Exchange条件访问

概述

Conditional Exchange Access (CEA) 或Exchange条件访问策略允许监视访问Exchange服务器的设备。这对于BYOD环境非常理想，因为它确保只能从MDM授权的设备访问企业数据。它使得MDM可以实现对监视的设备的单一控制，因为使用此特性的任何访问限制集都会覆盖Exchange服务器中提供的访问规范。Mobile Device Manager Plus也支持Exchange Server 2019。

注意事项

Exchange条件访问仅支持Exchange Server和Exchange Online。由于微软没有为第三方MDM解决方案提供所需的API，所以不能为Office 365配置CEA。
CEA策略只允许访问MDM中使用Exchange ActiveSync配置文件配置的邮件客户端。CEA支持的电子邮件客户端列表请参考下表。用户在被管设备上手动配置的企业账户和带有交叉标记的邮件客户端将被阻止。
仅MDM本地部署支持CEA。
应用CEA策略后，如果每次从控制台中删除非被管设备时，这些设备都会重新出现，请更改这些设备的密码或将默认访问级别更改为阻止。
Outlook应用不支持CEA，一旦应用了CEA，应用将无法访问Exchange。原因

平台			本地电子邮件应用	Gmail应用	Outlook/第三方应用
iOS
Windows
安卓	三星	8.0及更高版本
	三星	8.0以下版本
	非三星

如果用于设置Exchange条件访问的帐户启用了多因素身份验证，那么在初始化Exchange server与MDM同步时，您需要提供一个特定于应用程序的密码，而不是普通的密码。点击这里了解更多关于特定应用程序的密码。

MDM专业版、免费版和试用版都支持此功能。

配置Exchange条件访问的先决条件

请确保满足以下先决条件：

在运行MDM服务器的机器上安装了Powershell 5.1。点击这里下载。
使用CEA需要启用基本认证。
通过关联Exchange ActiveSync策略，在关联Exchange条件访问策略到设备之前在被管设备上配置Exchange（iOS、安卓和Windows）。

Exchange本地部署

此外，在Exchange本地部署上配置Exchange条件访问之前，确保满足以下先决条件

如果您使用的是Exchange Server 2010，启用基本认证以配置Exchange条件访问，请参阅这里。

Exchange Online

为了在Exchange Online上启用Exchange条件访问，微软建议组织升级到最新版本Exchange Online Powershell V2 module (EXO V2 module)。它包含了一个新的命令列表，可以简化从Exchange Online批量导入数据。

按照以下任一方式升级到EXO V2 module：

您也可以下载脚本，在Powershell中复制粘贴，并按两次Enter键以执行命令。

或者

请遵循以下步骤：

在这里下载可用的zip文件并提取Powershell脚本。
以管理员权限打开Powershell，并找到解压缩的路径，在运行MDM服务器的设备上执行脚本。
如果遇到指定机器上禁用执行脚本的错误，可以执行命令Set-ExecutionPolicy Unrestricted启用。

注意：如果您已经为Exchange Online配置了Exchange Access，并且在与Exchange Online同步时遇到了问题，我们建议您更新到EXO V2 module来解决这些问题并重新配置CEA。

配置Exchange条件访问

让工作再简单一点！

观看演示视频，3分钟学习如何设置Exchange条件访问。

您可以在MDM服务器上配置Exchange条件访问，点击设备管理 -> Exchange条件访问。
提供Exchange管理员凭证或可以执行此命令列表的Exchange帐户，以允许MDM获取访问Exchange的用户和设备的详细信息。这包括注册的和未注册的设备。在提供凭证之后，MDM每天与Exchange server同步，以获取访问Exchange server的新设备的详细信息。同步也可以手动执行。

建议默认访问级别设置为“隔离”。

配置访问策略

下面的流程图描述了应用Exchange条件访问策略后的一般工作流程：

Flowchart describing Conditional Exchange Access workflow

注意：

使用Exchange访问策略，您可以定义要监视的用户。如果要监视访问Exchange的所有用户，应用策略于选项选择所有用户。或者，如果要有选择性地监视和管理用户选择特定用户。
还可以选择排除监视特定用户。假设您只希望排除组织中的高级员工，您可以点击排除特定用户并在其中添加高级员工。
您也可以设置一个宽限期，在此期间，MDM不会限制用户访问Exchange。用户必须在宽限期内注册设备，否则在宽限期结束后访问将被撤销。

您还可以选择在用户对企业Exchange帐户的访问被撤销时，使用Exchange电子邮件通知用户。要自定义Exchange邮件中的内容，请点击https://Exchange Server FQDN/ecp（例如：https://mdm-exchange/ecp）。点击编辑，会跳转到Exchange ActiveSync访问设置。将自助注册URL添加到要从Exchange服务器发送给用户的内容中。

应用限制后，设备将无法发送或接收邮件。但应用限制之前用户邮箱中的邮件是可以访问的。

Exchange条件访问策略工作原理

Exchange条件访问的工作方式取决于您如何定义策略。可以定义Exchange访问策略进行监控：

所有用户
特定用户

理想情况下，可以使用限制所有用户来确保用户只能使用经过授权的设备访问组织的数据。如果您想更好地了解策略的工作原理，可以通过只在特定用户上应用它来测试策略，然后再应用到组织中的所有用户。

可以定义策略来限制对Exchange服务器的访问：

立即（没有宽限期）
在特定的期限或宽限期后

如果策略被定义为立即实施，所有设备都将受到限制，与Exchange服务器中指定的个人免检/设备访问规则无关。用户需要注册MDM，才能再次访问Exchange服务器。
如果策略定义为宽限期之后，设备会有一段时间来注册。宽限期过后，只有MDM注册的设备才能访问Exchange。

下表显示了基于默认访问级别的所有设备的宽限期和访问类型。

默认访问级别	已有的设备		新设备
默认访问级别	给定的宽限期	宽限期内访问邮箱	给定的宽限期	宽限期内访问邮箱
允许	策略中指定的	完全访问	策略中指定的	完全访问
阻止	策略中指定的	完全访问	无宽限期	默认阻止
隔离	策略中指定的	完全访问	无宽限期	默认隔离

如果配置的Exchange条件访问策略不允许在设备被注册的情况下访问Exchange，请点击MDM Web控制台的注册选项卡，并选择右边的 列选择器。现在，现在参数EAS标识符 并将其添加到视图中。检查注册视图和Exchange条件访问视图中注册设备（不允许访问Exchange）的EAS标识符是否一致。如果它们不匹配，就意味着没有使用MDM在设备上配置Exchange，这是条件交换访问的先决条件之一。

注意：在宽限期内，使用个人免检或设备访问规则允许访问Exchange服务器的设备可以完全访问Exchange服务器，即使没有使用MDM。使用个人免检或设备访问规则拒绝访问Exchange服务器的设备在注册MDM时可以获得对Exchange服务器的完全访问权。在宽限期后，只有注册了MDM的设备才能访问Exchange服务器。

删除/修改策略

删除策略后，使用策略实现的所有更改都必须手动恢复。您仍然可以获得访问Exchange服务器的新设备的详细信息，但不能限制它们。修改策略后，修改策略将应用于新设备，而原有设备将使用旧策略。

当删除Exchange服务器详细信息时，使用策略实现的所有更改都不会自动恢复。您既不能获得访问Exchange服务器的新设备的详细信息，也不能限制它们。

MDM使用的命令列表

这些是Exchange条件访问MDM使用的命令列表。

使用Exchange ActiveSync host从MDM服务器发起Powershell会话：

New-PSSession
Import-PSSession

READ-only命令，MDM用于从Exchange ActiveSync host获取数据（mailbox-mobileDevice信息）

Get-ExchangeServer
Get-ActiveSyncOrganizationSettings
Get-Recipient
Get-MobileDeviceStatistics
Set-ADServerSettings

WRITE-only命令

Set-CASMailbox

只有在配置了Exchange条件访问后，该策略才会被应用。

Remove-MobileDevice

仅当管理员从MDM手动发起时才使用。

另请参阅：

设备注册、应用管理、配置文件管理、资产管理、安全管理、报表

ManageEngine卓豪 - IT管理新体验