终止支持通知:2027 年 3 月 31 日, AWS 将终止对亚马逊 WorkMail的支持。2027 年 3 月 31 日之后,您将无法再访问亚马逊 WorkMail 控制台或亚马逊 WorkMail 资源。有关更多信息,请参阅 Amazon WorkMail 终止支持。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理移动设备访问规则
Amazon 的移动设备访问规则 WorkMail 允许管理员控制某些类型的移动设备的邮箱访问权限。默认情况下,每个 Amazon WorkMail 组织都使用向任何设备授予邮箱访问权限的规则,无论其类型、型号、操作系统或用户代理如何。您可以编辑该默认规则或将其替换为您自己的规则。您还可以添加、更改和删除规则。
警告
如果您删除组织的所有移动设备访问规则,Amazon 将 WorkMail 阻止所有移动设备访问。
您可以根据以下设备属性创建允许或拒绝访问的规则:
设备类型 -“iPhone”、“iPad”或“Android”。
设备型号 — “iPhone10c1”、“iPad5c1” 或 “X.” HTCOne
设备操作系统 -“iOS 12.3.1 16F203”或“Android 8.1.0”。
设备用户代理 -“iOS/14.2 (18B92) exchangesyncd/1.0”或“Android-Mail/7.7.16.163886392.release”。
要在 AWS 管理控制台上查看设备属性,请参阅查看移动设备详细信息。
注意
某些设备和客户端可能不会报告所有字段对应的属性。有关解决这些情况的信息,请参阅Dealing with empty fields
重要
亚马逊 WorkMail 移动设备访问规则仅适用于使用微软 Exchange ActiveSync 协议的设备。使用其他协议(例如 IMAP)的移动客户端不会报告此处列出的设备属性,因此这些规则将不适用。
如果您需要限制使用其他协议的设备的访问权限,则可以创建访问控制规则。有关这些规则的更多信息,请参阅使用访问控制规则。例如,您可以将对其他协议和网络邮件的访问限制为仅限一定范围的公司 IP 地址,但允许 ActiveSync 从其他地方访问 Microsoft,然后使用移动设备访问规则进一步限制允许的客户端的类型和版本。
移动设备访问规则的工作原理
移动设备访问规则仅适用于使用微软 Exchange ActiveSync 协议的设备。每个规则都有一组条件,用于指定何时应用规则,以及设备对应的 ALLOW 或 DENY 访问权限。仅当一个规则的所有条件都与用户移动设备的属性匹配时,该规则才适用于访问请求。无条件的规则适用于所有请求。每个条件均使用不区分大小写的前缀与设备报告的属性进行匹配。
Amazon WorkMail 对规则的评估如下所示:
如果任何
DENY规则与设备属性匹配,则该策略会阻止该设备访问。DENY规则优先于ALLOW规则。如果至少有一个
ALLOW规则匹配,并且没有任何DENY规则匹配,则该策略允许该设备访问。如果不适用任何规则,则该设备会被阻止。
重要
移动设备会报告规则用于操作的属性。这些设备在 Microsoft ActiveSync 设备配置过程中报告其属性。Amazon WorkMail 无法独立验证移动客户报告的 up-to-date信息是否正确。
管理移动设备访问规则
您可以使用 APIs 或 AWS 命令行界面 (CLI) 来创建和管理移动设备访问规则。有关更多信息 AWS CLI,请参阅 AWS 命令行界面用户指南。
重要
当您更改 Amazon WorkMail 组织的访问规则时,受影响的设备可能需要五分钟才能遵守更新的规则,在此期间,设备可能会表现出不一致的行为。但是,在测试规则时,您会立即看到正确的行为。有关更多信息,请参阅 Testing mobile device access rules。
列出移动设备访问规则
以下示例演示如何列出移动设备访问规则。
aws workmaillist-mobile-device-access-rules--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56
创建移动设备访问规则
以下示例创建了一个阻止所有 Android 设备访问邮箱的规则。
aws workmailcreate-mobile-device-access-rule--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56--nameBlockAllAndroid--effect DENY --device-types "android"
以下示例创建了一个仅允许特定版本的 iOS 的规则。请务必删除默认的 ALLOW-all 规则。
aws workmailcreate-mobile-device-access-rule--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56--nameAllowLatestiOS--effect ALLOW --device-operating-systems "iOS 14.3"
更新移动设备访问规则
以下示例通过添加标识符来更新设备规则。
aws workmailupdate-mobile-device-access-rule--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56--mobile-device-access-rule-id1a2b3c4d--nameAllowLatestiOS--effect ALLOW --device-operating-systems "iOS 14.4"
删除移动设备访问规则
以下示例删除具有给定标识符的移动设备访问规则。
aws workmaildelete-mobile-device-access-rule--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56--mobile-device-access-rule-id1a2b3c4d
测试移动设备访问规则
要测试访问规则,可以使用 GetMobileDeviceAccessEffectAPI 或中的 get-mobile-device-access-effect 命令。 AWS CLI 有关更多信息 AWS CLI,请参阅《AWS 命令行界面用户指南》。
测试时,您传入模拟移动设备的属性,然后 API 或 CLI 会返回具有这些属性的实际移动设备将获得的访问权限(ALLOW 或 DENY)。例如,此命令测试运行 iOS 14.2 的 iPhone 以及默认邮件应用程序能否访问邮箱。
aws workmailget-mobile-device-access-effect--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56--device-type "iPhone" --device-model "iPhone10C1" --device-operating-system "iOS 14.2.1 16F203" --device-user-agent "iOS/14.2 (18B92) exchangesyncd/1.0"
处理空字段
某些移动设备或客户端可能不会报告一个或多个字段的信息,从而将对应值留空。通过在条件中使用特殊值 $NONE,可以将规则与这些设备进行匹配。例如,包含 DeviceTypes=["iphone",
"ipad", "$NONE"] 的规则将匹配报告设备类型为 "iphone" 或 "ipad" 的设备或根本不报告设备类型的设备。
NotDeviceTypes 或 NotDeviceUserAgents 等否定条件与这些空值不匹配。例如,包含 NotDeviceTypes=["android"] 的规则将匹配报告设备类型不是 "android" 的设备。但是,该规则不会匹配根本不报告设备类型的设备。
