Product Documentation

使用 ActiveSync ID 强制执行电子邮件策略

Feb 27, 2017

您的企业电子邮件策略可以规定不批准特定设备使用企业电子邮件。为与此策略保持一致,您希望确保员工无法通过此类设备访问企业电子邮件。XenMobile Mail Manager 与 XenMobile 结合使用可强制实施此类电子邮件策略。XenMobile 设置用于企业电子邮件访问的策略,当未经批准的设备向 XenMobile 注册时,XenMobile Mail Manager 会强制实施此策略。

设备上的电子邮件客户端使用设备 ID(也称为 ActiveSync ID,用于唯一标识设备)向 Exchange Server(或 Office 365)广播自己。Secure Hub 获取类似的标识符,并在注册设备时将标识符发送给 XenMobile。通过比较两个设备 ID,XenMobile Mail Manager 可以确定特定设备是否应该获取企业电子邮件访问权限。下图说明了此概念:


检测 ActiveSync ID

如果 XenMobile 向 XenMobile Mail Manager 发送的 ActiveSync ID 不同于设备向 Exchange 发布的 ID,XenMobile Mail Manager 无法指示 Exchange 如何处理此设备。

匹配 ActiveSync ID 可以在大多数平台上可靠地执行;但是,Citrix 已发现在某些 Android 实现上,来自设备的 ActiveSync ID 不同于邮件客户端向 Exchange 广播的 ID。为缓解此问题,可以执行以下操作:
  • 在 Samsung SAFE 平台上,从 XenMobile 推送设备 ActiveSync 配置。
  • 在所有其他 Android 平台上,从 XenMobile 推送 Touchdown 应用程序和 Touchdown ActiveSync 配置。

但是,此方法不阻止员工在 Android 设备上安装除 Touchdown 之外的电子邮件客户端。要保证正确地强制实施企业电子邮件访问策略,可以采用防御性安全措施,通过将静态策略设置为默认拒绝,将 XenMobile Mail Manager 配置为阻止电子邮件。这意味着,如果员工确实在 Android 设备上配置了除 Touchdown 之外的电子邮件客户端,并且如果 ActiveSync ID 检测不能正常工作,将拒绝员工访问企业电子邮件。