管理行動裝置存取規則 - Amazon WorkMail

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理行動裝置存取規則

Amazon WorkMail 的行動裝置存取規則可讓管理員控制特定類型行動裝置的信箱存取。根據預設,每個 Amazon WorkMail 組織都會使用將信箱存取權授予任何裝置的規則,無論類型、模型、作業系統或使用者代理程式為何。您可以使用自己的其中一個規則來編輯或取代該預設規則。您也可以新增、變更和刪除規則。

警告

如果您刪除組織的所有行動裝置存取規則,Amazon WorkMail 會封鎖所有行動裝置存取。

您可以根據下列裝置屬性建立允許或拒絕存取的規則:

  • 裝置類型—「iPhone」、「iPad」或「Android」。

  • 裝置模型 —「iPhone10C1」、「iPad5C1」或「HTCOneX."

  • 裝置作業系統—"iOS 12.3.1 16F203" 或 "Android 8.1.0"。

  • 裝置使用者代理程式—"iOS/14.2 (18B92) exchangesyncd/1.0" 或 "Android-Mail/7.7.16.163886392.release"。

若要在 AWS 管理主控台上檢視裝置屬性,請參閱檢視行動裝置詳細資訊

注意

有些裝置和用戶端可能不會報告所有欄位的屬性。如需處理這些案例的資訊,請參閱 Dealing with empty fields

重要

Amazon WorkMail 行動裝置存取規則僅適用於使用 Microsoft Exchange ActiveSync 通訊協定的裝置。使用 IMAP 等不同通訊協定的行動用戶端不會報告此處列出的裝置屬性,因此這些規則不適用。

如果您需要限制使用其他通訊協定的裝置存取,您可以建立存取控制規則。如需詳細資訊,請參閱使用存取控制規則。 例如,您可以將其他通訊協定和 Webmail 的存取限制為僅一系列的公司 IP 地址,但允許 Microsoft ActiveSync 從其他位置存取,然後使用行動裝置存取規則進一步限制允許用戶端的類型和版本。

行動裝置存取規則的運作方式

行動裝置存取規則僅適用於使用 Microsoft Exchange ActiveSync 通訊協定的裝置。每個規則都有一組條件,指定規則的套用時間,以及裝置的 ALLOWDENY 存取效果。只有在規則的所有條件都符合使用者行動裝置的屬性時,規則才會套用至存取請求。沒有條件的規則適用於所有請求。每個條件都會針對裝置回報的屬性使用不區分大小寫的字首比對。

Amazon WorkMail 會評估規則,如下所示:

  • 如果有任何DENY規則符合裝置屬性,政策會封鎖裝置。 DENY規則優先於 ALLOW 規則。

  • 如果至少有一個ALLOW規則相符,但沒有DENY規則相符,則政策會允許裝置。

  • 如果沒有套用規則,則會封鎖裝置。

重要

行動裝置會報告規則用來操作的屬性。裝置會在 Microsoft ActiveSync 裝置佈建程序期間報告其屬性。Amazon WorkMail 無法獨立驗證行動用戶端是否報告正確或up-to-date資訊。

使用行動裝置存取規則

您可以使用 APIs或 AWS Command Line Interface (CLI) 來建立和管理行動裝置存取規則。如需 的詳細資訊 AWS CLI,請參閱 AWS Command Line Interface 使用者指南

重要

當您變更 Amazon WorkMail 組織的存取規則時,受影響的裝置可能需要五分鐘的時間才能遵循更新後的規則,而且裝置在此期間可能會顯示不一致的行為。不過,當您測試規則時,會立即看到正確的行為。如需詳細資訊,請參閱Testing mobile device access rules

列出行動裝置存取規則

下列範例顯示如何列出行動裝置存取規則。

aws workmail list-mobile-device-access-rules --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56
建立行動裝置存取規則

下列範例會建立規則,封鎖所有 Android 裝置存取信箱。

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name BlockAllAndroid --effect DENY --device-types "android"

下列範例會建立僅允許特定 iOS 版本的規則。請務必移除預設ALLOW-all規則。

aws workmail create-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.3"
更新行動裝置存取規則

下列範例會透過新增識別符來更新裝置規則。

aws workmail update-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d --name AllowLatestiOS --effect ALLOW --device-operating-systems "iOS 14.4"
刪除行動裝置存取規則

下列範例會刪除具有指定識別符的行動裝置存取規則。

aws workmail delete-mobile-device-access-rule --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --mobile-device-access-rule-id 1a2b3c4d
測試行動裝置存取規則

若要測試存取規則,您可以使用 GetMobileDeviceAccessEffect API,或在 中使用 get-mobile-device-access-effect 命令 AWS CLI 。如需 的詳細資訊 AWS CLI,請參閱 AWS 命令列界面使用者指南

當您測試時,您會傳入模擬行動裝置的屬性,而 API 或 CLI 會傳回具有這些屬性的實際行動裝置會收到的存取效果 DENYALLOW 。例如,此命令會測試執行 iOS 14.2 的 iPhone 以及預設郵件應用程式是否可以存取信箱。

aws workmail get-mobile-device-access-effect --organization-id m-a123b4c5de678fg9h0ij1k2lm234no56 --device-type "iPhone" --device-model "iPhone10C1" --device-operating-system "iOS 14.2.1 16F203" --device-user-agent "iOS/14.2 (18B92) exchangesyncd/1.0"
處理空白欄位

有些行動裝置或用戶端可能不會報告一或多個欄位的資訊,將值保留空白。規則可以透過在 條件$NONE中使用特殊值來比對這些裝置。例如,具有 的規則DeviceTypes=["iphone", "ipad", "$NONE"]會比對報告裝置類型為 "iphone"或 的裝置"ipad",或完全不報告裝置類型。

NotDeviceTypes 或 等負面條件NotDeviceUserAgents不符合這些空值。例如,具有 的規則NotDeviceTypes=["android"]會比對報告 以外裝置類型的裝置"android"。不過,規則完全不符合未報告裝置類型的裝置。