终止支持通知：2027 年 3 月 31 日， AWS 将终止对亚马逊 WorkMail的支持。2027 年 3 月 31 日之后，您将无法再访问亚马逊 WorkMail 控制台或亚马逊 WorkMail 资源。有关更多信息，请参阅 [Amazon WorkMail 终止支持](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)。

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 管理移动设备访问规则
<a name="manage-mobile-access"></a>

Amazon 的移动设备访问规则 WorkMail 允许管理员控制某些类型的移动设备的邮箱访问权限。默认情况下，每个 Amazon WorkMail 组织都使用向任何设备授予邮箱访问权限的规则，无论其类型、型号、操作系统或用户代理如何。您可以编辑该默认规则或将其替换为您自己的规则。您还可以添加、更改和删除规则。

**警告**  
如果您删除组织的所有移动设备访问规则，Amazon 将 WorkMail 阻止所有移动设备访问。

您可以根据以下设备属性创建允许或拒绝访问的规则：
+ **设备类型** -“iPhone”、“iPad”或“Android”。
+ **设备型号** — “iPhone10c1”、“iPad5c1” 或 “X.” HTCOne
+ **设备操作系统** -“iOS 12.3.1 16F203”或“Android 8.1.0”。
+ **设备用户代理** -“iOS/14.2 (18B92) exchangesyncd/1.0”或“Android-Mail/7.7.16.163886392.release”。

要在 AWS 管理控制台上查看设备属性，请参阅[查看移动设备详细信息](https://docs.aws.amazon.com/workmail/latest/adminguide/manage-devices.html#view_device_details )。

**注意**  
某些设备和客户端可能不会报告所有字段对应的属性。有关解决这些情况的信息，请参阅[Dealing with empty fields](#empty-fields)

**重要**  
亚马逊 WorkMail 移动设备访问规则仅适用于使用微软 Exchange ActiveSync 协议的设备。使用其他协议（例如 IMAP）的移动客户端不会报告此处列出的设备属性，因此这些规则将不适用。  
如果您需要限制使用其他协议的设备的访问权限，则可以创建访问控制规则。有关这些规则的更多信息，请参阅[使用访问控制规则](https://docs.aws.amazon.com/workmail/latest/adminguide/access-rules.html)。例如，您可以将对其他协议和网络邮件的访问限制为仅限一定范围的公司 IP 地址，但允许 ActiveSync 从其他地方访问 Microsoft，然后使用移动设备访问规则进一步限制允许的客户端的类型和版本。

**Topics**
+ [移动设备访问规则的工作原理](#how-rules-work)
+ [管理移动设备访问规则](#use-mobile-rules)

## 移动设备访问规则的工作原理
<a name="how-rules-work"></a>

移动设备访问规则仅适用于使用微软 Exchange ActiveSync 协议的设备。每个规则都有一组条件，用于指定何时应用规则，以及设备对应的 `ALLOW` 或 `DENY` 访问权限。仅当一个规则的所有条件都与用户移动设备的属性匹配时，该规则才适用于访问请求。无条件的规则适用于所有请求。每个条件均使用不区分大小写的前缀与设备报告的属性进行匹配。

Amazon WorkMail 对规则的评估如下所示：
+ 如果任何 `DENY` 规则与设备属性匹配，则该策略会阻止该设备访问。`DENY` 规则优先于 `ALLOW` 规则。
+ 如果至少有一个 `ALLOW` 规则匹配，并且没有任何 `DENY` 规则匹配，则该策略允许该设备访问。
+ 如果不适用任何规则，则该设备会被阻止。

**重要**  
移动设备会报告规则用于操作的属性。这些设备在 Microsoft ActiveSync 设备配置过程中报告其属性。Amazon WorkMail 无法独立验证移动客户报告的 up-to-date信息是否正确。

## 管理移动设备访问规则
<a name="use-mobile-rules"></a>

您可以使用 APIs 或 AWS 命令行界面 (CLI) 来创建和管理移动设备访问规则。有关更多信息 AWS CLI，请参阅 [AWS 命令行界面用户指南](https://docs.aws.amazon.com/cli/latest/userguide/)。

**重要**  
当您更改 Amazon WorkMail 组织的访问规则时，受影响的设备可能需要五分钟才能遵守更新的规则，在此期间，设备可能会表现出不一致的行为。但是，在测试规则时，您会立即看到正确的行为。有关更多信息，请参阅 [Testing mobile device access rules](#test-mobile-rule)。

**列出移动设备访问规则**  
以下示例演示如何列出移动设备访问规则。

```
aws workmail {{list-mobile-device-access-rules}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}}
```

**创建移动设备访问规则**  
以下示例创建了一个阻止所有 Android 设备访问邮箱的规则。

```
aws workmail {{create-mobile-device-access-rule}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}} --name {{BlockAllAndroid}} --effect DENY --device-types "{{android}}"
```

以下示例创建了一个仅允许特定版本的 iOS 的规则。请务必删除默认的 `ALLOW-all` 规则。

```
aws workmail {{create-mobile-device-access-rule}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}} --name {{AllowLatestiOS}} --effect ALLOW --device-operating-systems "{{iOS 14.3}}"
```

**更新移动设备访问规则**  
以下示例通过添加标识符来更新设备规则。

```
aws workmail {{update-mobile-device-access-rule}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}} --mobile-device-access-rule-id {{1a2b3c4d}} --name {{AllowLatestiOS}} --effect ALLOW --device-operating-systems "{{iOS 14.4}}"
```

**删除移动设备访问规则**  
以下示例删除具有给定标识符的移动设备访问规则。

```
aws workmail {{delete-mobile-device-access-rule}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}} --mobile-device-access-rule-id {{1a2b3c4d}}
```

**测试移动设备访问规则**  
要测试访问规则，可以使用 [GetMobileDeviceAccessEffect](https://docs.aws.amazon.com/workmail/latest/APIReference/API_GetMobileDeviceAccessEffect.html)API 或中的 get-mobile-device-access-effect 命令。 AWS CLI 有关更多信息 AWS CLI，请参阅《[AWS 命令行界面用户指南》](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)。

测试时，您传入模拟移动设备的属性，然后 API 或 CLI 会返回具有这些属性的实际移动设备将获得的访问权限（`ALLOW` 或 `DENY`）。例如，此命令测试运行 iOS 14.2 的 iPhone 以及默认邮件应用程序能否访问邮箱。

```
aws workmail {{get-mobile-device-access-effect}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}} --device-type "{{iPhone}}" --device-model "{{iPhone10C1}}" --device-operating-system "{{iOS 14.2.1 16F203}}" --device-user-agent "{{iOS/14.2 (18B92) exchangesyncd/1.0}}"
```

**处理空字段**  
某些移动设备或客户端可能不会报告一个或多个字段的信息，从而将对应值留空。通过在条件中使用特殊值 `$NONE`，可以将规则与这些设备进行匹配。例如，包含 `DeviceTypes=["iphone", "ipad", "$NONE"]` 的规则将匹配报告设备类型为 `"iphone"` 或 `"ipad"` 的设备或根本不报告设备类型的设备。

`NotDeviceTypes` 或 `NotDeviceUserAgents` 等否定条件与这些空值不匹配。例如，包含 `NotDeviceTypes=["android"]` 的规则将匹配报告设备类型不是 `"android"` 的设备。但是，该规则不会匹配根本不报告设备类型的设备。