Exchange Online 中的行動裝置信箱原則
在 Microsoft 365 或 Office 365 中,您可以建立行動裝置信箱原則,將一組通用的原則或安全性設定套用至使用者集合。 預設的行動裝置信箱原則會在每個 Microsoft 365 或Office 365組織中建立。
行動裝置信箱原則概述
您可以使用行動裝置信箱原則來管理許多不同的設定。 包括下列各項:
- 需要密碼
- 指定密碼長度下限
- 允許數值 PIN 或密碼中需要特殊字元
- 指定在要求使用者重新輸入密碼之前,裝置可以維持閒置的時間
- 在密碼錯誤幾次之後清除裝置
行動裝置密碼設定和生物特徵辨識
許多行動裝置都支援生物特徵辨識,例如 Apple Touch 識別碼或臉部識別碼。 Exchange 行動裝置信箱原則無法控制是否可以使用生物特徵辨識,而非輸入裝置 PIN。 行動裝置信箱原則可以設定為需要裝置 PIN,但使用者會在符合裝置 PIN 需求之後控制是否使用生物特徵辨識。
需要進階控制生物特徵辨識使用的客戶應該考慮裝置註冊解決方案,例如Microsoft Intune。 如需詳細資訊,請參閱 部署 iOS 版 Outlook 和 Android 應用程式組態設定 。
行動裝置密碼設定和 Android
Android 9.0 和舊版會利用 Android 的裝置系統管理員功能來管理行動裝置信箱原則中定義的裝置密碼設定。
使用 Android 10.0 和更新版本時,Android 已移除裝置系統管理員功能。 相反地,需要螢幕鎖定的應用程式會使用 getPasswordComplexity API 查詢裝置的 (或工作設定檔的) 螢幕鎖定複雜度。 需要更強螢幕鎖定的應用程式會將使用者導向系統畫面鎖定設定,讓使用者能夠更新安全性設定以符合規範。 應用程式不會知道使用者的密碼;應用程式只知道密碼複雜度層級。 Android 支援下列四個密碼複雜度層級:
| 密碼複雜度層級 | 密碼需求 |
|---|---|
| 無 | 未設定密碼需求 |
| 低 | 密碼可以是重複 (4444) 或排序 (1234、4321、2468) 序列的模式或 PIN |
| 中 | 符合下列其中一個準則的密碼:
|
| 高 | 符合下列其中一個準則的密碼:
|
Android 的密碼複雜度層級會對應至下列 Exchange 行動裝置信箱原則設定:
| 行動裝置信箱原則設定 | Android 密碼複雜度層級 |
|---|---|
| 已啟用密碼 = false | 無 |
| 允許簡單密碼 = true 密碼長度下限 < 4 |
低 |
| 需要英數位元密碼 = false 最小密碼長度 > = 4 最小密碼長度 < 8 |
中 |
| 需要英數位元密碼 = true 密碼長度下限 < 6 |
中 |
| 需要英數位元密碼 = false 最小密碼長度 > = 8 |
高 |
| 需要英數位元密碼 = true 最小密碼長度 > = 6 |
高 |
行動裝置信箱原則設定
下表概述您可以使用行動裝置信箱原則來指定的設定。
行動裝置信箱原則設定:
| 設定 | 描述 |
|---|---|
| 允許 Bluetooth | 此設定會指定行動裝置是否允許藍牙連線。 可用的選項為 [停用]、[僅限免持聽筒] 及 [允許]。 預設值為 Allow。 |
| 允許瀏覽器 | 此設定會指定行動裝置上是否允許 Pocket Internet Explorer。 此設定不會影響安裝在行動裝置上的協力廠商瀏覽器。 預設值為 $true。 |
| 允許照相機 | 此設定會指定是否可以使用行動裝置相機。 預設值為 $true。 |
| 允許取用者電子郵件 | 此設定會指定行動裝置使用者是否可以在行動裝置上設定個人電子郵件帳戶 (POP3 或 IMAP4) 。 預設值為 $true。 此設定不會控制對使用協力廠商行動裝置電子郵件程式的電子郵件帳戶的存取。 |
| 允許桌面同步 | 此設定會指定行動裝置是否可以透過纜線、藍牙或 IrDA 連線與電腦同步。 預設值為 $true。 |
| 允許外部裝置管理 | 此設定會指定是否允許外部裝置管理程式管理行動裝置。 |
| 允許 HTML Email | 此設定會指定同步至行動裝置的電子郵件是否可以是 HTML 格式。 如果此設定設為 $false ,則所有電子郵件都會轉換成純文字。 |
| 允許網際網路共用 | 此設定會指定行動裝置是否可以當做桌面或可攜式電腦的數據機使用。 預設值為 $true。 |
| AllowIrDA | 此設定會指定是否允許與行動裝置進行紅外線連線。 |
| 允許行動裝置 OTA 更新 | 此設定會指定行動裝置信箱原則設定是否可以透過行動資料連線傳送至行動裝置。 預設值為 true。 |
| 允許非可提供裝置 | 此設定會指定是否允許不支援套用所有原則設定的行動裝置使用 Exchange ActiveSync 連線到Office 365。 允許不可布建的行動裝置會影響安全性。 例如,某些無法布建的裝置可能無法實作組織的密碼需求。 |
| 允許 POPIMAPEmail | 此設定會指定使用者是否可以在行動裝置上設定 POP3 或 IMAP4 電子郵件帳戶。 預設值為 $true。 此設定不會控制協力廠商電子郵件程式的存取權。 |
| 允許遠端桌面 | 此設定會指定行動裝置是否可以起始遠端桌面連線。 預設值為 $true。 |
| 允許簡單密碼 | 此設定可啟用或停用使用簡單密碼的功能,例如 1111 或 1234。 預設值為 $true。 |
| 允許 S/MIME 加密演算法交涉 | 此設定會指定如果收件者的憑證不支援指定的加密演算法,行動裝置上的傳訊應用程式是否可以交涉加密演算法。 |
| 允許 S/MIME 軟體憑證 | 此設定會指定行動裝置上是否允許 S/MIME 軟體憑證。 |
| 允許儲存卡 | 此設定會指定行動裝置是否可以存取儲存在儲存體卡片上的資訊。 |
| 允許簡訊 | 此設定會指定是否允許從行動裝置傳送簡訊。 預設值為 $true。 |
| 允許未簽署的應用程式 | 此設定會指定是否可以在行動裝置上安裝未簽署的應用程式。 預設值為 $true。 |
| 允許未簽署的安裝套件 | 此設定會指定是否可以在行動裝置上執行未簽署的安裝套件。 預設值為 $true。 |
| 允許 Wi-Fi | 此設定會指定行動裝置上是否允許無線網際網路存取。 預設值為 $true。 |
| 需要英數字元密碼 | 此設定要求密碼必須包含數字與非數字字元。 預設值為 $true。 |
| 核准的應用程式清單 | 此設定會儲存可在行動裝置上執行的已核准應用程式清單。 |
| 已啟用附件 | 此設定可讓附件下載到行動裝置。 預設值為 $true。 |
| 已啟用裝置加密 | 此設定可在行動裝置上啟用加密。 並非所有行動裝置都可以強制執行加密。 如需詳細資訊,請參閱裝置和行動作業系統檔。 |
| 裝置原則重新整理間隔 | 此設定會指定行動裝置信箱原則從伺服器傳送到行動裝置的頻率。 |
| 已啟用 IRM | 此設定會指定行動裝置上是否啟用資訊版權管理 (IRM) 。 |
| 附件大小上限 | 此設定可控制可下載至行動裝置的附件大小上限。 預設值為 Unlimited。 |
| 行事曆存留期上限篩選 | 此設定會指定可同步處理至行動裝置的行事曆天數上限。 接受下列值: 全部 TwoWeeks OneMonth ThreeMonths SixMonths |
| 電子郵件存留期上限篩選 | 此設定會指定要同步至行動裝置的電子郵件專案天數上限。 接受下列值: 全部 OneDay ThreeDays OneWeek TwoWeeks OneMonth |
| 電子郵件內文截斷大小上限 | 此設定會指定當電子郵件訊息同步至行動裝置時截斷的大小上限。 值以 KB) (KB 為單位。 |
| 電子郵件 HTML 內文截斷大小上限 | 此設定會指定同步處理至行動裝置時,截斷 HTML 電子郵件訊息的大小上限。 值以 KB) (KB 為單位。 |
| 閒置時間鎖定上限 | 此值會指定行動裝置在需要密碼才能重新啟用之前,可以處於非作用中狀態的時間長度。 您可以輸入 30 秒到 1 小時之間的任何間隔。 預設值為 15 分鐘。 |
| 密碼失敗嘗試次數上限 | 此設定會指定使用者可以嘗試輸入行動裝置正確密碼的次數。 您可以輸入 4 到 16 的任何數位。 預設值為 8。 |
| 最小密碼複雜字元 | 此設定會指定行動裝置密碼中所需的最小複雜字元數目。 複雜字元是不是字母的字元。 |
| 密碼長度下限 | 此設定會指定行動裝置密碼中的字元數下限。 您可以輸入從 1 到 16 的任何數位。 預設值為 4。 |
| 已啟用密碼 | 此設定會啟用行動裝置密碼。 |
| 密碼過期 | 此設定可讓系統管理員設定必須變更行動裝置密碼的時間長度。 |
| 密碼歷程 | 此設定指定可以儲存在使用者信箱中的先前密碼數。 使用者無法再使用儲存的密碼。 |
| 已啟用密碼復原 | 啟用此設定時,行動裝置會產生傳送至伺服器的修復密碼。 如果使用者忘記其行動裝置密碼,則可以使用修復密碼來解除鎖定行動裝置,並讓使用者建立新的行動裝置密碼。 |
| 需要裝置加密 | 此設定指定是否需要裝置加密。 如果設定為 $true ,行動裝置必須能夠支援並實作加密,才能與伺服器同步處理。 |
| 需要加密的 S/MIME 郵件 | 此設定指定 S/MIME 郵件是否必須加密。 預設值為 $false。 |
| 需要加密 S/MIME 演算法 | 此設定會指定加密 S/MIME 訊息時必須使用哪些必要演算法。 |
| 漫遊時需要手動同步處理 | 此設定會指定行動裝置是否必須在漫遊時手動同步處理。 在漫遊時允許自動同步處理,通常會導致行動裝置通話方案的資料成本超出預期。 |
| 需要已簽署的 S/MIME 演算法 | 此設定會指定簽署訊息時必須使用哪些必要的演算法。 |
| 需要已簽署的 S/MIME 訊息 | 此設定會指定行動裝置是否必須傳送已簽署的 S/MIME 訊息。 |
| 需要儲存卡加密 | 此設定指定儲存卡是否必須加密。 並非所有行動裝置作業系統都支援儲存體卡片加密。 如需詳細資訊,請參閱您的行動裝置和行動作業系統檔。 |
| 未核准的 InROM 應用程式清單 | 此設定指定無法在 ROM 中執行的應用程式清單。 |
管理行動裝置信箱原則
您可以在 Exchange 系統管理中心內建立、修改或刪除行動裝置信箱原則, (EAC) 或Exchange Online PowerShell。 如果您在 EAC 中建立原則,則只能設定可用設定的子集。 您可以使用 Exchange Online PowerShell 來設定其餘設定。
開始之前有哪些須知?
預估完成時間:15 分鐘。
您必須已獲指派權限,才能執行此程序或這些程序。 To see what permissions you need, see the "Mobile devices" feature in the Feature permissions in Exchange Online topic.
如需開啟 Exchange 系統管理中心 (EAC),請參閱 Exchange Online 中的 Exchange 系統管理中心。 若要連線至 Exchange Online PowerShell,請參閱連線至 Exchange Online PowerShell。
如需適用於此主題中程序的快速鍵相關資訊,請參閱 Exchange 系統管理中心的鍵盤快速鍵。
提示
有問題嗎? 在 Exchange 論壇中尋求協助。 請造訪位於 Exchange Online的論壇。
建立新的行動裝置信箱原則
使用 EAC 建立新的行動裝置信箱原則
注意事項
您只能在 EAC 中設定行動裝置信箱原則設定的子集。 若要設定所有行動裝置信箱原則設定,您必須使用 Exchange Online PowerShell。
在 EAC 中,按一下 [行動>裝置信箱原則],然後按一下 [
![新增新增] 圖示。](../../exchangeonline/media/itpro_eac_addicon.png)
使用各種不同的核取方塊和下拉式清單設定行動裝置信箱原則的設定。
警告
選取 [這是預設原則],將新的行動信箱原則設為預設的行動信箱原則。 將行動信箱原則設為預設原則之後,會在建立新使用者時,自動指派此原則給所有新使用者。
按一下 [儲存]。
使用 Exchange Online PowerShell 建立新的行動裝置信箱原則
您可以使用 New-MobileDeviceMailboxPolicy Cmdlet 建立新的行動裝置信箱原則。
在 Exchange Online PowerShell 中,執行下列命令。
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
如何知道這是否正常運作?
若要確認是否已成功建立行動裝置信箱原則,請使用下列其中一個選項:
在 EAC 中,按一下 [行動>裝置] 信箱原則,並確認您的新原則顯示在 [清單] 檢視中。
在 Exchange Online PowerShell 中,執行下列命令。
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
如需此 Cmdlet 的詳細資訊,請參閱 Get-MobileDeviceMailboxPolicy。
使用 EAC 編輯行動裝置信箱原則
注意事項
您只能在 EAC 中編輯行動裝置信箱原則設定的子集。 若要編輯所有行動裝置信箱原則設定,您必須使用 Exchange Online PowerShell。
在 EAC 中,按一下 [行動>裝置信箱原則]。
從 [清單] 檢視中選取原則,然後按一下[編輯編輯
![] 圖示。](../../exchangeonline/media/itpro_eac_editicon.png)
使用 [一般] 和 [安全性] 索引標籤編輯行動裝置信箱原則設定。
![編輯行動裝置信箱原則 - [一般] 索引標籤。](../../exchangeonline/media/eac-edit-mobile-device-mailbox-policies-general.png)
按一下 [儲存] 以更新原則。
使用 Exchange Online PowerShell 編輯行動裝置信箱原則設定
您可以使用 Set-MobileDeviceMailboxPolicy Cmdlet 來編輯行動裝置信箱原則。
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
如何知道這是否正常運作?
若要確認是否已成功編輯行動裝置信箱原則,請執行下列其中一個動作:
在 EAC 中,按一下 [行動>裝置信箱原則],然後選擇特定原則。 在 [詳細資料] 窗格中,您將看到一些列出的原則設定。
在命令介面中,執行下列命令。
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
如需此 Cmdlet 的詳細資訊,請參閱 Get-MobileDeviceMailboxPolicy。