Zugriffsregeln für mobile Geräte verwalten - Amazon WorkMail
So funktionieren die Zugriffsregeln für mobile GeräteVerwenden von Zugriffsregeln für mobile Geräte

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Zugriffsregeln für mobile Geräte verwalten

Die Zugriffsregeln für mobile Geräte für Amazon WorkMail ermöglichen es Administratoren, den Postfachzugriff für bestimmte Arten von Mobilgeräten zu kontrollieren. Standardmäßig verwendet jede WorkMail Amazon-Organisation eine Regel, die Postfachzugriff auf alle Geräte gewährt, unabhängig von Typ, Modell, Betriebssystem oder Benutzeragent. Sie können diese Standardregel bearbeiten oder durch eine eigene ersetzen. Sie können auch Regeln hinzufügen, ändern und löschen.

Warnung

Wenn Sie alle Regeln für den Zugriff auf mobile Geräte für eine Organisation löschen, WorkMail blockiert Amazon den gesamten Zugriff auf mobile Geräte.

Sie können auf der Grundlage der folgenden Geräteeigenschaften Regeln erstellen, die den Zugriff zulassen oder verweigern:

  • Gerätetyp — „iPhone“, „iPad“ oder „Android“.

  • Gerätemodell — „iPhone 10c1", „iPad 5C1" oder" X“. HTCOne

  • Gerätebetriebssystem — „iOS 12.3.1 16F203" oder „Android 8.1.0“.

  • Geräte-Benutzeragent — „iOS/14.2 (18B92) exchangesyncd/1.0“ oder „Android-mail/7.7.16.163886392.release“.

Informationen zum Anzeigen der Geräteeigenschaften in der AWS Management Console finden Sie unter Details zu Mobilgeräten anzeigen.

Anmerkung

Einige Geräte und Clients melden möglicherweise nicht Eigenschaften für alle Felder. Informationen zur Umgehung dieser Fälle finden Sie unter Dealing with empty fields

Wichtig

Die Amazon-Zugriffsregeln für WorkMail Mobilgeräte gelten nur für Geräte, die das Microsoft ActiveSync Exchange-Protokoll verwenden. Mobile Clients, die ein anderes Protokoll wie IMAP verwenden, melden die hier aufgeführten Geräteeigenschaften nicht, sodass diese Regeln nicht gelten.

Wenn Sie den Zugriff für Geräte einschränken müssen, die andere Protokolle verwenden, können Sie Zugriffskontrollregeln erstellen. Weitere Informationen zu ihnen finden Sie unter Arbeiten mit Zugriffskontrollregeln. Sie können beispielsweise den Zugriff auf andere Protokolle und Webmail auf einen bestimmten Bereich von Unternehmens-IP-Adressen beschränken, Microsoft aber von einem anderen Ort ActiveSync aus zulassen und dann mithilfe der Zugriffsregeln für mobile Geräte die Typen und Versionen der erlaubten Clients weiter einschränken.

So funktionieren die Zugriffsregeln für mobile Geräte

Zugriffsregeln für mobile Geräte gelten nur für Geräte, die das Microsoft ActiveSync Exchange-Protokoll verwenden. Jede Regel hat eine Reihe von Bedingungen, die angeben, wann die Regel gilt, sowie einen Zugriffseffekt für das Gerät ALLOW oder DENY für das Gerät. Eine Regel gilt nur dann für eine Zugriffsanfrage, wenn alle Bedingungen der Regel den Eigenschaften des Mobilgeräts des Benutzers entsprechen. Regeln ohne Bedingungen gelten für alle Anfragen. Jede Bedingung verwendet einen Präfixabgleich ohne Berücksichtigung der Groß- und Kleinschreibung mit den gemeldeten Eigenschaften des Geräts.

Amazon WorkMail bewertet Regeln wie folgt:

  • Wenn eine DENY Regel mit einer Geräteeigenschaft übereinstimmt, blockiert die Richtlinie das Gerät. DENYRegeln haben Vorrang vor ALLOW Regeln.

  • Wenn mindestens eine ALLOW Regel zutrifft und keine DENY Regel zutrifft, lässt die Richtlinie das Gerät zu.

  • Wenn keine Regel zutrifft, ist das Gerät gesperrt.

Wichtig

Mobilgeräte melden die Eigenschaften, anhand derer die Regeln funktionieren. Die Geräte melden ihre Eigenschaften während des ActiveSync Microsoft-Gerätebereitstellungsprozesses. Amazon WorkMail kann nicht unabhängig überprüfen, ob mobile Clients korrekte up-to-date Informationen melden.

Verwenden von Zugriffsregeln für mobile Geräte

Sie können die AWS-Befehlszeilenschnittstelle (CLI) verwenden APIs , um Zugriffsregeln für mobile Geräte zu erstellen und zu verwalten. Weitere Informationen zu finden Sie im AWS CLIAWS-Benutzerhandbuch für die Befehlszeilenschnittstelle.

Wichtig

Wenn Sie eine Zugriffsregel für eine WorkMail Amazon-Organisation ändern, kann es fünf Minuten dauern, bis die betroffenen Geräte der aktualisierten Regel folgen, und Geräte zeigen während dieser Zeit möglicherweise ein inkonsistentes Verhalten. Sie sehen jedoch sofort das richtige Verhalten, wenn Sie Regeln testen. Weitere Informationen finden Sie unter Testing mobile device access rules.

Zugriffsregeln für mobile Geräte auflisten

Das folgende Beispiel zeigt, wie die Zugriffsregeln für mobile Geräte aufgelistet werden.

aws workmail list-mobile-device-access-rules --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56
Zugriffsregeln für mobile Geräte erstellen

Im folgenden Beispiel wird eine Regel erstellt, die verhindert, dass alle Android-Geräte auf Postfächer zugreifen.

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name BlockAllAndroid --effect DENY --device-types "android"

Im folgenden Beispiel wird eine Regel erstellt, die nur eine bestimmte Version von iOS zulässt. Achten Sie darauf, die ALLOW-all Standardregel zu entfernen.

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.3"
Die Zugriffsregeln für mobile Geräte werden aktualisiert

Im folgenden Beispiel wird eine Geräteregel aktualisiert, indem eine Kennung hinzugefügt wird.

aws workmail update-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.4"
Löschen einer Zugriffsregel für mobile Geräte

Im folgenden Beispiel wird die Zugriffsregel für mobile Geräte mit der angegebenen ID gelöscht.

aws workmail delete-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d
Zugriffsregeln für mobile Geräte werden getestet

Um Zugriffsregeln zu testen, können Sie die GetMobileDeviceAccessEffectAPI oder den Befehl get-mobile-device-access -effect in der AWS CLI verwenden. Weitere Informationen zu finden Sie im AWS CLIBenutzerhandbuch für die AWS Befehlszeilenschnittstelle.

Beim Testen übergeben Sie die Eigenschaften eines simulierten Mobilgeräts, und die API oder CLI gibt den Zugriffseffekt — ALLOW oder DENY — zurück, den ein echtes Mobilgerät mit diesen Eigenschaften erhalten würde. Mit diesem Befehl wird beispielsweise getestet, ob ein iPhone mit iOS 14.2 und der Standard-E-Mail-App auf ein Postfach zugreifen kann.

aws workmail get-mobile-device-access-effect --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --device-type "iPhone" --device-model "iPhone10C1" --device-operating-system "iOS 14.2.1 16F203" --device-user-agent "iOS/14.2 (18B92) exchangesyncd/1.0"
Umgang mit leeren Feldern

Manche Mobilgeräte oder Clients melden möglicherweise keine Informationen für ein oder mehrere Felder, sodass die Werte leer bleiben. Regeln können mit diesen Geräten abgeglichen werden, indem der spezielle Wert $NONE in einer Bedingung verwendet wird. Eine Regel mit DeviceTypes=["iphone", "ipad", "$NONE"] sucht beispielsweise nach Geräten, die einen Gerätetyp von "iphone" oder "ipad" oder gar keinen Gerätetyp melden.

Negative Bedingungen wie NotDeviceTypes oder stimmen NotDeviceUserAgents nicht mit diesen leeren Werten überein. Eine Regel mit NotDeviceTypes=["android"] entspricht beispielsweise Geräten, die einen anderen Gerätetyp als melden"android". Die Regel gilt jedoch nicht für Geräte, die überhaupt keinen Gerätetyp melden.