管理移动设备访问覆盖

您可以使用移动设备访问覆盖来覆盖移动设备访问规则的结果。覆盖适用于特定用户和设备，并且会反转默认访问规则。您还可以使用覆盖来创建访问规则的一次性例外，并允许或拒绝特定的用户和设备对。此外，还可以将覆盖与 DefaultDenyAll 移动设备访问规则结合使用。这就将访问决策交给了第三方移动设备管理（MDM）解决方案。有关更多信息，请参阅 管理覆盖 和 与移动设备管理解决方案集成

移动设备访问覆盖的工作原理

您可以为特定用户和设备对创建移动设备访问覆盖。评估给定用户和设备的移动设备访问规则时，覆盖会反转默认访问结果。例如，如果访问规则通常拒绝访问，则访问覆盖允许该用户和设备同步其电子邮件。相反，如果访问规则通常允许访问，则可以创建阻止用户和设备同步其邮件的覆盖。当您删除移动设备访问权限覆盖时，Amazon 在决定是否向该用户和设备授予访问权限时，会 WorkMail 再次尊重当前移动设备访问规则的结果。

重要

当您为某个 Amazon WorkMail 组织更改移动设备访问权限时，受影响的设备可能需要五分钟才能遵循更新的覆盖范围。

管理覆盖

可以使用 API 或 AWS Command Line Interface创建、更新或删除移动设备访问覆盖。有关更多信息 AWS CLI，请参阅 AWS 命令行界面用户指南。

要查找设备 ID，请使用 AWS Management Console。有关更多信息，请参阅查看移动设备详细信息。

列出移动设备访问覆盖

此示例说明如何列出指定 Amazon WorkMail 组织的所有移动设备访问权限。

aws workmail list-mobile-device-access-overrides --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56

创建和更新移动设备访问覆盖

这将创建一个移动设备访问权限覆盖，以拒绝访问指定的 Amazon WorkMail 组织、用户和设备 ID。

aws workmail put-mobile-device-access-override --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --user-id user1@domain.com --device-id 6APMEKPHCP2ND42VIJ4BR8ECDO --effect DENY

可以修改现有的移动设备访问覆盖以具有不同的权限。这将更新之前创建的移动设备访问覆盖，以允许访问而不是拒绝。

aws workmail put-mobile-device-access-override --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --user-id user1@domain.com --device-id 6APMEKPHCP2ND42VIJ4BR8ECDO --effect ALLOW

删除移动设备访问覆盖

这将删除指定的 Amazon WorkMail 组织、用户和设备 ID 的移动设备访问权限。

aws workmail delete-mobile-device-access-override --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --user-id user1@domain.com --device-id 6APMEKPHCP2ND42VIJ4BR8ECDO