Exchange Online 中的移动设备邮箱策略

移动设备邮箱策略概述

您可以使用移动设备邮箱策略管理许多不同的设置。其中包括：

要求使用密码

指定最小密码长度

允许使用数字 PIN 或要求在密码中使用特殊字符

指定在要求用户重新输入密码之前设备可以保持非活动状态的时间

指定密码尝试失败多少次后擦除设备

移动设备密码设置和生物识别

许多移动设备支持生物识别，例如 Apple Touch ID 或人脸 ID。 Exchange 移动设备邮箱策略无法控制是否可以使用生物识别，而不是键入设备 PIN。可以将移动设备邮箱策略配置为要求设备 PIN，但用户随后在符合设备 PIN 要求后控制他们是否使用生物识别。

需要对生物识别的使用进行高级控制的客户应考虑设备注册解决方案，例如Microsoft Intune。有关详细信息，请参阅部署 Outlook for iOS 和 Android 应用配置设置。

移动设备密码设置和 Android

Android 9.0 及更早版本利用 Android 的设备管理功能来管理移动设备邮箱策略中定义的设备密码设置。

对于 Android 10.0 及更高版本，Android 已删除设备管理功能。相反，需要屏幕锁定的应用使用 getPasswordComplexity API 查询设备的 (或工作配置文件) 屏幕锁定复杂性。需要更强屏幕锁定的应用会将用户定向到系统屏幕锁定设置，从而允许用户更新安全设置，使其符合要求。应用在任何时候都无法识别用户的密码;应用仅知道密码复杂性级别。 Android 支持以下四个密码复杂性级别：

密码复杂性级别满足以下条件之一的密码：

没有重复 (4444 的 PIN，) 或排序 (1234、4321、2468) 序列，最小长度为 4 个字符
最小长度为 4 个字符的字母密码
最小长度为 4 个字符的字母数字密码

满足以下条件之一的密码：

没有重复 (4444) 或排序的 PIN (1234、4321、2468) 序列，最小长度为 8 个字符
最小长度为 6 个字符的字母密码
长度最小为 6 个字符的字母数字密码

Android 的密码复杂性级别映射到以下 Exchange 移动设备邮箱策略设置：

移动设备邮箱策略设置 Android 密码复杂性级别允许用户电子邮件此设置指定移动设备用户是否可以在移动设备上配置个人电子邮件帐户（POP3 或 IMAP4）。默认值为


   $true

。此设置不控制使用第三方移动设备电子邮件程序对电子邮件帐户的访问。允许桌面同步此设置指定移动设备是否可以通过电缆、蓝牙或 IrDA 连接与计算机进行同步。默认值为


   $true

。允许外部设备管理此设置指定是否允许使用外部设备管理程序来管理移动设备。允许 HTML 电子邮件此设置指定同步到移动设备的电子邮件是否可以采用 HTML 格式。如果此设置设置为


   $false

，则所有电子邮件都转换为纯文本。允许 Internet 共享此设置指定是否可以使用移动设备作为台式机或便携式计算机的调制解调器。默认值为


   $true

。 AllowIrDA 此设置指定移动设备是否允许建立红外连接。允许移动 OTA 更新此设置指定是否可以通过手机网络数据连接将移动设备邮箱策略设置发送到移动设备。默认值为


   true

。允许不可设置的设备此设置指定是否允许可能不支持应用所有策略设置的移动设备使用Exchange ActiveSync连接到Office 365。允许不可设置的设备会产生安全隐患。例如，某些不可设置的设备可能无法实现组织的密码要求。允许 POP/IMAP 电子邮件此设置指定用户是否可以在移动设备上配置 POP3 或 IMAP4 电子邮件帐户。默认值为


   $true

。此设置不控制第三方电子邮件程序的访问。允许远程桌面此设置指定移动设备是否可以启动远程桌面连接。默认值为


   $true

。允许简单密码此设置启用或禁用诸如 1111 或 1234 这样的简单密码。默认值为


   $true

。允许 S/MIME 加密算法协商此设置指定移动设备上的邮件应用程序是否可以在收件人的证书不支持指定的加密算法时协商加密算法。允许 S/MIME 软件证书此设置指定移动设备上是否允许使用 S/MIME 软件证书。允许存储卡此设置指定移动设备是否可以访问存储卡中存储的信息。允许短信服务此设置指定是否可以在移动设备上使用短信服务。默认值为


   $true

。允许未签名应用程序此设置指定是否可以在移动设备上安装未签名的应用程序。默认值为


   $true

。允许未签名安装程序包此设置指定是否可以在移动设备上运行未签名的安装程序包。默认值为


   $true

。允许 Wi-Fi 此设置指定是否允许在移动设备上进行无线 Internet 访问。默认值为


   $true

。必须是字母数字密码此设置要求密码包含数字和非数字字符。默认值为


   $true

。已许可应用程序列表此设置存储了可以在移动设备上运行的已许可应用程序的列表。此设置使附件可以下载到移动设备。默认值为


   $true

。启用设备加密此设置在移动设备上启用加密。并非所有移动设备都可以强制实行加密。有关详细信息，请参阅设备和移动操作系统文档。设备策略刷新间隔此设置指定从服务器向移动设备发送移动设备邮箱策略的频率。启用 IRM 此设置指定移动设备上是否启用了信息权限管理 (IRM)。最大附件大小此设置控制可下载到移动设备的附件的最大大小。默认值为“Unlimited”。最长日历期限筛选器此设置指定可同步到移动设备的日历日的最大范围。接受以下值：

全部

TwoWeeks

OneMonth

ThreeMonths

SixMonths 最长电子邮件期限筛选器此设置指定可同步到移动设备的电子邮件项的最大天数。接受以下值：

全部

OneDay

ThreeDays

OneWeek

TwoWeeks

OneMonth 最大电子邮件正文截断大小此设置指定电子邮件在同步到移动设备的过程中被截断的最大大小。该值以千字节 (KB) 为单位。最大电子邮件 HTML 正文截断大小此设置指定 HTML 电子邮件在同步到移动设备的过程中被截断的最大大小。该值以千字节 (KB) 为单位。最大不活动时间锁定此值指定移动设备在要求提供密码重新激活之前可处于非活动状态的时长。可以输入 30 秒和 1 小时之间的任何时间间隔。默认值为 15 分钟。最大密码失败尝试次数此设置指定用户为移动设备输入正确密码之前可以尝试的次数。可以输入 4 到 16 之间的任意数字。默认值为 8。最小密码复杂字符数此设置指定移动设备密码中所需的最小复杂字符数。复杂字符是指非字母字符。最短密码长度此设置指定移动设备密码包含的最小字符数。可以输入 1 到 16 之间的任意数字。默认值为 4。此设置启用移动设备密码。密码有效期此设置使管理员可以配置密码更改时长，经过此时长之后必须更改移动设备的密码。密码历史记录此设置指定可以存储在用户邮箱中的旧密码数。用户不能重复使用已存储的密码。启用密码恢复启用此设置后，移动设备可以生成恢复密码并发送到服务器。如果用户忘记自己的移动设备密码，可使用恢复密码解除锁定移动设备，然后可以创建新的移动设备密码。要求设备加密此设置指定是否要求设备加密。如果设置为


   $true

，则移动设备必须能够支持并实现加密才能与服务器同步。要求加密 S/MIME 邮件此设置指定是否必须加密 S/MIME 邮件。默认值为


   $false

。要求加密 S/MIME 算法此设置指定加密 S/MIME 邮件时必须使用哪种必需的算法。漫游时要求手动同步此设置指定移动设备漫游时是否必须手动同步。如果允许在漫游时自动同步，将会经常使移动设备数据计划的数据费用超过预期。要求签名 S/MIME 算法此设置指定为邮件签名时必须使用哪种必需的算法。要求签名 S/MIME 邮件此设置指定移动设备是否必须发送已签名的 S/MIME 邮件。要求存储卡加密此设置指定是否必须加密存储卡。并非所有移动设备操作系统均支持存储卡加密。有关详细信息，请参阅您的移动设备及移动操作系统的文档。未许可的 ROM 中应用程序列表此设置指定不能在 ROM 中运行的应用程序列表。

管理移动设备邮箱策略

可以在 Exchange 管理中心中创建、修改或删除移动设备邮箱策略， (EAC) 或Exchange Online PowerShell。如果在 EAC 中创建策略，只能配置可用设置的子集。可以使用 Exchange Online PowerShell 配置其余设置。

开始前，有必要了解什么？

估计完成时间：15 分钟。

你必须先获得权限，然后才能执行此过程或多个过程。若要查看所需的权限，请参阅 Exchange Online 中的功能权限主题中的 “移动设备”功能。

若要 (EAC) 打开 Exchange 管理中心，请参阅 Exchange Online 中的 Exchange 管理中心。若要连接到 Exchange Online PowerShell，请参阅连接到 Exchange Online PowerShell 。

有关可能适用于本主题中的过程的键盘快捷方式的信息，请参阅 Exchange 管理中心的键盘快捷方式。

是否有任何疑问？在 Exchange 论坛中寻求帮助。访问 Exchange Online 的论坛。

新建移动设备邮箱策略

使用 EAC 创建新的移动设备邮箱策略

只能在 EAC 中设置一部分移动设备邮箱策略设置。若要设置所有移动设备邮箱策略设置，需要使用 powerShell Exchange Online。

在 EAC 中，单击“ 移动设备 > 邮箱策略 ”，然后单击“ 添加 ”图标。

使用各种复选框和下拉列表来配置移动设备邮箱策略的设置。

选择“ 这是默认策略 ”，使新的移动邮箱策略成为默认移动邮箱策略。将移动邮箱策略设为默认策略后，将在创建所有新用户时自动分配此策略。

单击 “保存” 。

使用 Exchange Online PowerShell 创建新的移动设备邮箱策略

可以使用 New-MobileDeviceMailboxPolicy cmdlet 创建新的移动设备邮箱策略。

在 Exchange Online PowerShell 中运行以下命令。

New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
如何知道操作成功？
要验证是否已成功创建移动设备邮箱策略，可使用以下选项之一：
在 EAC 中，单击“ 移动设备>邮箱策略”，并验证新策略是否显示在“列表”视图中。
在 Exchange Online PowerShell 中运行以下命令。
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
有关此 cmdlet 的详细信息，请参阅 Get-MobileDeviceMailboxPolicy。
使用 EAC 编辑移动设备邮箱策略
只能在 EAC 中编辑一部分移动设备邮箱策略设置。 若要编辑所有移动设备邮箱策略设置，需要使用 powerShell Exchange Online。
在 EAC 中，单击“ 移动设备>邮箱策略”。
从“列表”视图中选择一个策略，然后单击“编辑
使用“常规”和“安全”选项卡来编辑移动设备邮箱策略设置。

Click Save to update the policy.

使用 Exchange Online PowerShell 编辑移动设备邮箱策略设置
使用 Set-MobileDeviceMailboxPolicy cmdlet 编辑移动设备邮箱策略。
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
如何知道操作成功？
要验证是否已成功编辑移动设备邮箱策略，请执行以下操作之一：
在 EAC 中，单击“ 移动设备>邮箱策略”，然后选择特定策略。 在“详细信息”窗格中，你将看到列出了许多策略设置。
在此命令行管理程序中，运行以下命令。
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
有关此 cmdlet 的详细信息，请参阅 Get-MobileDeviceMailboxPolicy。