Политики почтовых ящиков мобильных устройств в Exchange Server
В Exchange Server можно создать политики почтовых ящиков мобильных устройств, чтобы применить общий набор политик или параметров безопасности к коллекции пользователей. После развертывания Exchange ActiveSync в организации Exchange Server можно создать новые политики почтовых ящиков мобильных устройств или изменить существующие политики. При установке Exchange Server создается политика почтовых ящиков мобильных устройств по умолчанию. Эта политика назначается всем пользователям автоматически.
Обзор политик почтовых ящиков мобильных устройств
Политики почтовых ящиков мобильных устройств можно использовать для управления множеством различных параметров. например:
- Требование ввести пароль
- Минимальная длина пароля
- Требование наличия в пароле числа или специального символа
- Период бездействия устройства перед требованием повторного ввода пароля
- Очистка устройства после указанного количества неудачных попыток ввести пароль
Дополнительные сведения о всех настраиваемых параметрах см. в разделе "Параметры политик мобильных устройств".
Политики почтовых ящиков мобильных устройств Exchange
Exchange ActiveSync клиентский протокол, который позволяет синхронизировать мобильное устройство с почтовым ящиком Exchange. Exchange ActiveSync включен по умолчанию при установке Exchange Server.
Политики почтовых ящиков для мобильных устройств можно создавать в Центре администрирования Exchange и в командной консоли Exchange. В Центре администрирования Exchange можно настроить только часть доступных параметров. Остальные параметры можно настроить с помощью командной консоли Exchange.
Параметры пароля мобильного устройства и биометрические данные
Многие мобильные устройства поддерживают биометрические данные, такие как Apple Touch ID или Face ID. Политики почтовых ящиков мобильных устройств Exchange не определяют, можно ли использовать биометрические данные вместо ввода ПИН-кода устройства. Политики почтовых ящиков мобильных устройств можно настроить так, чтобы требовать ПИН-код устройства, но затем пользователи определяют, используют ли они биометрические данные после выполнения требования к ПИН-коду устройства.
Параметры пароля мобильного устройства и Android
Android 9.0 и более ранних версий используют функции администрирования устройств Android для управления параметрами паролей устройств, определенными в политике почтовых ящиков мобильных устройств.
В Android 10.0 и более поздних версиях Android удалила функции администрирования устройств. Вместо этого приложения, которым требуется блокировка экрана, запрашивают сложность блокировки экрана устройства (или рабочего профиля). Приложения, которым требуется более надежная блокировка экрана, направляют пользователя к системным параметрам блокировки экрана, позволяя пользователю обновить параметры безопасности, чтобы они соответствовали требованиям. Приложение не знает пароль пользователя; приложению известно только уровень сложности пароля. Android поддерживает следующие четыре уровня сложности пароля:
| Уровень сложности пароля | Требования к паролям |
|---|---|
| Нет | Требования к паролю не настроены |
| Низкая | Пароль может быть шаблоном или ПИН-кодом с повторяющимися последовательности (4444) или упорядоченными (1234, 4321, 2468) |
| Средняя | Пароли, соответствующие одному из следующих критериев:
|
| Высокая | Пароли, соответствующие одному из следующих критериев:
|
С точки зрения политики почтовых ящиков мобильных устройств Exchange уровни сложности паролей Android сопоставляются со следующими параметрами политики:
| Параметр политики почтового ящика мобильных устройств | Уровень сложности пароля Android |
|---|---|
| Пароль включен = false | Нет |
| Разрешить простой пароль = true Минимальная длина < пароля 4 |
Низкая |
| Разрешить простой пароль = true Минимальная длина < пароля 6 |
Средняя |
| Разрешить простой пароль = false Требуется буквенно-цифровой пароль = true Минимальная длина < пароля 6 |
Средняя |
| Разрешить простой пароль = true Минимальная длина > пароля 6 |
Высокая |
| Разрешить простой пароль = false Требуется буквенно-цифровой пароль = true Минимальная длина >пароля = 6 |
Высокая |
Параметры политики почтовых ящиков мобильного устройства
В следующей таблице перечислены параметры, которые можно задать с помощью политик почтовых ящиков мобильных устройств.
| Setting | Описание |
|---|---|
| Разрешить Bluetooth | Данный параметр определяет, будет ли мобильное устройство принимать подключения Bluetooth. Доступны следующие значения: "Отключить", "Только для громкой связи" и "Разрешить". Значение этого параметра по умолчанию "Разрешить". |
| Разрешить браузер | Этот параметр определяет, разрешен ли на мобильном устройстве браузер Pocket Internet Explorer. Этот параметр не влияет на браузеры сторонних производителей, установленные на мобильном устройстве. Значение по умолчанию — $true. |
| Разрешить камеру | Этот параметр определяет, можно ли использовать камеру мобильного устройства. Значение по умолчанию — $true. |
| Разрешить пользовательскую электронную почту | Этот параметр определяет, может ли пользователь настраивать личную учетную запись электронной почты (POP3 или IMAP4) на мобильном устройстве. Значение по умолчанию — $true. Этот параметр не контролирует доступ посторонних почтовых программ для мобильных устройств к электронной почте. |
| Разрешить синхронизацию с настольным ПК | Этот параметр определяет, может ли мобильное устройство синхронизироваться с настольным компьютером через кабель, порт IrDA или Bluetooth. Значение по умолчанию — $true. |
| Разрешить управление внешним устройством | Этот параметр определяет, разрешено ли внешней программе управления устройствами управлять мобильным устройством. |
| Разрешить сообщения электронной почты в формате HTML | Этот параметр определяет, может ли электронная почта при синхронизации с мобильным устройством сохранять формат HTML. Если для этого параметра задано значение $false, все сообщения электронной почты преобразуются в обычный текст. |
| Разрешить общий доступ к Интернету | Этот параметр определяет, можно ли использовать мобильное устройство в качестве модема для настольного или портативного компьютера. Значение по умолчанию — $true. |
| AllowIrDA | Этот параметр определяет, разрешены ли на мобильном устройстве инфракрасные соединения. |
| Разрешить обновление Mobile OTA | Этот параметр определяет, можно ли отправлять параметры политики почтового ящика мобильного устройства на мобильное устройство через мобильное подключение. Значение по умолчанию — $true. |
| Разрешить неинициализируемые устройства | Этот параметр указывает, разрешено ли мобильным устройствам, поддерживающим применение всех параметров политики, подключаться к Exchange Server с помощью Exchange ActiveSync. Использование неинициализируемых мобильных устройств представляет угрозы для безопасности. Например, некоторые неинициализируемые устройства могут не применять требования организации к паролям. |
| Разрешить POPIMAPEmail | Этот параметр определяет, может ли пользователь настроить на мобильном устройстве учетную запись электронной почты POP3 или IMAP4. Значение по умолчанию — $true. Этот параметр не управляет доступом посторонних почтовых программ. |
| Разрешить подключение к удаленному рабочему столу | Этот параметр определяет, может ли мобильное устройство инициировать подключение к удаленному рабочему столу. Значение по умолчанию — true. |
| Разрешить использовать простой пароль | Этот параметр включает или отключает функцию использования простого пароля, например "1111" или "1234". Значение по умолчанию — $true. |
| Разрешить согласование алгоритма шифрования S/MIME | Этот параметр указывает, может ли приложение для обмена сообщениями на мобильном устройстве согласовывать алгоритм шифрования, если сертификат получателя не поддерживает указанный алгоритм шифрования. |
| Разрешить сертификаты программного обеспечения S/MIME | Этот параметр определяет, разрешены ли на мобильном устройстве сертификаты программного обеспечения S/MIME. |
| Разрешить карты памяти | Этот параметр определяет, позволяет ли мобильное устройство получать доступ к сведениям, которые хранятся на карте памяти. |
| Разрешить обмен текстовыми сообщениями | Этот параметр указывает, разрешен ли для мобильного устройства обмен текстовыми сообщениями. Значение по умолчанию — $true. |
| Разрешить неподписанные приложения | Этот параметр указывает, можно ли устанавливать на мобильное устройство неподписанные приложения. Значение по умолчанию — $true. |
| Разрешить неподписанные установочные пакеты | Этот параметр указывает, можно ли запускать на мобильном устройстве неподписанные установочные пакеты. Значение по умолчанию — $true. |
| Разрешить Wi-Fi | Этот параметр указывает, разрешен ли для мобильного устройства беспроводной доступ к Интернету. Значение по умолчанию — $true. |
| Требовать ввода буквенно-цифрового пароля | Этот параметр требует, чтобы пароль содержал не только цифры, но и другие символы. Значение по умолчанию — $true. |
| Список одобренных приложений | Этот параметр содержит список одобренных приложений, которые можно запускать на мобильном устройстве. |
| Вложения разрешены | Этот параметр разрешает загрузку вложений на мобильное устройство. Значение по умолчанию — $true. |
| Шифрование устройства включено | Этот параметр включает шифрование на мобильном устройстве. Не все мобильные устройства могут поддерживать шифрование. Дополнительные сведения см. в документации на устройство и операционную систему. |
| Интервал обновления политики устройства | Этот параметр указывает частоту, с которой политики почтового ящика мобильного устройства отправляется с сервера на мобильное устройство. |
| Служба IRM включена | Этот параметр указывает, включена ли служба управления правами доступа к данным (IRM) на мобильном устройстве. |
| Максимальный размер вложения | Этот параметр контролирует максимальный размер вложений, которые могут быть загружены на мобильное устройство. Значение по умолчанию "Unlimited". |
| Фильтр максимального времени хранения календаря | Этот параметр задает максимальный диапазон дней календаря, который можно синхронизировать с мобильным устройством. Допустимы следующие значения: 1: Все 2: OneDay 3: Три дня 4: OneWeek 5: Две недели 6: OneMonth |
| Фильтр максимального времени хранения электронной почты | Этот параметр задает максимальное количество дней для сообщений электронной почты, для которых выполняется синхронизация с мобильным устройством. Допустимы следующие значения: 1: Все 2: OneDay 3: Три дня 4: OneWeek 5: Две недели 6: OneMonth |
| Максимальный размер усечения текста сообщений электронной почты | Этот параметр задает максимальный размер сообщений электронной почты, при котором они усекаются во время синхронизации с мобильным устройством. Значение задается в килобайтах (КБ). |
| Максимальный размер текста сообщений электронной почты в формате HTML | Этот параметр задает максимальный размер сообщений электронной почты в формате HTML, при котором они усекаются во время синхронизации с мобильным устройством. Значение задается в килобайтах (КБ). |
| Максимальное время простоя до блокировки | Этот параметр указывает период бездействия мобильного устройства, в течение которого для возобновления работы устройства не требуется вводить пароль. Можно задать интервал от 30 секунд до 1 часа. Значение по умолчанию равно 15 минутам. |
| Максимальное количество неудачных попыток ввода пароля | Этот параметр указывает число попыток ввода правильного пароля для мобильного устройства. Можно ввести число от 4 до 16. Значение по умолчанию 8. |
| Минимальное количество сложных символов в пароле | Этот параметр задает необходимое количество наборов символов в пароле мобильного устройства. К наборам символов относятся:
Можно ввести любое число от 1 до 4. Значение по умолчанию равно 1. |
| Минимальная длина пароля | Этот параметр указывает минимальное число знаков в пароле мобильного устройства. Можно ввести число от 1 до 16. Значение по умолчанию 4. |
| Пароль включен | Этот параметр включает пароль мобильного устройства. |
| Срок действия пароля | Этот параметр позволяет администратору настроить временной интервал, по истечении которого необходимо изменить пароль мобильного устройства. |
| Журнал пароля | Этот параметр определяет число использовавшихся паролей, хранящихся в почтовом ящике пользователя. Пользователь не может использовать сохраненный пароль повторно. |
| Восстановление пароля включено | При включении этого параметра на мобильном устройстве создается пароль для восстановления, который отправляется на сервер. Если пользователь забыл пароль мобильного устройства, чтобы разблокировать мобильное устройство и разрешить пользователю создать новый пароль, можно использовать пароль для восстановления. |
| Требовать шифрование устройства | Этот параметр определяет, необходимо ли шифрование для устройства. Если задано значение $true, мобильное устройство должно поддерживать и реализовывать шифрование для синхронизации с сервером. |
| Требовать шифрование сообщений S/MIME | Этот параметр определяет, необходимо ли шифровать сообщения S/MIME. Значение по умолчанию — $false. |
| Требовать алгоритм шифрования S/MIME | Этот параметр задает алгоритм, который должен использоваться для шифрования сообщений S/MIME. |
| Требовать при роуминге выполнение синхронизации вручную | Этот параметр указывает, должно ли мобильное устройство синхронизироваться вручную при роуминге. Включение автоматической синхронизации при роуминге может привести к непредвиденным расходам на мобильную связь. |
| Требовать подписанный алгоритм S/MIME | Этот параметр задает алгоритм, который должен использоваться для подписи сообщения. |
| Требовать подписанные сообщения S/MIME | Этот параметр указывает, должно ли мобильное устройство отправлять подписанные сообщения S/MIME. |
| Требовать шифрование карты памяти | Этот параметр определяет, необходимо ли шифровать карту памяти. Не все операционные системы для мобильных устройств поддерживают шифрование карт памяти. Дополнительные сведения см. в документации к мобильному устройству и операционной системе. |
| Список недопустимых приложений в ПЗУ | Этот параметр содержит список приложений, которые невозможно запускать в ПЗУ. |