本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理行動裝置存取規則
Amazon WorkMail 的行動裝置存取規則可讓管理員控制特定類型行動裝置的信箱存取。根據預設,每個 Amazon WorkMail 組織都會使用將信箱存取權授予任何裝置的規則,無論類型、模型、作業系統或使用者代理程式為何。您可以使用自己的其中一個規則來編輯或取代該預設規則。您也可以新增、變更和刪除規則。
警告
如果您刪除組織的所有行動裝置存取規則,Amazon WorkMail 會封鎖所有行動裝置存取。
您可以根據下列裝置屬性建立允許或拒絕存取的規則:
裝置類型—「iPhone」、「iPad」或「Android」。
裝置模型 —「iPhone10C1」、「iPad5C1」或「HTCOneX."
裝置作業系統—"iOS 12.3.1 16F203" 或 "Android 8.1.0"。
裝置使用者代理程式—"iOS/14.2 (18B92) exchangesyncd/1.0" 或 "Android-Mail/7.7.16.163886392.release"。
若要在 AWS 管理主控台上檢視裝置屬性,請參閱檢視行動裝置詳細資訊。
注意
有些裝置和用戶端可能不會報告所有欄位的屬性。如需處理這些案例的資訊,請參閱 Dealing with empty fields
重要
Amazon WorkMail 行動裝置存取規則僅適用於使用 Microsoft Exchange ActiveSync 通訊協定的裝置。使用 IMAP 等不同通訊協定的行動用戶端不會報告此處列出的裝置屬性,因此這些規則不適用。
如果您需要限制使用其他通訊協定的裝置存取,您可以建立存取控制規則。如需詳細資訊,請參閱使用存取控制規則。 例如,您可以將其他通訊協定和 Webmail 的存取限制為僅一系列的公司 IP 地址,但允許 Microsoft ActiveSync 從其他位置存取,然後使用行動裝置存取規則進一步限制允許用戶端的類型和版本。
行動裝置存取規則的運作方式
行動裝置存取規則僅適用於使用 Microsoft Exchange ActiveSync 通訊協定的裝置。每個規則都有一組條件,指定規則的套用時間,以及裝置的 ALLOW
或 DENY
存取效果。只有在規則的所有條件都符合使用者行動裝置的屬性時,規則才會套用至存取請求。沒有條件的規則適用於所有請求。每個條件都會針對裝置回報的屬性使用不區分大小寫的字首比對。
Amazon WorkMail 會評估規則,如下所示:
如果有任何
DENY
規則符合裝置屬性,政策會封鎖裝置。DENY
規則優先於ALLOW
規則。如果至少有一個
ALLOW
規則相符,但沒有DENY
規則相符,則政策會允許裝置。如果沒有套用規則,則會封鎖裝置。
重要
行動裝置會報告規則用來操作的屬性。裝置會在 Microsoft ActiveSync 裝置佈建程序期間報告其屬性。Amazon WorkMail 無法獨立驗證行動用戶端是否報告正確或up-to-date資訊。
使用行動裝置存取規則
您可以使用 APIs或 AWS Command Line Interface (CLI) 來建立和管理行動裝置存取規則。如需 的詳細資訊 AWS CLI,請參閱 AWS Command Line Interface 使用者指南。
重要
當您變更 Amazon WorkMail 組織的存取規則時,受影響的裝置可能需要五分鐘的時間才能遵循更新後的規則,而且裝置在此期間可能會顯示不一致的行為。不過,當您測試規則時,會立即看到正確的行為。如需詳細資訊,請參閱Testing mobile device access rules。
列出行動裝置存取規則
下列範例顯示如何列出行動裝置存取規則。
aws workmail
list-mobile-device-access-rules
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
建立行動裝置存取規則
下列範例會建立規則,封鎖所有 Android 裝置存取信箱。
aws workmail
create-mobile-device-access-rule
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--nameBlockAllAndroid
--effect DENY --device-types "android
"
下列範例會建立僅允許特定 iOS 版本的規則。請務必移除預設ALLOW-all
規則。
aws workmail
create-mobile-device-access-rule
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--nameAllowLatestiOS
--effect ALLOW --device-operating-systems "iOS 14.3
"
更新行動裝置存取規則
下列範例會透過新增識別符來更新裝置規則。
aws workmail
update-mobile-device-access-rule
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--mobile-device-access-rule-id1a2b3c4d
--nameAllowLatestiOS
--effect ALLOW --device-operating-systems "iOS 14.4
"
刪除行動裝置存取規則
下列範例會刪除具有指定識別符的行動裝置存取規則。
aws workmail
delete-mobile-device-access-rule
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--mobile-device-access-rule-id1a2b3c4d
測試行動裝置存取規則
若要測試存取規則,您可以使用 GetMobileDeviceAccessEffect API,或在 中使用 get-mobile-device-access-effect 命令 AWS CLI 。如需 的詳細資訊 AWS CLI,請參閱 AWS 命令列界面使用者指南。
當您測試時,您會傳入模擬行動裝置的屬性,而 API 或 CLI 會傳回具有這些屬性的實際行動裝置會收到的存取效果 DENY
或ALLOW
。例如,此命令會測試執行 iOS 14.2 的 iPhone 以及預設郵件應用程式是否可以存取信箱。
aws workmail
get-mobile-device-access-effect
--organization-id
m-a123b4c5de678fg9h0ij1k2lm234no56
--device-type "iPhone
" --device-model "iPhone10C1
" --device-operating-system "iOS 14.2.1 16F203
" --device-user-agent "iOS/14.2 (18B92) exchangesyncd/1.0
"
處理空白欄位
有些行動裝置或用戶端可能不會報告一或多個欄位的資訊,將值保留空白。規則可以透過在 條件$NONE
中使用特殊值來比對這些裝置。例如,具有 的規則DeviceTypes=["iphone", "ipad", "$NONE"]
會比對報告裝置類型為 "iphone"
或 的裝置"ipad"
,或完全不報告裝置類型。
NotDeviceTypes
或 等負面條件NotDeviceUserAgents
不符合這些空值。例如,具有 的規則NotDeviceTypes=["android"]
會比對報告 以外裝置類型的裝置"android"
。不過,規則完全不符合未報告裝置類型的裝置。