跳转至

通过 PowerShell 设置电子邮件访问控制

如果在 PowerShell 模式下设置 Sophos Mobile EAS 代理,它将通过 PowerShell 连接到您的 Exchange 邮件服务器,并根据设备的合规性状态设置电子邮件访问。

限制

因为 macOS 不支持 ActiveSync 协议,因此您不能使用 PowerShell 来控制 Mac 设备的电子邮件访问权限。

与代理模式相比,PowerShell 模式具有以下优点:

  • 设备直接与 Exchange 邮件服务器通信。
  • 因为邮件数据流不需要通过 Sophos Mobile EAS 代理,所以不需要在防火墙中为入站邮件打开端口。
  • 您可以阻止非受管设备访问电子邮件。
  • PowerShell 模式支持 Exchange Online 和 Exchange Server,而代理模式仅支持 Exchange Server。

有关通信流的示意图,请参阅 EAS 代理架构示例

Exchange 邮件服务器可以是 Exchange Server 或 Exchange Online (Microsoft 365 的一部分)。支持的版本有:

  • Exchange Server 2016
  • Exchange Server 2019
  • 采用 Exchange Online 方案的 Microsoft 365

要通过 PowerShell 设置电子邮件访问控制,请按下述内容操作。

配置 PowerShell

  1. 可选:如果需要,请在要安装 EAS 代理的计算机上安装 Windows PowerShell。

    请参阅 在 Windows 上安装 PowerShell

  2. 以管理员身分打开 PowerShell,并运行以下命令:

    Set-ExecutionPolicy RemoteSigned
    

Exchange Server 需要额外的配置:

  1. 打开 Exchange 命令行管理程序。

    请参阅打开 Exchange 命令行管理程序

  2. 设置 PowerShell 执行策略:

    Set-ExecutionPolicy RemoteSigned
    
  3. 获取 PowerShell 虚拟目录的名称:

    Get-PowerShellVirtualDirectory -Server <服务器名称>
    

    <server name>是安装 Exchange Server 的计算机的名称。

    在标准安装中,PowerShell 虚拟目录为 PowerShell (Default Web Site)

  4. 为 PowerShell 虚拟目录设置基本身份验证:

    Set-PowerShellVirtualDirectory -Identity "PowerShell (Default Web Site)" -BasicAuthentication $true
    

创建服务帐户

服务帐户是 Exchange 邮件服务器上的一个特殊用户帐户,Sophos Mobile 用它来运行 PowerShell 命令。

  1. 在 Web 浏览器中打开 Exchange 管理中心:

    • 对于 Exchange Server:https://<ServerFQDN>/ecp

      <ServerFQDN> 是您的 Exchange 服务器的完全限定域名。

    • 对于 Exchange Online:https://admin.exchange.microsoft.com

  2. 创建用户帐户。

    • 使用用户名 (如 smc_powershell) 标识帐户用途。
    • 关闭要求用户在下次登录时更改其密码的设置。
    • 删除自动分配给该新帐户的所有 Microsoft 365 许可证。服务帐户不需要许可证。
  3. 创建一个新的角色组,并为其分配所需的权限。

    • 使用如 smc_powershell 之类的角色组名称。
    • 添加邮件收件人组织客户端访问角色。
    • 将该用户帐户添加为成员。

配置 PowerShell 连接

  1. 像安装 Sophos Mobile EAS 代理一样,使用设置助手。在 EAS Proxy instance setup 页面上,配置以下设置:

    • Instance type: 选择 PowerShell Exchange/Office 365
    • Instance name: 用于标识该实例的名称。
    • Exchange server: 对于 Exchange Server,输入服务器的名称或 IP 地址。

      对于 Exchange Online,如果您使用的是全球版 Microsoft 365 服务,请输入 outlook.office365.com。对于其他服务,如 Office 365 德国,请参阅 Connect-ExchangeOnline-ConnectionUri 参数的值。

      请勿在名称中输入协议 https:// 或后缀 /powershell-liveid。设置助手会自动添加这些内容。

    • Allow all certificates: EAS 代理不验证服务器证书。例如,如果您使用的是带有自签名证书的 Exchange Server,可选中此选项。

      警告

      此设置会降低邮件服务器连接的安全性。请仅在您的网络环境需要时选择。

    • Service account: 您在 Exchange Server 或 Exchange Online 管理控制台中创建的用户帐户的名称。

    • 密码:该用户帐户的密码。
  2. 单击 Add (添加) 将实例添加到 Instances (实例) 列表中。

  3. 重复前面的步骤设置到其他 Exchange Server 实例的 PowerShell 连接。
  4. 完成设置。
  5. 可选:如果需要,配置 EAS 代理用于连接到 Exchange Server 或 Exchange Online 的代理服务器。在您安装 EAS 代理的计算机上,使用以管理员身份运行选项打开命令提示符,然后键入以下命令:

    netsh winhttp set proxy <服务器名称或 IP>:<端口>
    

    警告

    此命令用于配置系统范围的代理。计算机上运行的其他程序可能会受到它的影响。

有关设置助手的详细信息,请参阅安装 Sophos Mobile EAS 代理

上传 PowerShell 证书

将 PowerShell 连接的证书上载到 Sophos Mobile。

  1. 在 Sophos Central Admin 中,转到 My Products > Mobile
  2. 在侧边的菜单栏中,单击设置 > Sophos 设置,然后单击 EAS 代理选项卡。
  3. 外部下,单击上传文件。上传配置期间创建的证书。

    如果您设置了多个实例,请对所有实例证书重复此操作。

  4. 单击保存

  5. 在 Windows 中,打开服务对话框并重新启动 EASProxy 服务。