分类筛选器

条件访问 Exchange

条件 Exchange 访问 (CEA) 或 Exchange 条件访问策略允许您监控访问您的 Exchange 服务器的设备。这非常适合 BYOD 环境，因为它确保企业数据仅从 MDM 授权的设备访问。它使 MDM MSP 成为设备监控的唯一控制点，因为使用此功能设置的任何访问限制都会覆盖 Exchange 服务器中提供的访问规范。Mobile Device Manager Plus 也支持 Exchange Server 2019。

注意事项

条件 Exchange 访问仅支持以下情况 Exchange Server 和 Exchange Online。由于 Microsoft 未向第三方 MDM MSP 解决方案提供所需的 API，CEA 无法为 Office 365 配置。
CEA 策略仅授予通过 MDM MSP 中的 Exchange ActiveSync 配置的电子邮件客户端访问权限。有关支持 CEA 的电子邮件客户端列表，请参阅下表。标有叉号的电子邮件客户端和用户在受管设备上手动配置的企业帐户将被阻止。
CEA 仅支持本地部署的 MDM MSP。
在应用 CEA 策略后，如果您每次从控制台删除后未受管设备又重新出现，请更改这些设备的密码或将默认访问级别更改为 阻止。
CEA 不支持 Outlook 应用程序，应用程序在应用 CEA 后将被阻止访问 Exchange。了解原因？

平台

原生电子邮件应用

Gmail 应用

Outlook/第三方应用

iOS

Windows

Android	Samsung	8.0 及以上版本
		低于 8.0
	非 Samsung

如果用于设置条件 Exchange 访问的帐户启用了多因素认证，则在启动与 MDM MSP 的 Exchange 服务器同步时，您需要提供应用专用密码而非常用密码。您可以了解更多关于应用专用密码.

的信息 此功能可用于 MDM 的专业版、免费版和试用版。

配置条件 Exchange 访问的先决条件

配置条件 Exchange 访问前，请确保满足以下先决条件。

在运行 MDM MSP 服务器的机器上安装了 Powershell 5.1。您可以从此处下载。
需要启用基本验证以使 CEA 正常工作。
在将条件 Exchange 访问策略关联到设备之前，通过关联 Exchange ActiveSync 策略配置受管设备上的 Exchange（iOS, Android 和 Windows）

本地部署 Exchange

此外，在本地部署的 Exchange 上配置条件 Exchange 访问前，请确保满足以下先决条件

如果您使用的是 Exchange Server 2010，请启用 基本身份验证 以配置条件 Exchange 访问，如此处解释 .

Exchange Online

为启用 Exchange Online 的条件 Exchange 访问，Microsoft 建议组织升级到最新的 Exchange Online Powershell V2 模块（EXO V2 模块）。该模块包含一组新的 cmdlet，简化了从 Exchange Online 批量导入数据。

按以下任一步骤升级到 EXO V2 模块：

您也可以下载脚本，复制并粘贴到 Powershell 中，按两次回车执行。

或者

按照以下步骤操作：
- 下载此处提供的压缩文件并解压 Powershell 脚本。
- 以管理员权限打开 Powershell，导航到解压路径，在运行 MDM MSP 服务器的设备上执行脚本。
- 如果遇到错误提示机器禁用脚本执行，可以通过执行以下命令启用： Set-ExecutionPolicy Unrestricted

注意：如果您已为 Exchange Online 配置 Exchange 访问且遇到与 Exchange Online 同步问题，建议您更新到 EXO V2 模块以解决问题并重新配置 CEA。

配置条件 Exchange 访问

我们让您的工作更简单！

了解如何在 3 分钟内 通过该演示视频.

配置条件 Exchange 访问。 您可以通过导航到
设备管理 -> 条件 Exchange 访问，在 MDM MSP 服务器上配置条件 Exchange 访问。

提供 Exchange 管理员凭据或具有执行这组 cmdlet 权限的 Exchange 帐户，允许 MDM MSP 获取访问 Exchange 的用户和设备详细信息，包括已注册和未注册设备。提供凭据后，MDM MSP 每日与 Exchange 服务器同步，以获取访问 Exchange 服务器的新设备详细信息。同步也可手动执行。

条件 Exchange 访问策略如何工作？

条件 Exchange 访问基于您定义的策略工作。Exchange 访问策略可定义为监控：

所有用户
特定用户

限制所有用户理想用于确保用户仅使用授权设备访问组织数据。如果您想更好地了解策略的工作原理，可以先对特定用户应用策略测试，然后再对所有用户应用。

立即生效（无宽限期）
或在特定时间或宽限期后生效

如果策略定义为立即限制访问，所有设备无论 Exchange 服务器中个人豁免/设备访问规则如何，都将被拒绝访问。用户需注册 MDM MSP 以恢复访问 Exchange 服务器。
如果策略定义了宽限期，设备将在宽限期内有时间注册。宽限期结束后，只有注册 MDM MSP 的设备可访问 Exchange。

下表显示了基于默认访问级别的所有设备宽限期与访问类型。

默认访问级别	现有设备		新设备
默认访问级别	宽限期	宽限期访问邮箱允许	宽限期	宽限期访问邮箱允许
按策略规定	完全访问	阻止	完全访问	阻止
无宽限期	完全访问	阻止	默认阻止	隔离
默认隔离	完全访问	阻止	默认阻止	如果配置的条件 Exchange 访问策略不允许设备访问 Exchange，尽管设备已注册，请点击

注册标签页 在 MDM MSP Web 控制台中，并选择右侧的 列选择器 。现在选择参数 EAS 标识符 并添加到视图。然后验证未获授权访问 Exchange 的注册设备的 EAS 标识符在注册视图和条件 Exchange 访问视图中是否一致。如果不匹配，说明 设备未使用 MDM MSP 配置 Exchange，这是配置条件 Exchange 访问的先决条件之一。 Exchange was not configured on the device using MDM MSP, which is one of the pre-requisites for Conditional Exchange Access.

下图流程图描述了应用条件 Exchange 访问策略后的通用工作流程： 允许通过个人豁免和/或设备访问规则访问 Exchange 服务器的设备，在宽限期内即使未注册 MDM MSP，也可完全访问 Exchange 服务器。通过个人豁免和/或设备访问规则拒绝访问 Exchange 服务器的设备在注册 MDM MSP 后将获得完全访问权限。宽限期结束后，只有注册了 MDM MSP 的设备才能访问 Exchange 服务器。

删除/修改策略

如果在启用回滚选项的情况下修改或删除策略，则未选择用户的被阻止设备将被授予访问 Exchange 的权限。否则，这些设备的访问状态将继续受限，您必须手动更改这些设备的访问状态。您仍然可以获取访问 Exchange 服务器的新设备的详细信息，但无法限制未被策略监控的用户。

当 Exchange 服务器信息被删除时，使用策略所实施的所有更改不会自动恢复。您既无法获取访问 Exchange 服务器的新设备详情，也无法限制它们。

MDM MSP 使用的命令列表

这些是 MDM MSP 为条件 Exchange 访问所需的命令。

从 MDM MSP 服务器启动与 Exchange ActiveSync 主机的 Powershell 会话：

New-PSSession
Import-PSSession

MDM MSP 用于从 Exchange ActiveSync 主机获取数据（邮箱-移动设备信息）的只读命令。

Get-ExchangeServer
Get-ActiveSyncOrganizationSettings
Get-Recipient
Get-MobileDeviceStatistics
Set-ADServerSettings

只写命令

Set-CASMailbox

仅在配置条件 Exchange 访问后应用策略时使用。

Remove-MobileDevice

仅当管理员从 MDM MSP 手动发起时使用。

跳转到

< Previous

下一步 >