Gerenciar regras de acesso a dispositivos móveis - Amazon WorkMail

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciar regras de acesso a dispositivos móveis

As regras de acesso a dispositivos móveis da Amazon WorkMail permitem que os administradores controlem o acesso à caixa de correio para determinados tipos de dispositivos móveis. Por padrão, cada WorkMail organização da Amazon usa uma regra que concede acesso à caixa de correio a qualquer dispositivo, independentemente do tipo, modelo, sistema operacional ou agente do usuário. Você pode editar ou substituir essa regra padrão por uma de sua preferência. Você também pode adicionar, alterar e excluir regras.

Atenção

Se você excluir todas as regras de acesso a dispositivos móveis de uma organização, a Amazon WorkMail bloqueará todo o acesso a dispositivos móveis.

Você pode criar regras que permitam ou neguem o acesso com base nas seguintes propriedades do dispositivo:

  • Tipo de dispositivo: "iPhone", "iPad" ou "Android".

  • Modelo do dispositivo — “iPhone10C1", “iPad5C1" ou" X.” HTCOne

  • Sistema operacional do dispositivo — "iOS 12.3.1 16F203" ou "Android 8.1.0".

  • Atendente de usuário do dispositivo — "iOS/14.2 (18B92) exchangesyncd/1.0" ou "Android-Mail/7.7.16.163886392.release".

Para visualizar as propriedades do dispositivo no AWS Management Console, consulte Visualização de detalhes do dispositivo móvel.

nota

Alguns dispositivos e clientes podem não relatar propriedades para todos os campos. Para obter informações sobre como contornar esses casos, consulte Dealing with empty fields

Importante

As regras de acesso a dispositivos WorkMail móveis da Amazon se aplicam somente aos dispositivos que usam o ActiveSync protocolo Microsoft Exchange. Clientes móveis que usam um protocolo diferente, como IMAP, não relatam as propriedades do dispositivo listadas aqui, portanto, essas regras não se aplicam.

Se precisar restringir o acesso de dispositivos que usam outros protocolos, você pode criar regras de controle de acesso. Para obter mais informações, consulte Trabalhar com regras de controle de acesso. Como exemplo, você pode restringir o acesso a outros protocolos e webmail a apenas um intervalo de endereços IP corporativos, mas permitir que a Microsoft esteja em outro lugar e, em seguida, usar as Regras ActiveSync de Acesso a Dispositivos Móveis para limitar ainda mais os tipos e versões dos clientes permitidos.

Como funcionam as regras de acesso a dispositivos móveis

As regras de acesso a dispositivos móveis se aplicam somente a dispositivos que usam o ActiveSync protocolo Microsoft Exchange. Cada regra tem um conjunto de condições que especificam quando a regra se aplica, além de um efeito de acesso de ALLOW ou DENY para o dispositivo. Uma regra se aplica a uma solicitação de acesso somente se todas as condições da regra corresponderem às propriedades do dispositivo móvel do usuário. Regras sem condições se aplicam a todas as solicitações. Cada condição usa uma correspondência de prefixo que não diferencia maiúsculas de minúsculas com as propriedades relatadas do dispositivo.

A Amazon WorkMail avalia as regras da seguinte forma:

  • Se alguma regra de DENY corresponder a uma propriedade do dispositivo, a política bloqueará o dispositivo. As regras de DENY têm precedência sobre as regras de ALLOW.

  • Se pelo menos uma regra de ALLOW corresponder e nenhuma regra de DENY corresponder, a política permitirá o dispositivo.

  • Se nenhuma regra se aplicar, o dispositivo será bloqueado.

Importante

Os dispositivos móveis relatam as propriedades que as regras usam para funcionar. Os dispositivos relatam suas propriedades durante o processo de provisionamento de ActiveSync dispositivos da Microsoft. A Amazon WorkMail não pode verificar de forma independente se os clientes móveis relatam up-to-date informações corretas.

Usar regras de acesso a dispositivos móveis

Você pode usar APIs ou a AWS Command Line Interface (CLI) para criar e gerenciar regras de acesso a dispositivos móveis. Para obter mais informações sobre o AWS CLI, consulte o Guia do usuário da interface de linha de comando da AWS.

Importante

Quando você altera uma regra de acesso para uma WorkMail organização da Amazon, os dispositivos afetados podem levar cinco minutos para seguir a regra atualizada, e os dispositivos podem mostrar um comportamento inconsistente durante esse período. No entanto, você percebe imediatamente o comportamento correto ao testar as regras. Para obter mais informações, consulte Testing mobile device access rules.

Listar regras de acesso a dispositivos móveis

O exemplo a seguir mostra como listar as regras de acesso a dispositivos móveis.

aws workmail list-mobile-device-access-rules --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56
Criar regras de acesso a dispositivos móveis

O exemplo a seguir cria uma regra que bloqueia o acesso de todos os dispositivos Android às caixas de correio.

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name BlockAllAndroid --effect DENY --device-types "android"

O exemplo a seguir cria uma regra que permite somente uma versão específica do iOS. Certifique-se de remover a regra de ALLOW-all padrão.

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.3"
Atualizar regras de acesso a dispositivos móveis

O exemplo a seguir atualiza uma regra de dispositivo adicionando um identificador.

aws workmail update-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.4"
Excluir uma regra de acesso a dispositivos móveis

O exemplo a seguir exclui a regra de acesso ao dispositivo móvel com o identificador fornecido.

aws workmail delete-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d
Testar regras de acesso a dispositivos móveis

Para testar as regras de acesso, você pode usar a GetMobileDeviceAccessEffectAPI ou o comando get-mobile-device-access -effect no AWS CLI . Para obter mais informações sobre o AWS CLI, consulte o Guia do usuário da interface de linha de AWS comando.

Ao testar, você passa as propriedades de um dispositivo móvel simulado, e a API ou a CLI retornam o efeito de acesso, ALLOW ou DENY, que um dispositivo móvel real com essas propriedades receberia. Por exemplo, esse comando testa se um iPhone executando o iOS 14.2, além do aplicativo de e-mail padrão, pode acessar uma caixa de correio.

aws workmail get-mobile-device-access-effect --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --device-type "iPhone" --device-model "iPhone10C1" --device-operating-system "iOS 14.2.1 16F203" --device-user-agent "iOS/14.2 (18B92) exchangesyncd/1.0"
Lidar com campos vazios

Alguns dispositivos móveis ou clientes podem não relatar informações para um ou mais campos, deixando os valores vazios. As regras podem corresponder a esses dispositivos usando o valor especial $NONE em uma condição. Por exemplo, uma regra com DeviceTypes=["iphone", "ipad", "$NONE"] corresponderá a dispositivos que relatam um tipo de dispositivo "iphone" ou "ipad", ou que não relatam nenhum tipo de dispositivo.

Condições negativas, como NotDeviceTypes ou NotDeviceUserAgents não corresponderão a esses valores vazios. Por exemplo, uma regra com NotDeviceTypes=["android"] corresponderá a dispositivos que relatam um tipo de dispositivo diferente de "android". No entanto, a regra não corresponderá a dispositivos que não relatam nenhum tipo de dispositivo.