支援終止通知:2027 年 3 月 31 日, AWS 將終止對 Amazon WorkMail 的支援。2027 年 3 月 31 日之後,您將無法再存取 Amazon WorkMail 主控台或 Amazon WorkMail 資源。如需詳細資訊,請參閱 Amazon WorkMail 終止支援。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理行動裝置存取規則
Amazon WorkMail 的行動裝置存取規則可讓管理員控制特定類型行動裝置的信箱存取。根據預設,每個 Amazon WorkMail 組織都會使用將信箱存取權授予任何裝置的規則,無論類型、模型、作業系統或使用者代理程式為何。您可以使用自己的其中一個規則來編輯或取代該預設規則。您也可以新增、變更和刪除規則。
警告
如果您刪除組織的所有行動裝置存取規則,Amazon WorkMail 會封鎖所有行動裝置存取。
您可以根據下列裝置屬性建立允許或拒絕存取的規則:
裝置類型—「iPhone」、「iPad」或「Android」。
裝置模型 —「iPhone10C1」、「iPad5C1」或「HTCOneX."
裝置作業系統—"iOS 12.3.1 16F203" 或 "Android 8.1.0"。
裝置使用者代理程式—"iOS/14.2 (18B92) exchangesyncd/1.0" 或 "Android-Mail/7.7.16.163886392.release"。
若要在 AWS 管理主控台上檢視裝置屬性,請參閱檢視行動裝置詳細資訊。
注意
有些裝置和用戶端可能不會報告所有欄位的屬性。如需處理這些案例的資訊,請參閱 Dealing with empty fields
重要
Amazon WorkMail 行動裝置存取規則僅適用於使用 Microsoft Exchange ActiveSync 通訊協定的裝置。使用 IMAP 等不同通訊協定的行動用戶端不會報告此處列出的裝置屬性,因此這些規則不適用。
如果您需要限制使用其他通訊協定的裝置存取,您可以建立存取控制規則。如需詳細資訊,請參閱使用存取控制規則。 例如,您可以將對其他通訊協定和 Webmail 的存取限制為一系列的公司 IP 地址,但允許 Microsoft ActiveSync 從其他位置存取,然後使用行動裝置存取規則進一步限制允許用戶端的類型和版本。
行動裝置存取規則的運作方式
行動裝置存取規則僅適用於使用 Microsoft Exchange ActiveSync 通訊協定的裝置。每個規則都有一組條件,指定規則套用的時間,以及裝置的 ALLOW或 DENY 存取效果。只有在規則的所有條件都符合使用者行動裝置的屬性時,規則才會套用至存取請求。沒有條件的規則適用於所有請求。每個條件都會針對裝置回報的屬性使用不區分大小寫的字首比對。
Amazon WorkMail 會評估規則,如下所示:
如果有任何
DENY規則符合裝置屬性,政策會封鎖裝置。DENY規則優先於ALLOW規則。如果至少有一個
ALLOW規則相符,但沒有DENY規則相符,則政策會允許裝置。如果沒有套用規則,則會封鎖裝置。
重要
行動裝置會報告規則用於操作的屬性。裝置會在 Microsoft ActiveSync 裝置佈建程序期間報告其屬性。Amazon WorkMail 無法獨立驗證行動用戶端是否報告正確或up-to-date資訊。
使用行動裝置存取規則
您可以使用 APIs或 AWS Command Line Interface (CLI) 來建立和管理行動裝置存取規則。如需 的詳細資訊 AWS CLI,請參閱 AWS Command Line Interface 使用者指南。
重要
當您變更 Amazon WorkMail 組織的存取規則時,受影響的裝置可能需要五分鐘的時間才能遵循更新後的規則,而且裝置在此期間可能會顯示不一致的行為。不過,當您測試規則時,會立即看到正確的行為。如需詳細資訊,請參閱Testing mobile device access rules。
列出行動裝置存取規則
下列範例顯示如何列出行動裝置存取規則。
aws workmaillist-mobile-device-access-rules--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56
建立行動裝置存取規則
下列範例會建立規則,封鎖所有 Android 裝置存取信箱。
aws workmailcreate-mobile-device-access-rule--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56--nameBlockAllAndroid--effect DENY --device-types "android"
下列範例會建立僅允許特定 iOS 版本的規則。請務必移除預設ALLOW-all規則。
aws workmailcreate-mobile-device-access-rule--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56--nameAllowLatestiOS--effect ALLOW --device-operating-systems "iOS 14.3"
更新行動裝置存取規則
下列範例會新增識別符來更新裝置規則。
aws workmailupdate-mobile-device-access-rule--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56--mobile-device-access-rule-id1a2b3c4d--nameAllowLatestiOS--effect ALLOW --device-operating-systems "iOS 14.4"
刪除行動裝置存取規則
下列範例會刪除具有指定識別符的行動裝置存取規則。
aws workmaildelete-mobile-device-access-rule--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56--mobile-device-access-rule-id1a2b3c4d
測試行動裝置存取規則
若要測試存取規則,您可以使用 GetMobileDeviceAccessEffect API,或在 中使用 get-mobile-device-access-effect 命令 AWS CLI 。如需 的詳細資訊 AWS CLI,請參閱 AWS 命令列界面使用者指南。
當您測試時,您會傳入模擬行動裝置的屬性,而 API 或 CLI 會傳回具有這些屬性的實際行動裝置會收到的存取效果 DENY或ALLOW 。例如,此命令會測試執行 iOS 14.2 的 iPhone 以及預設郵件應用程式是否可以存取信箱。
aws workmailget-mobile-device-access-effect--organization-idm-a123b4c5de678fg9h0ij1k2lm234no56--device-type "iPhone" --device-model "iPhone10C1" --device-operating-system "iOS 14.2.1 16F203" --device-user-agent "iOS/14.2 (18B92) exchangesyncd/1.0"
處理空白欄位
有些行動裝置或用戶端可能不會報告一或多個欄位的資訊,將值保留空白。規則可以透過在 條件$NONE中使用特殊值來比對這些裝置。例如,具有 的規則DeviceTypes=["iphone", "ipad", "$NONE"]會比對報告裝置類型為 "iphone"或 的裝置"ipad",或完全不報告裝置類型。
NotDeviceTypes 或 等負面條件NotDeviceUserAgents不符合這些空值。例如,具有 的規則NotDeviceTypes=["android"]會比對報告 以外裝置類型的裝置"android"。不過,規則完全不符合未報告裝置類型的裝置。
