Администраторы организаций, где используется протокол Exchange ActiveSync (EAS), могут настраивать аккаунты электронной почты и принудительно применять базовые правила в отношении паролей на устройствах Android через Gmail.
Как настраивать аккаунты Exchange с помощью управляемых конфигураций
Управляемые конфигурации доступны в Gmail 6.4 и более поздних версий.
С помощью управляемых конфигураций Gmail можно настраивать аккаунты Exchange на устройствах Android. Администратор может задавать параметры Gmail для устройств пользователей с помощью консоли управления мобильной инфраструктурой предприятия (EMM).
Строка, по которой прокси-сервер или шлюз EMM сможет идентифицировать устройство. Она должна содержать идентификатор устройства, который относится к протоколу Microsoft® Exchange ActiveSync® (EAS), используемому некоторыми шлюзами систем управления мобильной инфраструктурой предприятия для сопоставления устройств.
Отдельный адрес электронной почты или шаблон с подстановочными знаками, при помощи которого поставщик услуг управления мобильной инфраструктурой предприятия сможет получить адрес электронной почты пользователя из службы каталогов Microsoft® Active Directory®.
Примеры:
- %emailaddress%
- annasmirnova@zarya.com
Подпись, которая будет автоматически добавляться в нижнюю часть каждого исходящего письма.
Пример:
Анна Смирнова,
президент компании "Заря"
URL почтового сервера Exchange ActiveSync (EAS). Это может быть локальный прокси-сервер системы управления мобильной инфраструктурой предприятия, виртуальный IP-адрес, динамически распределяющий нагрузку по нескольким почтовым серверам EAS, или CAS-сервер. Добавлять http:// или https:// перед URL не требуется.
Номер порта указывать необязательно. По умолчанию используется порт 443.
Примеры:
- corp.exchange.com
- corp.exchange.com:443
Псевдоним сертификата с закрытым ключом из хранилища ключей рабочего профиля. Как правило, это пользовательский сертификат для аутентификации на серверах Exchange ActiveSync (EAS).
Если вы включили и настроили центр сертификации в консоли управления мобильной инфраструктурой предприятия, выберите псевдоним из раскрывающегося списка, добавленного поставщиком услуг по управлению мобильной инфраструктурой предприятия при регистрации устройства.
Этот параметр определяет необходимость использования протокола SSL при подключении к порту сервера, указанному в поле Host. Если выбран порт 443, настройка игнорируется.
Чтобы использовать SSL, задайте значение true. В противном случае укажите false.
По умолчанию задано значение true.
Значение временного интервала по умолчанию, определяющего периодичность синхронизации данных почты. Это должно быть целое число от 1 до 5.
Начало интервала определяется путем обратного отсчета выбранного отрезка времени от текущего момента.
Значение | Временной интервал по умолчанию |
---|---|
1 | 1 день |
2 | 3 дня |
3 | 1 неделя |
4 | 2 недели |
5 | 1 месяц |
По умолчанию задано значение 3.
Этот параметр определяет, будет ли выполняться проверка подлинности сертификатов SSL, использующихся на серверах Exchange ActiveSync (EAS), прокси-серверах и в шлюзах перед почтовыми серверами.
Чтобы выполнять проверку, задайте значение false. В противном случае укажите true.
Совет. Такая проверка рекомендуется для самозаверенных сертификатов.
По умолчанию задано значение false.
Отдельное имя пользователя или шаблон с подстановочными знаками, при помощи которого поставщик услуг управления мобильной инфраструктурой предприятия сможет получить имя пользователя из Active Directory. Имя пользователя может отличаться от адреса электронной почты.
Примеры:
- %username%
- annasmirnova
- zarya\annasmirnova
Настройка доступна в версиях Gmail, выпущенных после 15 ноября 2019 года.
Этот параметр определяет тип аутентификации, которая будет выполняться для проверки учетных данных пользователя в Microsoft® Active Directory®. Можно задать значение allow_modern_authentication
(рекомендуется) или allow_basic_authentication
.
allow_modern_authentication
. Современная аутентификация с применением токенов. Это более надежный способ аутентификации и авторизации пользователей. Если современная аутентификация невозможна, выполняется обычная.allow_basic_authentication
. Традиционный способ аутентификации, разработанный в прошлом. Пользователю предлагается указать пароль, который затем сохраняется для будущих проверок.
По умолчанию задано значение allow_modern_authentication
.
Как настроить правила в отношении почтовых ящиков на мобильных устройствах
С выходом Android 10 в 2019 году изменился способ обработки некоторых правил Exchange ActiveSync (EAS) в отношении паролей. Изменения коснулись всех устройств Android. В таблице ниже приведены способы распознавания и применения устройствами Android настроек паролей для правил почтовых ящиков Exchange мобильного устройства.
Настройка правил в отношении почтового ящика Exchange на мобильном устройстве |
Уровень сложности пароля Android | Требования к паролю |
---|---|---|
Password enabled = false | – | Требования к паролю не заданы. |
Allow simple password = true Min password length < 4 |
Низкий | Можно установить графический пароль или PIN-код с повторяющимися (4444) или идущими по порядку (1234, 4321, 2468) цифрами. |
Allow simple password = true Min password length = 4 |
Средний |
Пароль должен соответствовать следующим требованиям:
|
Allow simple password = false Alphanumeric password required = true Min password length <= 4 |
||
Allow simple password = true Min password > 4 |
Высокий |
Пароль должен соответствовать следующим требованиям:
|
Allow simple password = false Alphanumeric password required = true Min password length > 4 |
Правила, которые поддерживаются по умолчанию
Android поддерживает некоторые правила EAS по умолчанию, поэтому указанные ниже правила EAS нельзя настраивать напрямую.
- Срок действия пароля.
- История использованных паролей.
- Максимальное количество неудачных попыток ввода пароля.
- Максимальное время бездействия, после которого устройство блокируется.
- Обязательное шифрование данных на устройстве.
Как дистанционно удалить данные с устройства
Если от сервера Exchange поступает команда очистки, Gmail удалит с устройства не все данные или рабочий профиль, а только аккаунт EAS. Если у вас есть поставщик услуг по управлению мобильной инфраструктурой, удаление данных с устройства или из рабочего профиля можно запустить, используя консоль EMM.
Какие действия требуются от моей организации?
Никаких. Изменения в обработке команд очистки и правил EAS в отношении паролей сервисом Gmail не повлияют на работу устройства. Несмотря на это, вы можете ознакомиться с текущими правилами в отношении паролей, чтобы убедиться, что используется подходящий для вашей организации пароль.