通过 PowerShell 设置电子邮件访问控制

如果在 PowerShell 模式下设置独立 EAS 代理,它将通过 PowerShell 连接到您的 Exchange 邮件服务器,并根据设备的合规性状态设置电子邮件访问。

在 PowerShell 模式下,邮件数据流直接从 Exchange 邮件服务器传输到您的设备,不使用代理。有关通信流的示意图,请参阅 Sophos Mobile 技术指南 中的EAS 代理架构示例

PowerShell 模式的优点:

  • 对于来自您的设备的传入电子邮件数据流,您不需要在 Sophos Mobile 服务器上为其打开端口。
  • 您可以阻止未注册到 Sophos Mobile 的设备访问电子邮件。

Exchange 邮件服务器可以是 Exchange Server 或 Exchange Online (Microsoft 365 的一部分)。支持的版本有:

  • Exchange Server 2013
  • Exchange Server 2016
  • 采用 Exchange Online 方案的 Microsoft 365
限制: 因为 macOS 不支持 ActiveSync 协议,因此您不能使用 PowerShell 来控制 Mac 设备的电子邮件访问权限。

要通过 PowerShell 设置电子邮件访问控制,请按下述内容操作。

配置 PowerShell

  1. 可选: 如果需要,请在要安装 EAS 代理的计算机上安装 Windows PowerShell。
  2. 以管理员身分打开 PowerShell,并运行以下命令:
    Set-ExecutionPolicy RemoteSigned
Exchange Server 需要额外的配置:
  1. 打开 Exchange 命令行管理程序。
  2. 设置 PowerShell 执行策略:
    Set-ExecutionPolicy RemoteSigned
  3. 获取 PowerShell 虚拟目录的名称:
    Get-PowerShellVirtualDirectory -Server <服务器名称>

    <服务器名称>是安装 Exchange Server 的计算机的名称。

    在标准安装中,PowerShell 虚拟目录为 PowerShell (Default Web Site)

  4. 为 PowerShell 虚拟目录设置基本身份验证:
    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true

创建服务帐户

服务帐户是 Exchange 邮件服务器上的一个特殊用户帐户,Sophos Mobile 用它来运行 PowerShell 命令。

  1. 在 Web 浏览器中打开 Exchange 管理中心:
    • 对于 Exchange Server:https://<ServerFQDN>/ecp

      <ServerFQDN> 是您的 Exchange 服务器的完全限定域名。

    • 对于 Exchange Online:https://admin.exchange.microsoft.com
  2. 创建用户帐户。
    • 使用用户名 (如 smc_powershell) 标识帐户用途。
    • 关闭要求用户在下次登录时更改其密码的设置。
    • 删除自动分配给该新帐户的所有 Microsoft 365 许可证。服务帐户不需要许可证。
  3. 创建一个新的角色组,并为其分配所需的权限。
    • 使用如 smc_powershell 之类的角色组名称。
    • 添加邮件收件人组织客户端访问角色。
    • 将该用户帐户添加为成员。

配置 PowerShell 连接

  1. 像您安装独立 EAS 代理一样,使用设置助手。在 EAS Proxy instance setup 页面上,配置以下设置:
    • Instance type: 选择 PowerShell Exchange/Office 365
    • Instance name: 用于标识该实例的名称。
    • Exchange server: 对于 Exchange Server,输入服务器的名称或 IP 地址。

      对于 Exchange Online,如果您使用的是全球版 Microsoft 365 服务,请输入 outlook.office365.com。对于其他服务,如 Office 365 Germany,您可以在 Microsoft 文档基本身份验证 - 连接到 Exchange Online PowerShell 中找到相应地址。

      请勿在名称中输入协议 https:// 或后缀 /powershell-liveid。设置向导会自动添加这些内容。

    • Allow all certificates: EAS 代理不验证服务器证书。例如,如果您使用的是带有自签名证书的 Exchange Server,可选中此选项。
      警告: 此设置会降低邮件服务器连接的安全性。请仅在您的网络环境需要时选择。
    • Service account: 您在 Exchange Server 或 Exchange Online 管理控制台中创建的用户帐户的名称。
    • Password: 该用户帐户的密码。
  2. 单击 Add 将实例添加到 Instances 列表中。
  3. 重复前面的步骤设置到其他 Exchange Server 实例的 PowerShell 连接。
  4. 完成设置。
  5. 可选: 如果需要,配置 EAS 代理用于连接到 Exchange Server 或 Exchange Online 的代理服务器。在您安装 EAS 代理的计算机上,使用以管理员身份运行选项打开命令提示符,然后键入以下命令:

    netsh winhttp set proxy <服务器名称或 IP>:<端口>

    警告: 此命令用于配置系统范围的代理。计算机上运行的其他程序可能会受到它的影响。

上传 PowerShell 证书

将 PowerShell 连接的证书上载到 Sophos Mobile

  1. 登录 Sophos Central Admin 并转到 Mobile
  2. 在侧边的菜单栏中,单击设置 下,单击 设置 > Sophos 设置然后单击 EAS 代理 选项卡。
  3. 可选: 常规 下,选择 对 Sophos Secure Email 的限制 以限制 Sophos Secure Email 应用的电子邮件访问权限,可用于 Android 和 iOS。
  4. 外部下,单击上传文件。上传配置期间创建的证书。

    如果您设置了多个实例,请对所有实例证书重复此操作。

  5. 单击保存
  6. 在 Windows 中,打开服务对话框并重新启动 EASProxy 服务。