支援終止通知：2027 年 3 月 31 日， AWS 將終止對 Amazon WorkMail 的支援。2027 年 3 月 31 日之後，您將無法再存取 Amazon WorkMail 主控台或 Amazon WorkMail 資源。如需詳細資訊，請參閱 [Amazon WorkMail 終止支援](https://docs.aws.amazon.com/workmail/latest/adminguide/workmail-end-of-support.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 管理行動裝置存取規則
<a name="manage-mobile-access"></a>

Amazon WorkMail 的行動裝置存取規則可讓管理員控制特定類型行動裝置的信箱存取。根據預設，每個 Amazon WorkMail 組織都會使用將信箱存取權授予任何裝置的規則，無論類型、模型、作業系統或使用者代理程式為何。您可以使用自己的其中一個規則來編輯或取代該預設規則。您也可以新增、變更和刪除規則。

**警告**  
如果您刪除組織的所有行動裝置存取規則，Amazon WorkMail 會封鎖所有行動裝置存取。

您可以根據下列裝置屬性建立允許或拒絕存取的規則：
+ **裝置類型** —「iPhone」、「iPad」或「Android」。
+ **裝置模型** —「iPhone10C1」、「iPad5C1」或「HTCOneX."
+ **裝置作業系統**—"iOS 12.3.1 16F203" 或 "Android 8.1.0"。
+ **裝置使用者代理程式**—"iOS/14.2 (18B92) exchangesyncd/1.0" 或 "Android-Mail/7.7.16.163886392.release"。

若要在 AWS 管理主控台上檢視裝置屬性，請參閱[檢視行動裝置詳細資訊](https://docs.aws.amazon.com/workmail/latest/adminguide/manage-devices.html#view_device_details )。

**注意**  
有些裝置和用戶端可能不會報告所有欄位的屬性。如需處理這些案例的資訊，請參閱 [Dealing with empty fields](#empty-fields)

**重要**  
Amazon WorkMail 行動裝置存取規則僅適用於使用 Microsoft Exchange ActiveSync 通訊協定的裝置。使用 IMAP 等不同通訊協定的行動用戶端不會報告此處列出的裝置屬性，因此這些規則不適用。  
如果您需要限制使用其他通訊協定之裝置的存取，您可以建立存取控制規則。如需詳細資訊，請參閱[使用存取控制規則。 ](https://docs.aws.amazon.com/workmail/latest/adminguide/access-rules.html)例如，您可以將其他通訊協定和 Webmail 的存取限制為只有一系列的公司 IP 地址，但允許 Microsoft ActiveSync 從其他位置存取，然後使用行動裝置存取規則進一步限制允許用戶端的類型和版本。

**Topics**
+ [行動裝置存取規則的運作方式](#how-rules-work)
+ [使用行動裝置存取規則](#use-mobile-rules)

## 行動裝置存取規則的運作方式
<a name="how-rules-work"></a>

行動裝置存取規則僅適用於使用 Microsoft Exchange ActiveSync 通訊協定的裝置。每個規則都有一組條件，指定規則套用的時間，以及裝置的 `ALLOW`或 `DENY` 存取效果。只有在規則的所有條件都符合使用者行動裝置的屬性時，規則才會套用至存取請求。沒有條件的規則適用於所有請求。每個條件都會針對裝置回報的屬性使用不區分大小寫的字首比對。

Amazon WorkMail 會評估規則，如下所示：
+ 如果有任何`DENY`規則符合裝置屬性，政策會封鎖裝置。 `DENY`規則優先於 `ALLOW` 規則。
+ 如果至少有一個`ALLOW`規則相符，但沒有`DENY`規則相符，則政策會允許裝置。
+ 如果沒有套用規則，則會封鎖裝置。

**重要**  
行動裝置會報告規則用於操作的屬性。裝置會在 Microsoft ActiveSync 裝置佈建程序期間報告其屬性。Amazon WorkMail 無法獨立驗證行動用戶端是否報告正確或up-to-date資訊。

## 使用行動裝置存取規則
<a name="use-mobile-rules"></a>

您可以使用 APIs或 AWS Command Line Interface (CLI) 來建立和管理行動裝置存取規則。如需 的詳細資訊 AWS CLI，請參閱 [AWS Command Line Interface 使用者指南](https://docs.aws.amazon.com/cli/latest/userguide/)。

**重要**  
當您變更 Amazon WorkMail 組織的存取規則時，受影響的裝置可能需要五分鐘的時間才能遵循更新後的規則，而且裝置在此期間可能會顯示不一致的行為。不過，當您測試規則時，會立即看到正確的行為。如需詳細資訊，請參閱[Testing mobile device access rules](#test-mobile-rule)。

**列出行動裝置存取規則**  
下列範例顯示如何列出行動裝置存取規則。

```
aws workmail {{list-mobile-device-access-rules}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}}
```

**建立行動裝置存取規則**  
下列範例會建立規則，封鎖所有 Android 裝置存取信箱。

```
aws workmail {{create-mobile-device-access-rule}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}} --name {{BlockAllAndroid}} --effect DENY --device-types "{{android}}"
```

下列範例會建立僅允許特定 iOS 版本的規則。請務必移除預設`ALLOW-all`規則。

```
aws workmail {{create-mobile-device-access-rule}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}} --name {{AllowLatestiOS}} --effect ALLOW --device-operating-systems "{{iOS 14.3}}"
```

**更新行動裝置存取規則**  
下列範例會透過新增識別符來更新裝置規則。

```
aws workmail {{update-mobile-device-access-rule}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}} --mobile-device-access-rule-id {{1a2b3c4d}} --name {{AllowLatestiOS}} --effect ALLOW --device-operating-systems "{{iOS 14.4}}"
```

**刪除行動裝置存取規則**  
下列範例會刪除具有指定識別符的行動裝置存取規則。

```
aws workmail {{delete-mobile-device-access-rule}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}} --mobile-device-access-rule-id {{1a2b3c4d}}
```

**測試行動裝置存取規則**  
若要測試存取規則，您可以使用 [GetMobileDeviceAccessEffect](https://docs.aws.amazon.com/workmail/latest/APIReference/API_GetMobileDeviceAccessEffect.html) API，或在 中使用 get-mobile-device-access-effect 命令 AWS CLI 。如需 的詳細資訊 AWS CLI，請參閱 [AWS 命令列界面使用者指南](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html)。

當您測試時，您會傳入模擬行動裝置的屬性，而 API 或 CLI 會傳回具有這些屬性的實際行動裝置會收到的存取效果 `DENY`或`ALLOW` 。例如，此命令會測試執行 iOS 14.2 的 iPhone 以及預設郵件應用程式是否可以存取信箱。

```
aws workmail {{get-mobile-device-access-effect}} --{{organization-id}} m-{{a123b4c5de678fg9h0ij1k2lm234no56}} --device-type "{{iPhone}}" --device-model "{{iPhone10C1}}" --device-operating-system "{{iOS 14.2.1 16F203}}" --device-user-agent "{{iOS/14.2 (18B92) exchangesyncd/1.0}}"
```

**處理空白欄位**  
有些行動裝置或用戶端可能不會報告一或多個欄位的資訊，將值保留空白。規則可以透過在 條件`$NONE`中使用特殊值來比對這些裝置。例如，具有 的規則`DeviceTypes=["iphone", "ipad", "$NONE"]`會比對報告裝置類型為 `"iphone"`或 的裝置`"ipad"`，或完全不報告裝置類型。

`NotDeviceTypes` 或 等負面條件`NotDeviceUserAgents`不符合這些空值。例如，具有 的規則`NotDeviceTypes=["android"]`會比對報告 以外裝置類型的裝置`"android"`。不過，規則完全不符合未報告裝置類型的裝置。