通过 PowerShell 设置电子邮件访问控制
如果在 PowerShell 模式下设置独立 EAS 代理,它将通过 PowerShell 连接到您的 Exchange 邮件服务器,并根据设备的合规性状态设置电子邮件访问。
在 PowerShell 模式下,邮件数据流直接从 Exchange 邮件服务器传输到您的设备,不使用代理。关于通信流的示意图,参见Sophos Mobile server deployment guide“EAS代理架构示例”。
PowerShell 模式的优点:
- 对于来自您的设备的传入电子邮件数据流,您不需要在 Sophos Mobile 服务器上为其打开端口。
- 您可以阻止未注册到 Sophos Mobile 的设备访问电子邮件。
Exchange 邮件服务器可以是 Exchange Server 或 Exchange Online (Microsoft 365 的一部分)。支持的版本有:
- Exchange Server 2013
- Exchange Server 2016
- 采用 Exchange Online 方案的 Microsoft 365
限制
因为 macOS 不支持 ActiveSync 协议,因此您不能使用 PowerShell 来控制 Mac 设备的电子邮件访问权限。
要通过 PowerShell 设置电子邮件访问控制,请按下述内容操作。
配置 PowerShell
-
可选:如果需要,请在要安装 EAS 代理的计算机上安装 Windows PowerShell。
请参阅 Microsoft 文档 安装 Windows PowerShell。
-
以管理员身分打开 PowerShell,并运行以下命令:
Set-ExecutionPolicy RemoteSigned
Exchange Server 需要额外的配置:
-
打开 Exchange 命令行管理程序。
请参阅 Microsoft 文档 打开 Exchange 命令行管理程序。
-
设置 PowerShell 执行策略:
Set-ExecutionPolicy RemoteSigned
-
获取 PowerShell 虚拟目录的名称:
Get-PowerShellVirtualDirectory -Server <server name\>
<server name\>
是安装 Exchange Server 的计算机的名称。在标准安装中,PowerShell 虚拟目录为
PowerShell (Default Web Site)
。 -
为 PowerShell 虚拟目录设置基本身份验证:
Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true
创建服务帐户
服务帐户是 Exchange 邮件服务器上的一个特殊用户帐户,Sophos Mobile 用它来运行 PowerShell 命令。
-
在 Web 浏览器中打开 Exchange 管理中心:
-
对于 Exchange Server:
https://<ServerFQDN\>/ecp
\
是您的 Exchange 服务器的完全限定域名。 -
对于 Exchange Online:
https://admin.exchange.microsoft.com
-
-
创建用户帐户。
- 使用用户名 (如
smc_powershell
) 标识帐户用途。 - 关闭要求用户在下次登录时更改其密码的设置。
- 删除自动分配给该新帐户的所有 Microsoft 365 许可证。服务帐户不需要许可证。
- 使用用户名 (如
-
创建一个新的角色组,并为其分配所需的权限。
- 使用如
smc_powershell
之类的角色组名称。 - 添加邮件收件人和组织客户端访问角色。
- 将该用户帐户添加为成员。
- 使用如
配置 PowerShell 连接
-
像您安装独立 EAS 代理一样,使用设置助手。在 EAS Proxy instance setup 页面上,配置以下设置:
- Instance type: 选择 PowerShell Exchange/Office 365。
- Instance name: 用于标识该实例的名称。
-
Exchange server: 对于 Exchange Server,输入服务器的名称或 IP 地址。
对于 Exchange Online,如果您使用的是全球版 Microsoft 365 服务,请输入
outlook.office365.com
。对于其他服务,如 Office 365 Germany,您可以在 Microsoft 文档基本身份验证 - 连接到 Exchange Online PowerShell 中找到相应地址。请勿在名称中输入协议
https://
或后缀/powershell-liveid
。设置向导会自动添加这些内容。 -
Allow all certificates: EAS 代理不验证服务器证书。例如,如果您使用的是带有自签名证书的 Exchange Server,可选中此选项。
警告
此设置会降低邮件服务器连接的安全性。请仅在您的网络环境需要时选择。
-
Service account: 您在 Exchange Server 或 Exchange Online 管理控制台中创建的用户帐户的名称。
- 密码:该用户帐户的密码。
-
单击 Add (添加) 将实例添加到 Instances (实例) 列表中。
- 重复前面的步骤设置到其他 Exchange Server 实例的 PowerShell 连接。
- 完成设置。
-
可选:如果需要,配置 EAS 代理用于连接到 Exchange Server 或 Exchange Online 的代理服务器。在您安装 EAS 代理的计算机上,使用以管理员身份运行选项打开命令提示符,然后键入以下命令:
netsh winhttp set proxy <服务器名称或 IP>:<端口>
警告
此命令用于配置系统范围的代理。计算机上运行的其他程序可能会受到它的影响。
上传 PowerShell 证书
将 PowerShell 连接的证书上载到 Sophos Mobile。
- 以超级管理员身份登录 Sophos Mobile Admin。
- 在侧边的菜单栏中,单击设置 下,单击 设置 > Sophos 设置然后单击 EAS 代理 选项卡。
- 在 常规 下,选择 对 Sophos Secure Email 的限制 以限制 Sophos Secure Email 应用的电子邮件访问权限,可用于 Android 和 iOS。
-
在外部下,单击上传文件。上传配置期间创建的证书。
如果您设置了多个实例,请对所有实例证书重复此操作。
-
单击保存。
- 在 Windows 中,打开服务对话框并重新启动 EASProxy 服务。