条件Exchange访问

概览

条件 Exchange访问策略允许您限制未由MDM管理的设备访问用户邮箱(Exchange服务器)。这是一个理想的BYOD环境，因为它确保企业数据只能从认证的设备中访问。条件Exchange访问使得MDM可以实现对监视的设备的单一控制，因为使用此特性的任何访问限制集都会覆盖Exchange服务器中提供的访问规范。此策略允许您限制所有设备或特定设备访问Exchange服务器。条件Exchange交换访问支持Azure AD和Exchange本地部署。
(不支持MDM云端部署)

1. 推荐的默认访问级别是Quarantine。
2. MDM登记的设备对访问Exchange服务器没有限制。
3. 应用条件Exchange访问策略时，必须启用自助登记。

下面的流程图描述了应用条件Exchange访问策略后的一般工作流程：

Flowchart describing Conditional Exchange Access workflow

观看演示视频，3分钟了解如何设置条件Exchange访问。

配置条件Exchange访问策略

制定政策

您可以在MDM服务器中配置条件Exchange访问(CEA)：设备管理 -> 条件Exchange访问。

提供Exchange服务器管理员凭据，MDM就可以获取访问Exchange服务器的设备的详细信息。其中包含MDM未登记但可以访问Exchange服务器的设备，将使用条件Exchange访问来限制这些设备访问Exchange服务器。MDM将会每天同步Exchange服务器，以获取可以访问Exchange服务器的新设备信息。同步过程也可以由用户手动执行。

定义策略

策略可应用于所有设备或选定设备。这种限制可以在政策被推出后立即实施或一段时间后(称为"宽限期")实施。

在宽限期内，设备可以基于默认访问级别继续访问的Exchange服务器，因为限制只有在宽限期过后才会生效。此外，MDM未登记的设备还会手动一封Exchange发送的邮件，说明该设备已被限制访问。MDM每天发送邮件给设备受限的用户。邮件通知用户在宽限期之前登记到MDM，只有登记到了MDM的设备才能访问Exchange服务器。宽限期可以让用户有足够的时间将设备登记到MDM。

访问https://Exchange Server FQDN/ecp (例如https://mdm-exchange/ecp)，自定义Exchange邮件中的内容。提供您的管理员凭证，并在左窗格中登录后选择手机。现在，点击编辑，您会被重定向到Exchange 同步访问设置。在邮件内容中添加自助登记的URL并发送给用户。

一旦实施限制，设备就不能收发邮件。但是，在应用限制之前，用户邮箱中的邮件是可访问的。条件Exchange访问策略还会提供用户的最后一个邮箱访问时间的信息，它可以让您知道邮件是否已被浏览。

条件Exchange访问策略是如何工作的？

条件Exchange访问基于定义的策略进行工作，策略可以定义来限制：

所有设备
指定设备

限制所有设备可以用于确保任何访问组织数据的设备都是授权设备。限制特定设备可以用于限制用户从多个设备访问Exchange服务器。

定义策略，限制对Exchange服务器的访问

立即(没有宽限期)
宽限期之后

如果策略被定义为立即实施，所有设备都将受到限制，与Exchange服务器中指定的个人豁免/设备访问规则无关。用户需要通过自助登记到MDM，才能再次访问Exchange服务器。

如果策略定义为宽限期之后，设备会有一段时间来登记。宽限期过后，只有MDM登记的设备才能访问Exchange。
下表显示了基于默认访问级别的所有设备的宽限期和访问类型。

默认访问级别	存在的设备		新设备
默认访问级别	给定的宽限期	宽限期内访问邮箱	给定的宽限期	宽限期内访问邮箱
允许	策略中指定的	完全访问	策略中指定的	完全访问
拦截	策略中指定的	完全访问	没有宽限期	默认拦截
隔离	策略中指定的	完全访问	没有宽限期	默认隔离

删除/修改策略

删除策略后，使用策略实现的所有更改都必须手动恢复。您仍然可以获得访问Exchange服务器的新设备的详细信息，但不能限制它们。修改策略后，修改策略将应用于新设备，而原有设备将使用旧策略。

当删除Exchange服务器详细信息时，使用策略实现的所有更改都不会自动恢复。您既不能获得访问Exchange服务器的新设备的详细信息，也不能限制它们。

另见:	设备登记，应用管理，配置文件管理，资产管理，安全管理，报表

ManageEngine