Exchange Online 中的行動裝置信箱原則
在 Microsoft 365 或 Office 365 中,您可以建立行動裝置信箱原則,將一組常見的原則或安全性設定套用至使用者集合。 默認行動裝置信箱原則會在每個Microsoft 365 或 Office 365 組織中建立。
行動裝置信箱原則概述
您可以使用行動裝置信箱原則來管理許多不同的設定。 這些設定包含:
- 需要密碼
- 指定密碼長度下限
- 允許數字 PIN 碼或密碼中需要特殊字元
- 指定在要求使用者重新輸入密碼之前,裝置可以維持非使用中的時間
- 在密碼錯誤幾次之後清除裝置
行動裝置密碼設定和生物特徵辨識
許多行動裝置都支援生物特徵辨識,例如 Apple Touch 識別碼或臉部標識碼。 Exchange 行動裝置信箱原則無法控制是否可以使用生物特徵辨識,而不是輸入裝置 PIN。 行動裝置信箱原則可以設定為需要裝置 PIN,但使用者會在符合裝置 PIN 需求之後控制是否使用生物特徵辨識。
需要進階控制生物特徵辨識使用的客戶應該考慮裝置註冊解決方案,例如 Microsoft Intune。 如需詳細資訊,請 參閱部署 iOS 版 Outlook 和 Android 應用程式組態設定。
行動裝置密碼設定和Android
Android 9.0 和舊版會利用 Android 的裝置系統管理員功能來管理行動裝置信箱原則中定義的裝置密碼設定。
使用 Android 10.0 和更新版本時,Android 已移除裝置系統管理員功能。 相反地,需要螢幕鎖定的應用程式會使用 getPasswordComplexity API 查詢裝置的 (或工作設定檔的) 螢幕鎖定複雜度。 需要更強螢幕鎖定的應用程式會將使用者導向 系統畫面鎖定 設定,讓用戶能夠更新安全性設定以符合規範。 應用程式不會知道用戶的密碼;應用程式只知道密碼複雜度層級。 Android 支援下列四個密碼複雜度層級:
| 密碼複雜度層級 | 密碼需求 |
|---|---|
| 無 | 未設定任何密碼需求。 |
| 低 | 密碼可以是重複 (4444) 或排序 (1234、4321、2468) 序列的模式或 PIN。 |
| 中 | 符合下列其中一個準則的密碼:
|
| 高 | 符合下列其中一個準則的密碼:
|
Android 的密碼複雜度層級會對應至下列 Exchange 行動裝置信箱原則設定:
| 行動裝置信箱原則設定 | Android 密碼複雜度層級 |
|---|---|
| 已啟用密碼 = false | 無 |
| 允許簡單密碼 = true 密碼長度下限 < 4 |
低 |
| 需要英數位元密碼 = false 最小密碼長度 >= 4 最小密碼長度 < 8 |
中 |
| 需要英數位元密碼 = true 密碼長度下限 < 6 |
中 |
| 需要英數位元密碼 = false 最小密碼長度 >= 8 |
高 |
| 需要英數位元密碼 = true 最小密碼長度 >= 6 |
高 |
行動裝置信箱原則設定
下表摘要說明您可以使用行動裝置信箱原則指定的設定: 行動裝置信箱原則設定
| 設定 | 描述 |
|---|---|
| 允許 Bluetooth | 此設定會指定行動裝置是否允許藍牙連線。 可用的選項為 [停用]、[ 僅限手動] 和 [ 允許]。 預設值為 Allow。 |
| 允許瀏覽器 | 此設定會指定行動裝置上是否允許Pocket Internet Explorer。 此設定不會影響安裝在行動裝置上的第三方瀏覽器。 預設值為 $true。 |
| 允許照相機 | 此設定會指定是否可以使用行動裝置相機。 預設值為 $true。 |
| 允許取用者電子郵件 | 此設定會指定行動裝置使用者是否可以在行動裝置上設定個人電子郵件帳戶 (POP3 或 IMAP4) 。 預設值為 $true。 此設定不會控制對使用第三方行動裝置電子郵件程式的電子郵件帳戶的存取。 |
| 允許桌面同步 | 此設定會指定行動裝置是否可以透過纜線、藍牙或 IrDA 連線與電腦同步。 預設值為 $true。 |
| 允許外部 裝置管理 | 此設定會指定是否允許外部裝置管理程式管理行動裝置。 |
| 允許 HTML Email | 此設定會指定同步至行動裝置的電子郵件是否可以是 HTML 格式。 如果此設定設為 $false,則所有電子郵件都會轉換成純文本。 |
| 允許網際網路共用 | 此設定會指定行動裝置是否可以當做桌面或可攜式電腦的數據機使用。 預設值為 $true。 |
| AllowIrDA | 此設定會指定是否允許與行動裝置進行紅外線連線。 |
| 允許行動裝置 OTA 更新 | 此設定會指定行動裝置信箱原則設定是否可以透過行動數據連線傳送至行動裝置。 預設值為 true。 |
| 允許非可提供裝置 | 此設定會指定是否允許可能不支援套用所有原則設定的行動裝置使用 Exchange ActiveSync 連線到 Office 365。 允許不可布建的行動裝置會影響安全性。 例如,某些無法布建的裝置可能無法實作組織的密碼需求。 |
| 允許 POPIMAPEmail | 此設定會指定使用者是否可以在行動裝置上設定 POP3 或 IMAP4 電子郵件帳戶。 預設值為 $true。 此設定不會控制第三方電子郵件程式的存取權。 |
| 允許遠端桌面 | 此設定會指定行動裝置是否可以起始遠端桌面連線。 預設值為 $true。 |
| 允許簡單密碼 | 此設定可啟用或停用使用簡單密碼的功能,例如 1111 或 1234。 預設值為 $true。 |
| 允許 S/MIME 加密演算法交涉 | 此設定會指定如果收件者的憑證不支援指定的加密演算法,行動裝置上的傳訊應用程式是否可以交涉加密演算法。 |
| 允許 S/MIME 軟體憑證 | 此設定會指定行動裝置上是否允許 S/MIME 軟體憑證。 |
| 允許儲存卡 | 此設定會指定行動裝置是否可以存取儲存在記憶體卡片上的資訊。 |
| 允許簡訊 | 此設定會指定是否允許從行動裝置傳送簡訊。 預設值為 $true。 |
| 允許未簽署的應用程式 | 這個設定會指定是否可以在行動裝置上安裝未簽署的應用程式。 預設值為 $true。 |
| 允許未簽署的安裝套件 | 此設定會指定是否可以在行動裝置上執行未簽署的安裝套件。 預設值為 $true。 |
| 允許 Wi-Fi | 此設定會指定行動裝置上是否允許無線因特網存取。 預設值為 $true。 |
| 需要英數字元密碼 | 此設定要求密碼必須包含數字與非數字字元。 預設值為 $true。 |
| 核准的應用程式清單 | 此設定會儲存可在行動裝置上執行的已核准應用程式清單。 |
| 已啟用附件 | 此設定可讓附件下載到行動裝置。 預設值為 $true。 |
| 已啟用裝置加密 | 此設定可在行動裝置上啟用加密。 並非所有行動裝置都可以強制執行加密。 如需詳細資訊,請參閱裝置和行動操作系統檔。 |
| 裝置原則重新整理間隔 | 此設定會指定行動裝置信箱原則從伺服器傳送到行動裝置的頻率。 |
| 已啟用 IRM | 此設定會指定行動裝置上是否啟用資訊版權管理 (IRM) 。 |
| 附件大小上限 | 此設定可控制可下載至行動裝置的附件大小上限。 預設值為 Unlimited。 |
| 行事歷存留期上限篩選 | 此設定會指定可同步處理至行動裝置的行事曆天數上限。 接受下列值: 全部 TwoWeeks OneMonth ThreeMonths SixMonths |
| 電子郵件存留期上限篩選 | 此設定會指定電子郵件專案同步至行動裝置的最大天數。 接受下列值: 全部 OneDay ThreeDays OneWeek TwoWeeks OneMonth |
| 電子郵件內文截斷大小上限 | 此設定會指定當電子郵件訊息同步至行動裝置時截斷的大小上限。 值為「KB (KB) 」。 |
| 電子郵件 HTML 內文截斷大小上限 | 此設定會指定同步處理至行動裝置時,截斷 HTML 電子郵件訊息的大小上限。 值為「KB (KB) 」。 |
| 閑置時間鎖定上限 | 此值會指定行動裝置在需要密碼以重新啟用之前,可以處於非作用中狀態的時間長度。 您可以輸入 30 秒 到 1 小時之間的任何間隔。 預設值為 15分鐘。 |
| 密碼失敗嘗試次數上限 | 此設定會指定使用者可以嘗試輸入行動裝置正確密碼的次數。 您可以輸入 4 到 16 的任何數位。 預設值為 8。 |
| 最小密碼複雜字元 | 此設定會指定行動裝置密碼中所需的最小複雜字元數目。 複雜字元是不是字母的字元。 |
| 密碼長度下限 | 此設定會指定行動裝置密碼中的字元數下限。 您可以輸入 從 1 到 16 的任何數位。 預設值為 4。 |
| 已啟用密碼 | 此設定會啟用行動裝置密碼。 |
| 密碼過期 | 此設定可讓系統管理員設定必須變更行動裝置密碼的時間長度。 |
| 密碼歷程 | 此設定指定可以儲存在使用者信箱中的先前密碼數。 使用者無法再使用儲存的密碼。 |
| 已啟用密碼復原 | 啟用此設定時,行動裝置會產生傳送至伺服器的修復密碼。 如果使用者忘記其行動裝置密碼,則可以使用修復密碼來解除鎖定行動裝置,並讓使用者建立新的行動裝置密碼。 |
| 需要裝置加密 | 此設定指定是否需要裝置加密。 如果設定為 $true,行動裝置必須能夠支援並實作加密,才能與伺服器同步處理。 |
| 需要加密的 S/MIME 郵件 | 此設定指定 S/MIME 郵件是否必須加密。 預設值為 $false。 |
| 需要加密 S/MIME 演算法 | 此設定會指定加密 S/MIME 訊息時要使用的演算法。 |
| 漫遊時需要手動同步處理 | 此設定會指定行動裝置是否必須在漫遊時手動同步處理。 在漫遊時允許自動同步處理,通常會導致行動裝置數據計劃的數據成本超出預期。 |
| 需要已簽署的 S/MIME 演算法 | 此設定會指定簽署訊息時要使用的演算法。 |
| 需要已簽署的 S/MIME 訊息 | 此設定會指定行動裝置是否必須傳送已簽署的 S/MIME 訊息。 |
| 需要儲存卡加密 | 此設定指定儲存卡是否必須加密。 並非所有行動裝置作業系統都支援記憶體卡片加密。 如需詳細資訊,請參閱您的行動裝置和行動操作系統檔。 |
| 未核准的 InROM 應用程式清單 | 此設定指定無法在 ROM 中執行的應用程式清單。 |
管理行動裝置信箱原則
您可以在 Exchange 系統管理中心建立、修改或刪除行動裝置信箱原則, (EAC) 或 Exchange Online PowerShell。 如果您在 EAC 中建立原則,則只能設定可用設定的子集。 您可以使用 Exchange Online PowerShell 來設定其餘設定。
開始之前有哪些須知?
預估完成時間:15 分鐘。
您必須已獲指派權限,才能執行此程序或這些程序。 如需所需許可權的資訊,請參閱 Exchange Online 中功能許可權一文中的「行動裝置」功能。
如需如何在 EAC) (開啟 Exchange 系統管理中心的資訊,請參閱 Exchange Online 中的 Exchange 系統管理中心。 如需如何連線到 Exchange Online PowerShell 的詳細資訊,請參閱連線到 Exchange Online PowerShell。
如需可套用至本文程序的鍵盤快捷方式相關信息,請參閱 Exchange 系統管理中心的鍵盤快捷方式。
建立新的行動裝置信箱原則
使用 EAC 建立新的行動裝置信箱原則
在 EAC 中,移至 [行動>裝置] 裝置信箱原則,然後選取 [
![新增] 圖示。](../../exchangeonline/media/itpro_eac_addicon.png)
在 [ 新增行動裝置信箱原則 詳細數據] 頁面中,使用各種複選框和下拉式清單來設定下列各節的設定:
- 建立原則
- 新增安全性設定
- 檢閱並完成
選取 [建立]。
警告
選取 [這是默認原則 ],讓新的行動信箱原則成為默認原則。 將行動信箱原則設為默認原則之後,所有新用戶都會在建立時自動指派此原則。
使用 Exchange Online PowerShell 建立新的行動裝置信箱原則
您可以使用 New-MobileDeviceMailboxPolicy Cmdlet 來建立新的行動裝置信箱原則。
在 Exchange Online PowerShell 中,執行下列命令:
New-MobileDeviceMailboxPolicy -Name:"Management" -AllowBluetooth:$true -AllowBrowser:$true -AllowCamera:$true -AllowPOPIMAPEmail:$false -PasswordEnabled:$true -AlphanumericPasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:10 -AllowWiFi:$true -AllowStorageCard:$true -AllowPOPIMAPEmail:$false
如何知道這是否正常運作?
若要確認是否已成功建立行動裝置信箱原則,請使用下列其中一個選項:
在 EAC 中, 移至行動>裝置信箱原則,並確認您的新原則顯示在 [清單] 檢視 中。
在 Exchange Online PowerShell 中,執行下列命令:
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
如需此 Cmdlet 的詳細資訊,請參閱 Get-MobileDeviceMailboxPolicy。
使用 EAC 編輯行動裝置信箱原則
注意事項
您只能在 EAC 中編輯行動裝置信箱原則設定的子集。 若要編輯所有行動裝置信箱原則設定,您必須使用 Exchange Online PowerShell。
在 EAC 中, 移至行動>裝置信箱原則。
從 [清單] 檢視中選取原則,然後選取 [編輯編輯
![] 圖示。](../../exchangeonline/media/itpro_eac_editicon.png)
使用 [一般] 和 [安全性] 索引標籤編輯行動裝置信箱原則設定。
![編輯行動裝置信箱原則 - [一般] 索引標籤。](../../exchangeonline/media/eac-edit-mobile-device-mailbox-policies-general.png)
選 取 [儲存 ] 以更新原則。
使用 Exchange Online PowerShell 編輯行動裝置信箱原則設定
您可以使用 Set-MobileDeviceMailboxPolicy Cmdlet 來編輯行動裝置信箱原則。
- 在 Exchange Online PowerShell 中,執行下列命令:
Set-MobileDeviceMailboxPolicy -Identity:Default -DevicePasswordEnabled:$true -AlphanumericDevicePasswordRequired:$true -PasswordRecoveryEnabled:$true -MaxEmailAgeFilter:ThreeDays -AllowWiFi:$false -AllowStorageCard:$true -AllowPOPIMAPEmail:$false -IsDefault:$true -AllowTextMessaging:$true -Confirm:$true
如何知道這是否正常運作?
若要確認您已成功編輯行動裝置信箱原則,請執行下列其中一個步驟:
在 EAC 中, 移至行動>裝置信箱原則,然後選擇特定的原則。 在顯示信箱原則詳細數據的窗格中,您會看到一些列出的原則設定。
在 Exchange Online PowerShell 中,執行下列命令。
Get-MobileDeviceMailboxPolicy -Identity <PolicyName>
如需此 Cmdlet 的詳細資訊,請參閱 Get-MobileDeviceMailboxPolicy。