如何完美地限制手机访问企业邮箱

最近有客户询问小编,他希望全面禁止公司用户手机访问邮箱的功能,外部用户只能通过PC机浏览网页的形式访问邮箱。

相信大多数人会想到把Active-Sync这个虚拟目录给禁用掉,但是这有一个问题,就是手机用户依然可以使用owa访问公司邮箱。我知道这个要求有点变态了,但是对于一套标准的手机邮箱访问策略,微软是有自己的策略体系的。

这套策略体系几乎可以识别到手机所有的组件,包括系统内核(IoS、Android、微软),手机浏览器、照相机、蓝牙、与PC机的cable连接、热点、外置存储卡、wifi、系统是否加密等。

在邮件方面,策略可以针对移动设备限制最大附件量、邮件接收格式(HTML/MIME/PLAIN)、最大密码错误次数、密码复杂度、密码最长期限等

这个强大的命令就是:New-MobileDeviceMailboxPolicy

[-Name] <String> [-AllowApplePushNotifications <$true | $false>] [-AllowBluetooth <Disable | HandsfreeOnly | Allow>] [-AllowBrowser <$true | $false>]   [-AllowCamera <$true | $false>]   [-AllowConsumerEmail <$true | $false>]   [-AllowDesktopSync <$true | $false>] [-AllowExternalDeviceManagement <$true | $false>] [-AllowGooglePushNotifications <$true | $false>] [-AllowHTMLEmail <$true | $false>] [-AllowInternetSharing <$true | $false>] [-AllowIrDA <$true | $false>]   [-AllowMicrosoftPushNotifications <$true | $false>]   [-AllowMobileOTAUpdate <$true | $false>] [-AllowNonProvisionableDevices <$true | $false>] [-AllowPOPIMAPEmail <$true | $false>] [-AllowRemoteDesktop <$true | $false>] [-AllowSimplePassword <$true | $false>]   [-AllowSMIMEEncryptionAlgorithmNegotiation <BlockNegotiation | OnlyStrongAlgorithmNegotiation | AllowAnyAlgorithmNegotiation>] [-AllowSMIMESoftCerts <$true | $false>] [-AllowStorageCard <$true | $false>] [-AllowTextMessaging <$true | $false>] [AllowUnsignedApplications <$true | $false>]   [-AllowUnsignedInstallationPackages <$true | $false>]   [-AllowWiFi <$true | $false>] [-AlphanumericPasswordRequired <$true | $false>] [-ApprovedApplicationList <ApprovedApplicationCollection>] [-AttachmentsEnabled <$true | $false>] [-Confirm] [-DeviceEncryptionEnabled <$true | $false>] [-DevicePolicyRefreshInterval <Unlimited>] [-DomainController <Fqdn>] [-IrmEnabled <$true | $false>] [-IsDefault <$true | $false>]

[-MaxAttachmentSize <Unlimited>] [-MaxCalendarAgeFilter <All | TwoWeeks | OneMonth | ThreeMonths | SixMonths>] [-MaxEmailAgeFilter <All | OneDay | ThreeDays | OneWeek | TwoWeeks | OneMonth>] [-MaxEmailBodyTruncationSize <Unlimited>] [-MaxEmailHTMLBodyTruncationSize <Unlimited>]

[-MaxInactivityTimeLock <Unlimited>] [MaxPasswordFailedAttempts <Unlimited>] [-MinPasswordComplexCharacters <Int32>] [-MinPasswordLength <Int32>] [-PasswordEnabled <$true | $false>] [-PasswordExpiration <Unlimited>] [-PasswordHistory <Int32>] [-PasswordRecoveryEnabled <$true | $false>] [-RequireDeviceEncryption <$true | $false>] [-RequireEncryptedSMIMEMessages <$true | $false>] [-RequireEncryptionSMIMEAlgorithm <TripleDES | DES | RC2128bit | RC264bit | RC240bit>] [-RequireManualSyncWhenRoaming <$true | $false>] [-RequireSignedSMIMEAlgorithm <SHA1 | MD5>] [-RequireSignedSMIMEMessages <$true | $false>] [-RequireStorageCardEncryption <$true | $false>] [-UnapprovedInROMApplicationList <MultiValuedProperty>] [-UNCAccessEnabled <$true | $false>] [-WhatIf] [-WSSAccessEnabled <$true | $false>] [<CommonParameters>]

Exchange2010之前这条命令是:New-ActiveSyncMailboxPolicy,参数基本相同。小编在上文标注了常用的参数,挺好理解的。有些甚至可以在图形界面下设置。

1

甚至说针对具体的设备,Exchange/O365的移动设备邮箱策略可以限制某个版本或某个名字的移动设备。

2

有了这套策略,再变态的手机限制要求都可以实现啦!

李 章毅
Exchange MVP

李 章毅

找张正经又不装逼的照片挺难的。。。
李 章毅
Exchange MVP

李 章毅 的最新文章 (查看所有)

发布于: 浏览:5096 次

还没有评论

欢迎参与到我们的技术讨论,问题和分享都可以。