Exchange Server中的行動裝置信箱原則
在Exchange Server中,您可以建立行動裝置信箱原則,將一組常見的原則或安全性設定套用至使用者集合。 在Exchange Server組織中部署Exchange ActiveSync之後,您可以建立新的行動裝置信箱原則或修改現有原則。 當您安裝Exchange Server時,會建立預設的行動裝置信箱原則。 系統會自動將此預設行動裝置信箱原則指派給所有使用者。
行動裝置信箱原則概述
您可以使用行動裝置信箱原則來管理許多不同的設定。 包括下列各項:
- 需要密碼
- 指定密碼長度下限
- 需要在密碼中使用數字或特殊字元
- 指定在要求使用者重新輸入密碼之前,裝置可以維持閒置的時間
- 在密碼錯誤幾次之後清除裝置
如需您可以設定之所有設定的詳細資訊,請參閱行動裝置原則設定。
Exchange 行動裝置信箱原則
Exchange ActiveSync是可讓您同步處理行動裝置與 Exchange 信箱的用戶端通訊協定。 當您安裝 Exchange Server 時,預設會啟用Exchange ActiveSync。
您可以在 Exchange 系統管理中心 (EAC) 或 Exchange 管理命令介面中建立行動裝置信箱原則。 如果您在 EAC 中建立原則,則只能設定可用設定的子集。 您可以使用 Exchange 管理命令介面來設定其餘設定。
行動裝置密碼設定和生物特徵辨識
許多行動裝置都支援生物特徵辨識,例如 Apple Touch 識別碼或臉部識別碼。 Exchange 行動裝置信箱原則無法控制是否可以使用生物特徵辨識,而非輸入裝置 PIN。 行動裝置信箱原則可以設定為需要裝置 PIN,但使用者會在符合裝置 PIN 需求之後控制是否使用生物特徵辨識。
行動裝置密碼設定和 Android
Android 9.0 和舊版會利用 Android 的裝置系統管理員功能來管理行動裝置信箱原則中定義的裝置密碼設定。
使用 Android 10.0 和更新版本時,Android 已移除裝置系統管理員功能。 相反地,需要螢幕鎖定的應用程式會查詢裝置的 (或工作設定檔的) 螢幕鎖定複雜度。 需要更強螢幕鎖定的應用程式會將使用者導向系統畫面鎖定設定,讓使用者能夠更新安全性設定以符合規範。 應用程式不會知道使用者的密碼;應用程式只知道密碼複雜度層級。 Android 支援下列四個密碼複雜度層級:
密碼複雜度層級 | 密碼需求 |
---|---|
無 | 未設定密碼需求 |
低 | 密碼可以是重複 (4444) 或排序 (1234、4321、2468) 序列的模式或 PIN |
中 | 符合下列其中一個準則的密碼:
|
高 | 符合下列其中一個準則的密碼:
|
從 Exchange 行動裝置信箱原則的觀點來看,Android 的密碼複雜度層級會對應至下列原則設定:
行動裝置信箱原則設定 | Android 密碼複雜度層級 |
---|---|
已啟用密碼 = false | 無 |
允許簡單密碼 = true 密碼長度下限 < 4 |
低 |
允許簡單密碼 = true 密碼長度下限 < 6 |
中 |
允許簡單密碼 = false 需要英數位元密碼 = true 密碼長度下限 < 6 |
中 |
允許簡單密碼 = true 密碼長度下限 > 6 |
高 |
允許簡單密碼 = false 需要英數位元密碼 = true 最小密碼長度 > = 6 |
高 |
行動裝置信箱原則設定
下表概述您可以使用行動裝置信箱原則來指定的設定。
設定 | 描述 |
---|---|
允許 Bluetooth | 此設定會指定行動裝置是否允許藍牙連線。 可用的選項為 [停用]、[僅限免持聽筒] 及 [允許]。 預設值為 Allow。 |
允許瀏覽器 | 此設定會指定行動裝置上是否允許 Pocket Internet Explorer。 此設定不會影響安裝在行動裝置上的協力廠商瀏覽器。 預設值為 $true 。 |
允許照相機 | 此設定會指定是否可以使用行動裝置相機。 預設值為 $true 。 |
允許取用者電子郵件 | 此設定會指定行動裝置使用者是否可以在行動裝置上設定個人電子郵件帳戶 (POP3 或 IMAP4) 。 預設值為 $true 。 此設定不會控制對使用協力廠商行動裝置電子郵件程式的電子郵件帳戶的存取。 |
允許桌面同步 | 此設定會指定行動裝置是否可以透過纜線、藍牙或 IrDA 連線與電腦同步。 預設值為 $true 。 |
允許外部裝置管理 | 此設定會指定是否允許外部裝置管理程式管理行動裝置。 |
允許 HTML Email | 此設定會指定同步至行動裝置的電子郵件是否可以是 HTML 格式。 如果此設定設為 $false ,則所有電子郵件都會轉換成純文字。 |
允許網際網路共用 | 此設定會指定行動裝置是否可以當做桌面或可攜式電腦的數據機使用。 預設值為 $true 。 |
AllowIrDA | 此設定會指定是否允許與行動裝置進行紅外線連線。 |
允許行動裝置 OTA 更新 | 此設定會指定行動裝置信箱原則設定是否可以透過行動資料連線傳送至行動裝置。 預設值為 $true 。 |
允許非可提供裝置 | 此設定會指定是否允許不支援套用所有原則設定的行動裝置使用 Exchange ActiveSync 連線到Exchange Server。 允許不可布建的行動裝置會影響安全性。 例如,某些無法布建的裝置可能無法實作組織的密碼需求。 |
允許 POPIMAPEmail | 此設定會指定使用者是否可以在行動裝置上設定 POP3 或 IMAP4 電子郵件帳戶。 預設值為 $true 。 此設定不會控制協力廠商電子郵件程式的存取權。 |
允許遠端桌面 | 此設定會指定行動裝置是否可以起始遠端桌面連線。 預設值為 true 。 |
允許簡單密碼 | 此設定可啟用或停用使用簡單密碼的功能,例如 1111 或 1234。 預設值為 $true 。 |
允許 S/MIME 加密演算法交涉 | 此設定會指定如果收件者的憑證不支援指定的加密演算法,行動裝置上的傳訊應用程式是否可以交涉加密演算法。 |
允許 S/MIME 軟體憑證 | 此設定會指定行動裝置上是否允許 S/MIME 軟體憑證。 |
允許儲存卡 | 此設定會指定行動裝置是否可以存取儲存在儲存體卡片上的資訊。 |
允許簡訊 | 此設定會指定是否允許從行動裝置傳送簡訊。 預設值為 $true 。 |
允許未簽署的應用程式 | 此設定會指定是否可以在行動裝置上安裝未簽署的應用程式。 預設值為 $true 。 |
允許未簽署的安裝套件 | 此設定會指定是否可以在行動裝置上執行未簽署的安裝套件。 預設值為 $true 。 |
允許 Wi-Fi | 此設定會指定行動裝置上是否允許無線網際網路存取。 預設值為 $true 。 |
需要英數字元密碼 | 此設定要求密碼必須包含數字與非數字字元。 預設值為 $true 。 |
核准的應用程式清單 | 此設定會儲存可在行動裝置上執行的已核准應用程式清單。 |
已啟用附件 | 此設定可讓附件下載到行動裝置。 預設值為 $true 。 |
已啟用裝置加密 | 此設定可在行動裝置上啟用加密。 並非所有行動裝置都可以強制執行加密。 如需詳細資訊,請參閱裝置和行動作業系統檔。 |
裝置原則重新整理間隔 | 此設定會指定行動裝置信箱原則從伺服器傳送到行動裝置的頻率。 |
已啟用 IRM | 此設定會指定行動裝置上是否啟用資訊版權管理 (IRM) 。 |
附件大小上限 | 此設定可控制可下載至行動裝置的附件大小上限。 預設值為 Unlimited。 |
行事曆存留期上限篩選 | 此設定會指定可同步處理至行動裝置的行事曆天數上限。 接受下列值: 1:全部 2:OneDay 3:ThreeDays 4:OneWeek 5:TwoWeeks 6:OneMonth |
電子郵件存留期上限篩選 | 此設定會指定要同步至行動裝置的電子郵件專案天數上限。 接受下列值: 1:全部 2:OneDay 3:ThreeDays 4:OneWeek 5:TwoWeeks 6:OneMonth |
電子郵件內文截斷大小上限 | 此設定會指定當電子郵件訊息同步至行動裝置時截斷的大小上限。 值以 KB) (KB 為單位。 |
電子郵件 HTML 內文截斷大小上限 | 此設定會指定同步處理至行動裝置時,截斷 HTML 電子郵件訊息的大小上限。 值以 KB) (KB 為單位。 |
閒置時間鎖定上限 | 此值會指定行動裝置在需要密碼才能重新啟用之前,可以處於非作用中狀態的時間長度。 您可以輸入 30 秒到 1 小時之間的任何間隔。 預設值為 15 分鐘。 |
密碼失敗嘗試次數上限 | 此設定會指定使用者可以嘗試輸入行動裝置正確密碼的次數。 您可以輸入 4 到 16 的任何數位。 預設值為 8。 |
最小密碼複雜字元 | 此設定會指定行動裝置密碼中所需的字元集數目。 字元集為:
您可以輸入從 1 到 4 的任何數位。 預設值為 1。 |
密碼長度下限 | 此設定會指定行動裝置密碼中的字元數下限。 您可以輸入從 1 到 16 的任何數位。 預設值為 4。 |
已啟用密碼 | 此設定會啟用行動裝置密碼。 |
密碼過期 | 此設定可讓系統管理員設定必須變更行動裝置密碼的時間長度。 |
密碼歷程 | 此設定指定可以儲存在使用者信箱中的先前密碼數。 使用者無法再使用儲存的密碼。 |
已啟用密碼復原 | 啟用此設定時,行動裝置會產生傳送至伺服器的修復密碼。 如果使用者忘記其行動裝置密碼,則可以使用修復密碼來解除鎖定行動裝置,並讓使用者建立新的行動裝置密碼。 |
需要裝置加密 | 此設定指定是否需要裝置加密。 如果設定為 $true ,行動裝置必須能夠支援並實作加密,才能與伺服器同步處理。 |
需要加密的 S/MIME 郵件 | 此設定指定 S/MIME 郵件是否必須加密。 預設值為 $false 。 |
需要加密 S/MIME 演算法 | 此設定會指定加密 S/MIME 訊息時必須使用哪些必要演算法。 |
漫遊時需要手動同步處理 | 此設定會指定行動裝置是否必須在漫遊時手動同步處理。 在漫遊時允許自動同步處理,通常會導致行動裝置通話方案的資料成本超出預期。 |
需要已簽署的 S/MIME 演算法 | 此設定會指定簽署訊息時必須使用哪些必要的演算法。 |
需要已簽署的 S/MIME 訊息 | 此設定會指定行動裝置是否必須傳送已簽署的 S/MIME 訊息。 |
需要儲存卡加密 | 此設定指定儲存卡是否必須加密。 並非所有行動裝置作業系統都支援儲存體卡片加密。 如需詳細資訊,請參閱您的行動裝置和行動作業系統檔。 |
未核准的 InROM 應用程式清單 | 此設定指定無法在 ROM 中執行的應用程式清單。 |