特定 Android 和 iOS 设备或其他类型的设备上阻止本机 Exchange ActiveSync 应用。
确认存在阻止 Outlook for iOS 和 Outlook for Android 的 Exchange ActiveSync 设备访问规则:
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto如果找到任何阻止 Outlook for iOS 和 Outlook for Android 的设备访问规则,请键入以下内容以将其删除:
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule可以使用以下命令阻止大部分 Android 和 iOS 设备:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block并非所有 Android 设备制造商都将"Android"指定为 DeviceType。 制造商可以为每个版本指定唯一值。 要查找正在访问你的环境的其他 Android 设备,请执行以下命令,以生成具有活跃 Exchange ActiveSync 合作伙伴关系的所有设备报告:
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv根据步骤 3 中的结果创建其他阻止规则。 例如,如果发现环境对 HTCOne Android 设备的使用率较高,则可以创建阻止该特定设备的 Exchange ActiveSync 设备访问规则,强制用户使用 Outlook for iOS 和 Outlook for Android。 在此示例中,你可以键入:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
注意
QueryString 参数不接受通配符或部分匹配。
其他资源:
阻止 Outlook for iOS 和 Outlook for Android
每个 Exchange 组织都具有关于安全和设备管理的不同策略。 如果某个组织认为 Outlook for iOS 和 Outlook for Android 不能满足其需求,或不是其最佳解决方案,管理员可阻止该应用。 阻止应用后,组织内的移动 Exchange 用户可使用 iOS 和 Android 上的内置邮件应用程序继续访问自己的邮箱。
cmdlet New-ActiveSyncDeviceAccessRule 具有参数 Characteristic ,管理员可以使用三 Characteristic 个选项来阻止 Outlook for iOS 和 Android 应用。 选项分别为 UserAgent、DeviceModel 和 DeviceType。 在以下部分中描述的两个阻止选项中,你将使用一个或多个这些特征值来限制 Outlook for iOS 和 Outlook for Android 对组织中邮箱的访问权限。
每个特征的值均将显示在下表中:
| 特征 | 适用于 iOS 的字符串 | 适用于 Android 的字符串 |
|---|---|---|
| DeviceModel | IOS 和 Android 版 Outlook | IOS 和 Android 版 Outlook |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS-Android/1.0 | Outlook-iOS-Android/1.0 |
New-ActiveSyncDeviceAccessRule使用 cmdlet,可以使用 或 DeviceType 特征定义设备访问规则DeviceModel。 在这两种情况下,访问规则会阻止所有平台上的 Outlook for iOS 和 Outlook for Android,并且会阻止 iOS 平台和 Android 平台上的任何设备通过该应用访问 Exchange 邮箱。
以下是设备访问规则的两个示例。 第一个示例使用 DeviceModel 特征;第二个示例使用 DeviceType 特征。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block