管理移动设备访问规则 - Amazon WorkMail

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

管理移动设备访问规则

Amazon 的移动设备访问规则 WorkMail 允许管理员控制某些类型的移动设备的邮箱访问权限。默认情况下,每个 Amazon WorkMail 组织都使用向任何设备授予邮箱访问权限的规则,无论其类型、型号、操作系统或用户代理如何。您可以编辑该默认规则或将其替换为您自己的规则。您还可以添加、更改和删除规则。

警告

如果您删除组织的所有移动设备访问规则,Amazon 将 WorkMail 阻止所有移动设备访问。

您可以根据以下设备属性创建允许或拒绝访问的规则:

  • 设备类型 -“iPhone”、“iPad”或“Android”。

  • 设备型号 — “iPhone10c1”、“iPad5c1” 或 “X.” HTCOne

  • 设备操作系统 -“iOS 12.3.1 16F203”或“Android 8.1.0”。

  • 设备用户代理 -“iOS/14.2 (18B92) exchangesyncd/1.0”或“Android-Mail/7.7.16.163886392.release”。

要在 AWS 管理控制台上查看设备属性,请参阅查看移动设备详细信息

注意

某些设备和客户端可能不会报告所有字段对应的属性。有关解决这些情况的信息,请参阅Dealing with empty fields

重要

亚马逊 WorkMail 移动设备访问规则仅适用于使用微软 Exchange ActiveSync 协议的设备。使用其他协议(例如 IMAP)的移动客户端不会报告此处列出的设备属性,因此这些规则将不适用。

如果您需要限制使用其他协议的设备的访问权限,则可以创建访问控制规则。有关这些规则的更多信息,请参阅使用访问控制规则。例如,您可以将对其他协议和网络邮件的访问限制为仅限一定范围的公司 IP 地址,但允许 ActiveSync 从其他地方访问 Microsoft,然后使用移动设备访问规则进一步限制允许的客户端的类型和版本。

移动设备访问规则的工作原理

移动设备访问规则仅适用于使用微软 Exchange ActiveSync 协议的设备。每个规则都有一组条件,用于指定何时应用规则,以及设备对应的 ALLOWDENY 访问权限。仅当一个规则的所有条件都与用户移动设备的属性匹配时,该规则才适用于访问请求。无条件的规则适用于所有请求。每个条件均使用不区分大小写的前缀与设备报告的属性进行匹配。

Amazon WorkMail 对规则的评估如下所示:

  • 如果任何 DENY 规则与设备属性匹配,则该策略会阻止该设备访问。DENY 规则优先于 ALLOW 规则。

  • 如果至少有一个 ALLOW 规则匹配,并且没有任何 DENY 规则匹配,则该策略允许该设备访问。

  • 如果不适用任何规则,则该设备会被阻止。

重要

移动设备会报告规则用于操作的属性。这些设备在 Microsoft ActiveSync 设备配置过程中报告其属性。Amazon WorkMail 无法独立验证移动客户报告的 up-to-date信息是否正确。

管理移动设备访问规则

您可以使用 APIs 或 AWS 命令行界面 (CLI) 来创建和管理移动设备访问规则。有关更多信息 AWS CLI,请参阅 AWS 命令行界面用户指南

重要

当您更改 Amazon WorkMail 组织的访问规则时,受影响的设备可能需要五分钟才能遵守更新的规则,在此期间,设备可能会表现出不一致的行为。但是,在测试规则时,您会立即看到正确的行为。有关更多信息,请参阅 Testing mobile device access rules

列出移动设备访问规则

以下示例演示如何列出移动设备访问规则。

aws workmail list-mobile-device-access-rules --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56
创建移动设备访问规则

以下示例创建了一个阻止所有 Android 设备访问邮箱的规则。

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name BlockAllAndroid --effect DENY --device-types "android"

以下示例创建了一个仅允许特定版本的 iOS 的规则。请务必删除默认的 ALLOW-all 规则。

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.3"
更新移动设备访问规则

以下示例通过添加标识符来更新设备规则。

aws workmail update-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.4"
删除移动设备访问规则

以下示例删除具有给定标识符的移动设备访问规则。

aws workmail delete-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d
测试移动设备访问规则

要测试访问规则,可以使用 GetMobileDeviceAccessEffectAPI 或中的 get-mobile-device-access-effect 命令。 AWS CLI 有关更多信息 AWS CLI,请参阅《AWS 命令行界面用户指南》

测试时,您传入模拟移动设备的属性,然后 API 或 CLI 会返回具有这些属性的实际移动设备将获得的访问权限(ALLOWDENY)。例如,此命令测试运行 iOS 14.2 的 iPhone 以及默认邮件应用程序能否访问邮箱。

aws workmail get-mobile-device-access-effect --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --device-type "iPhone" --device-model "iPhone10C1" --device-operating-system "iOS 14.2.1 16F203" --device-user-agent "iOS/14.2 (18B92) exchangesyncd/1.0"
处理空字段

某些移动设备或客户端可能不会报告一个或多个字段的信息,从而将对应值留空。通过在条件中使用特殊值 $NONE,可以将规则与这些设备进行匹配。例如,包含 DeviceTypes=["iphone", "ipad", "$NONE"] 的规则将匹配报告设备类型为 "iphone""ipad" 的设备或根本不报告设备类型的设备。

NotDeviceTypesNotDeviceUserAgents 等否定条件与这些空值不匹配。例如,包含 NotDeviceTypes=["android"] 的规则将匹配报告设备类型不是 "android" 的设备。但是,该规则不会匹配根本不报告设备类型的设备。