Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Gestion des règles d'accès aux appareils mobiles
Les règles d'accès aux appareils mobiles d'Amazon WorkMail permettent aux administrateurs de contrôler l'accès aux boîtes aux lettres pour certains types d'appareils mobiles. Par défaut, chaque WorkMail organisation Amazon utilise une règle qui accorde l'accès aux boîtes aux lettres à tous les appareils, quels que soient leur type, leur modèle, leur système d'exploitation ou leur agent utilisateur. Vous pouvez modifier ou remplacer cette règle par défaut par la vôtre. Vous pouvez également ajouter, modifier et supprimer des règles.
Avertissement
Si vous supprimez toutes les règles d'accès aux appareils mobiles d'une organisation, Amazon WorkMail bloque tous les accès aux appareils mobiles.
Vous pouvez créer des règles qui autorisent ou refusent l'accès en fonction des propriétés de l'appareil suivantes :
Type d'appareil : « iPhone », « iPad » ou « Android ».
Modèle d'appareil : « iPhone 10C1 », « iPad 5C1 » ou « X » HTCOne
Système d'exploitation de l'appareil : « iOS 12.3.1 16F203 » ou « Android 8.1.0 ».
Agent utilisateur de l'appareil : « iOS/14.2 (18B92) exchangesyncd/1.0 » ou « Android-Mail/7.7.16.163886392.release ».
Pour consulter les propriétés de l'appareil sur la console AWS de gestion, consultez la section Affichage des informations relatives aux appareils mobiles.
Note
Il est possible que certains appareils et clients ne signalent pas les propriétés de tous les champs. Pour plus d'informations sur la manière de contourner ces cas, voir Dealing with empty fields
Important
Les règles d'accès aux appareils WorkMail mobiles Amazon s'appliquent uniquement aux appareils utilisant le ActiveSync protocole Microsoft Exchange. Les clients mobiles qui utilisent un protocole différent, tel que IMAP, ne signalent pas les propriétés de l'appareil répertoriées ici. Ces règles ne s'appliquent donc pas.
Si vous devez restreindre l'accès aux appareils utilisant d'autres protocoles, vous pouvez créer des règles de contrôle d'accès. Pour plus d'informations à leur sujet, consultez la section Utilisation des règles de contrôle d'accès. Par exemple, vous pouvez restreindre l'accès à d'autres protocoles et à la messagerie Web à un certain nombre d'adresses IP d'entreprise, mais autoriser Microsoft ActiveSync à utiliser d'autres adresses, puis utiliser les règles d'accès aux appareils mobiles pour limiter davantage les types et les versions des clients autorisés.
Rubriques
Comment fonctionnent les règles d'accès aux appareils mobiles
Les règles d'accès aux appareils mobiles s'appliquent uniquement aux appareils utilisant le ActiveSync protocole Microsoft Exchange. Chaque règle comporte un ensemble de conditions qui spécifient le moment où la règle s'applique, ainsi qu'un effet d'accès de ALLOW
ou DENY
pour l'appareil. Une règle s'applique à une demande d'accès uniquement si toutes les conditions de la règle correspondent aux propriétés de l'appareil mobile de l'utilisateur. Des règles sans conditions s'appliquent à toutes les demandes. Chaque condition utilise une correspondance de préfixe sans distinction majuscules/majuscules par rapport aux propriétés signalées de l'appareil.
Amazon WorkMail évalue les règles comme suit :
Si une
DENY
règle correspond à une propriété de l'appareil, la politique bloque l'appareil.DENY
les règles ont priorité surALLOW
les règles.Si au moins une
ALLOW
règle correspond et qu'aucuneDENY
règle ne correspond, la politique autorise l'appareil.Si aucune règle ne s'applique, l'appareil est bloqué.
Important
Les appareils mobiles indiquent les propriétés utilisées par les règles pour fonctionner. Les appareils signalent leurs propriétés au cours du processus de provisionnement des ActiveSync appareils Microsoft. Amazon WorkMail ne peut pas vérifier de manière indépendante que les clients mobiles fournissent des up-to-date informations correctes.
Utilisation des règles d'accès aux appareils mobiles
Vous pouvez utiliser APIs l'interface de ligne de commande (CLI) AWS pour créer et gérer les règles d'accès aux appareils mobiles. Pour plus d'informations à ce sujet AWS CLI, consultez le guide de l'utilisateur de l'interface de ligne de commande AWS.
Important
Lorsque vous modifiez une règle d'accès pour une WorkMail organisation Amazon, les appareils concernés peuvent mettre cinq minutes pour suivre la règle mise à jour, et les appareils peuvent présenter un comportement incohérent pendant cette période. Cependant, vous constatez immédiatement un comportement correct lorsque vous testez des règles. Pour de plus amples informations, veuillez consulter Testing mobile device access rules.
Répertorier les règles d'accès aux appareils mobiles
L'exemple suivant montre comment répertorier les règles d'accès des appareils mobiles.
aws workmail
list-mobile-device-access-rules
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
Création de règles d'accès aux appareils mobiles
L'exemple suivant crée une règle qui empêche tous les appareils Android d'accéder aux boîtes aux lettres.
aws workmail
create-mobile-device-access-rule
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--nameBlockAllAndroid
--effect DENY --device-types "android
"
L'exemple suivant crée une règle qui n'autorise qu'une version spécifique d'iOS. Assurez-vous de supprimer la ALLOW-all
règle par défaut.
aws workmail
create-mobile-device-access-rule
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--nameAllowLatestiOS
--effect ALLOW --device-operating-systems "iOS 14.3
"
Mise à jour des règles d'accès aux appareils mobiles
L'exemple suivant met à jour une règle de terminal en ajoutant un identifiant.
aws workmail
update-mobile-device-access-rule
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--mobile-device-access-rule-id1a2b3c4d
--nameAllowLatestiOS
--effect ALLOW --device-operating-systems "iOS 14.4
"
Supprimer une règle d'accès aux appareils mobiles
L'exemple suivant supprime la règle d'accès aux appareils mobiles avec l'identifiant donné.
aws workmail
delete-mobile-device-access-rule
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--mobile-device-access-rule-id1a2b3c4d
Tester les règles d'accès aux appareils mobiles
Pour tester les règles d'accès, vous pouvez utiliser l'GetMobileDeviceAccessEffectAPI ou la commande get-mobile-device-access -effect du AWS CLI . Pour plus d'informations à ce sujet AWS CLI, consultez le Guide de l'utilisateur de l'interface de ligne de AWS commande.
Lorsque vous effectuez un test, vous transmettez les propriétés d'un appareil mobile simulé, et l'API ou la CLI renvoie l'effet d'accès DENY
(ALLOW
ou) qu'un appareil mobile réel doté de ces propriétés recevrait. Par exemple, cette commande teste si un iPhone exécutant iOS 14.2, ainsi que l'application de messagerie par défaut, peut accéder à une boîte aux lettres.
aws workmail
get-mobile-device-access-effect
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--device-type "iPhone
" --device-model "iPhone10C1
" --device-operating-system "iOS 14.2.1 16F203
" --device-user-agent "iOS/14.2 (18B92) exchangesyncd/1.0
"
Gérer les champs vides
Certains appareils mobiles ou clients peuvent ne pas fournir d'informations pour un ou plusieurs champs, laissant les valeurs vides. Les règles peuvent correspondre à celles de ces appareils en utilisant la valeur $NONE
spéciale d'une condition. Par exemple, une règle avec DeviceTypes=["iphone",
"ipad", "$NONE"]
correspondra aux appareils qui signalent un type d'"iphone"
appareil ou qui ne signalent aucun type d'appareil. "ipad"
Des conditions négatives telles que NotDeviceTypes
ou NotDeviceUserAgents
ne correspondront pas à ces valeurs vides. Par exemple, une règle avec NotDeviceTypes=["android"]
correspondra aux appareils qui signalent un type d'appareil autre que"android"
. Toutefois, la règle ne s'appliquera pas aux appareils qui ne signalent aucun type d'appareil.