Criteri cassetta postale per dispositivi mobili in Exchange Server
In Exchange Server è possibile creare criteri cassetta postale per dispositivi mobili per applicare un set comune di criteri o impostazioni di sicurezza a una raccolta di utenti. Dopo aver distribuito Exchange ActiveSync nell'organizzazione Exchange Server, è possibile creare nuovi criteri cassetta postale per dispositivi mobili o modificare i criteri esistenti. Quando si installa Exchange Server, viene creato un criterio cassetta postale predefinito per dispositivi mobili. Questo criterio cassetta postale dei dispositivi mobili predefinito viene assegnato automaticamente a tutti gli utenti.
Informazioni generali sui criteri cassetta postale dei dispositivi mobili
È possibile utilizzare i criteri cassetta postale dei dispositivi mobili per gestire molte impostazioni differenti. Ad esempio:
- Richiesta di una password
- Definizione della lunghezza minima per la password
- Richiesta di un numero o di un carattere speciale all'interno della password
- Impostazione del tempo di inattività di un dispositivo prima che venga richiesto all'utente di immettere nuovamente una password
- Cancellazione di un dispositivo dopo un determinato numero di tentativi di immissione della password non riusciti
Per ulteriori informazioni sulle impostazioni configurabili, vedere Impostazioni dei criteri dei dispositivi mobili.
Criteri cassetta postale per dispositivi mobili di Exchange
Exchange ActiveSync è un protocollo client che consente di sincronizzare un dispositivo mobile con la cassetta postale di Exchange. Exchange ActiveSync è abilitato per impostazione predefinita quando si installa Exchange Server.
È possibile creare criteri cassetta postale per dispositivi mobili nell'interfaccia di amministrazione di Exchange o in Exchange Management Shell. Se si crea un criterio in EAC, è possibile configurare solo un sottoinsieme delle impostazioni disponibili. È possibile configurare le altre impostazioni usando Exchange Management Shell.
Impostazioni della password del dispositivo mobile e biometria
Molti dispositivi mobili supportano la biometria, ad esempio Apple Touch ID o Face ID. I criteri cassetta postale dei dispositivi mobili di Exchange non controllano se è possibile usare la biometria anziché digitare il PIN del dispositivo. I criteri cassetta postale per dispositivi mobili possono essere configurati per richiedere un PIN del dispositivo, ma gli utenti controllano se usano la biometria dopo aver soddisfatto il requisito del PIN del dispositivo.
Impostazioni della password del dispositivo mobile e Android
Android 9.0 e versioni precedenti usano la funzionalità di amministratore del dispositivo Android per gestire le impostazioni della password del dispositivo definite nei criteri cassetta postale di un dispositivo mobile.
Con Android 10.0 e versioni successive, Android ha rimosso la funzionalità di amministratore del dispositivo. Al contrario, le app che richiedono un blocco dello schermo eseguono query sulla complessità del blocco dello schermo del dispositivo (o del profilo di lavoro). Le app che richiedono un blocco dello schermo più forte indirizzano l'utente alle impostazioni di blocco della schermata di sistema, consentendo all'utente di aggiornare le impostazioni di sicurezza per diventare conformi. In nessun momento l'app è a conoscenza della password dell'utente; l'app è a conoscenza solo del livello di complessità della password. Android supporta i quattro livelli di complessità delle password seguenti:
| Livello di complessità delle password | Requisiti delle password |
|---|---|
| Nessuno | Non sono configurati requisiti per la password |
| Bassa | La password può essere un modello o un PIN con sequenze ripetute (4444) o ordinate (1234, 4321, 2468) |
| Media | Password che soddisfano uno dei criteri seguenti:
|
| Fortemente | Password che soddisfano uno dei criteri seguenti:
|
Dal punto di vista dei criteri cassetta postale per dispositivi mobili di Exchange, i livelli di complessità delle password di Android vengono mappati alle impostazioni dei criteri seguenti:
| Impostazione dei criteri cassetta postale per dispositivi mobili | Livello di complessità delle password Android |
|---|---|
| Password abilitata = false | Nessuno |
| Consenti password semplice = true Lunghezza < minima password 4 |
Bassa |
| Consenti password semplice = true Lunghezza < minima password 6 |
Media |
| Consenti password semplice = false Password alfanumerica obbligatoria = true Lunghezza < minima password 6 |
Media |
| Consenti password semplice = true Lunghezza > minima password 6 |
Fortemente |
| Consenti password semplice = false Password alfanumerica obbligatoria = true Lunghezza minima password >= 6 |
Fortemente |
Impostazioni dei criteri cassetta postale per i dispositivi mobili
Nella tabella seguente sono riepilogate le impostazioni che è possibile specificare utilizzando i criteri cassetta postale dei dispositivi mobili.
| Impostazione | Descrizione |
|---|---|
| Consenti Bluetooth | Questa impostazione consente di specificare se un dispositivo mobile permette di eseguire connessioni Bluetooth. Le opzioni disponibili sono Disabilita, Solo mani libere e Consenti. Il valore predefinito è Consenti. |
| Consenti browser | Questa impostazione specifica se Pocket Internet Explorer è consentito nel dispositivo mobile. Questa impostazione non influisce sui browser di terze parti installati sul dispositivo mobile. Il valore predefinito è $true. |
| Consenti fotocamera | Questa impostazione consente di specificare se è possibile utilizzare la fotocamera del dispositivo mobile. Il valore predefinito è $true. |
| Consenti posta consumer | Questa impostazione consente di specificare se l'utente del dispositivo mobile può configurare un account di posta elettronica personale (POP3 o IMAP4) sul dispositivo mobile. Il valore predefinito è $true. Questa impostazione non controlla l'accesso agli account di posta elettronica che usano programmi di posta elettronica per dispositivi mobili di terze parti. |
| Consenti sincronizzazione desktop | Questa impostazione consente di specificare se il dispositivo mobile può essere sincronizzato con un PC tramite cavo, connessione Bluetooth o IrDA. Il valore predefinito è $true. |
| Consenti gestione dispositivo esterno | Questa impostazione consente di specificare se un programma di gestione dei dispositivi esterni può gestire il dispositivo mobile. |
| Consenti posta HTML | Questa impostazione consente di specificare se i messaggi di posta elettronica sincronizzati con il dispositivo mobile possono essere in formato HTML. Se questa impostazione è impostata $falsesu , tutti i messaggi di posta elettronica vengono convertiti in testo normale. |
| Consenti condivisione Internet | Questa impostazione consente di specificare se il dispositivo mobile può essere utilizzato come modem per un computer desktop o portatile. Il valore predefinito è $true. |
| AllowIrDA | Questa impostazione consente di specificare se le connessioni a infrarossi sono consentite sul dispositivo mobile. |
| Consenti aggiornamento OTA mobile | Questa impostazione consente di specificare se le impostazioni dei criteri cassetta postale dei dispositivi mobili possono essere inviate al dispositivo mobile su una connessione dati cellulare. Il valore predefinito è $true. |
| Consenti dispositivi senza provisioning | Questa impostazione specifica se i dispositivi mobili che potrebbero non supportare l'applicazione di tutte le impostazioni dei criteri possono connettersi a Exchange Server usando Exchange ActiveSync. L'accettazione di dispositivi mobili non soggetti a provisioning comporta implicazioni a livello di sicurezza. Ad esempio, alcuni dispositivi non con provisioning potrebbero non essere in grado di implementare i requisiti delle password di un'organizzazione. |
| Consenti POPIMAPEmail | Questa impostazione consente di specificare se l'utente può configurare un account di posta elettronica POP3 o IMAP4 sul dispositivo mobile. Il valore predefinito è $true. Questa impostazione non controlla l'accesso da parte di programmi di posta elettronica di terze parti. |
| Consenti desktop remoto | Questa impostazione consente di specificare se il dispositivo mobile può avviare una connessione desktop remoto. Il valore predefinito è true. |
| Consenti password semplice | Questa impostazione consente di abilitare o disabilitare l'utilizzo di una password semplice come 1111 o 1234. Il valore predefinito è $true. |
| Consenti negoziazione algoritmo di crittografia S/MIME | Questa impostazione specifica se l'applicazione di messaggistica nel dispositivo mobile può negoziare l'algoritmo di crittografia se il certificato di un destinatario non supporta l'algoritmo di crittografia specificato. |
| Consenti certificati software S/MIME | Questa impostazione consente di specificare se i certificati software S/MIME sono consentiti o meno sul dispositivo mobile. |
| Consenti scheda di memoria | Questa impostazione consente di specificare se il dispositivo mobile può accedere alle informazioni archiviate su una scheda di memoria. |
| Consenti invio messaggi di testo | Questa impostazione consente di specificare se è consentito inviare messaggi di testo dal dispositivo mobile. Il valore predefinito è $true. |
| Consenti applicazioni non firmate | Questa impostazione consente di specificare se è possibile installare applicazioni non firmate sul dispositivo mobile. Il valore predefinito è $true. |
| Consenti pacchetti di installazione non firmati | Questa impostazione consente di specificare se è possibile eseguire un pacchetto di installazione non firmato sul dispositivo mobile. Il valore predefinito è $true. |
| Consenti Wi-Fi | Questa impostazione consente di specificare se l'accesso Internet wireless è consentito sul dispositivo mobile. Il valore predefinito è $true. |
| Password alfanumerica obbligatoria | Questa impostazione richiede una password con caratteri numerici e non numerici. Il valore predefinito è $true. |
| Elenco applicazioni approvate | Questa impostazione consente di archiviare un elenco di applicazioni approvate che è possibile eseguire sul dispositivo mobile. |
| Allegati abilitati | Questa impostazione consente di abilitare il download degli allegati nel dispositivo mobile. Il valore predefinito è $true. |
| Crittografia del dispositivo abilitata | Questa impostazione consente di abilitare la crittografia nel dispositivo mobile. Non tutti i dispositivi mobili possono imporre la crittografia. Per ulteriori informazioni, vedere la documentazione del dispositivo e del sistema operativo per dispositivi mobili. |
| Intervallo di aggiornamento criteri del dispositivo | Questa impostazione consente di specificare la frequenza con cui i criteri cassetta postale dei dispositivi mobili vengono inviati dal server al dispositivo mobile. |
| IRM abilitato | Questa impostazione consente di specificare se Information Rights Management (IRM) è abilitato sul dispositivo mobile. |
| Dimensione massima allegati | Questa impostazione consente di controllare la dimensione massima degli allegati che possono essere scaricati sul dispositivo mobile. Il valore predefinito è Unlimited. |
| Filtro intervallo calendario massimo | Questa impostazione consente di specificare l'intervallo massimo di giorni del calendario sincronizzabili nel dispositivo mobile. Sono consentiti i seguenti valori: 1: Tutto 2: OneDay 3: Tre giorni 4: OneWeek 5: TwoWeeks 6: OneMonth |
| Filtro intervallo posta elettronica massimo | Questa impostazione consente di specificare il numero massimo di giorni a disposizione per la sincronizzazione degli elementi di posta sul dispositivo mobile. Sono consentiti i seguenti valori: 1: Tutto 2: OneDay 3: Tre giorni 4: OneWeek 5: TwoWeeks 6: OneMonth |
| Dimensione massima troncamento corpo posta elettronica | Questa impostazione consente di specificare la dimensione massima raggiunta la quale i messaggi di posta elettronica vengono troncati quando sincronizzati nel dispositivo mobile. Il valore è espresso in kilobyte (KB). |
| Dimensione massima troncamento corpo HTML posta elettronica | Questa impostazione consente di specificare la dimensione massima raggiunta la quale i messaggi di posta elettronica HTML vengono troncati quando sincronizzati nel dispositivo mobile. Il valore è espresso in kilobyte (KB). |
| Tempo massimo di inattività prima del blocco | Questo valore consente di specificare l'intervallo di tempo durante il quale il dispositivo mobile può rimanere inattivo prima che venga richiesta la password per la riattivazione. È possibile immettere qualsiasi intervallo compreso tra 30 secondi e 1 ora. Il valore predefinito è 15 minuti. |
| Numero massimo tentativi password non riusciti | Questa impostazione specifica il numero di tentativi che un utente può eseguire per immettere la password corretta per il dispositivo mobile. Digitare un numero intero compreso tra 4 e 16. Il valore predefinito è 8. |
| Numero minimo di caratteri complessi nella password | Questa impostazione specifica il numero di set di caratteri necessari nella password del dispositivo mobile. I set di caratteri sono:
È possibile immettere qualsiasi numero compreso tra 1 e 4. Il valore predefinito è 1. |
| Lunghezza minima password | Questa impostazione consente di specificare il numero minimo di caratteri nella password del dispositivo mobile. Digitare un numero intero compreso tra 1 e 16. Il valore predefinito è 4. |
| Password abilitata | Questa impostazione consente di abilitare la password del dispositivo mobile. |
| Scadenza password | Questa impostazione consente all'amministratore di configurare un intervallo di tempo trascorso il quale la password del dispositivo mobile deve essere modificata. |
| Cronologia password | Questa impostazione consente di specificare il numero di password già utilizzate che è possibile memorizzare nella cassetta postale dell'utente. L'utente non può riutilizzare una password memorizzata. |
| Ripristino password abilitato | Quando questa impostazione è abilitata, il dispositivo mobile genera una password di ripristino che viene inviata al server. Se la password del dispositivo mobile viene dimenticata, è possibile utilizzare la password di ripristino per sbloccare il dispositivo mobile e abilitare la creazione di una nuova password. |
| Richiedi crittografia dispositivo | Questa impostazione consente di specificare se è richiesta la crittografia. Se impostato su $true, il dispositivo mobile deve essere in grado di supportare e implementare la crittografia per la sincronizzazione con il server. |
| Richiedi messaggi S/MIME crittografati | Questa impostazione consente di specificare se i messaggi S/MIME devono essere crittografati. Il valore predefinito è $false. |
| Richiedi algoritmo di crittografia S/MIME | Questa impostazione consente di specificare l'algoritmo obbligatorio da utilizzare durante la crittografia dei messaggi S/MIME. |
| Richiedi sincronizzazione manuale durante il roaming | Questa impostazione consente di specificare se il dispositivo mobile deve essere sincronizzato manualmente durante il roaming. Se si consente la sincronizzazione automatica durante il roaming i costi dei dati saranno superiori a quelli previsti per il piano dati del dispositivo mobile. |
| Richiedi algoritmo S/MIME firmato | Questa impostazione consente di specificare l'algoritmo obbligatorio da utilizzare durante la firma di un messaggio. |
| Richiedi messaggi S/MIME firmati | Questa impostazione consente di specificare se il dispositivo mobile deve inviare messaggi S/MIME firmati. |
| Richiedi crittografia della scheda di memoria | Questa impostazione consente di specificare se la scheda di memoria deve essere crittografata. Non tutti i sistemi operativi di dispositivi mobili supportano la crittografia della scheda di memoria. Per ulteriori informazioni, vedere la documentazione del dispositivo mobile e del sistema operativo per dispositivi mobili. |
| Elenco applicazioni InROM non approvate | Questa impostazione consente di specificare un elenco di applicazioni che non possono essere eseguite nella ROM. |