按设备类别限制访问
管理员可以限制访问不支持使用 IBM Traveler 的设备安全性的设备,或按设备的用户代理值限制访问这些设备。
可以按设备类别(Windows Mobile、Nokia 或 Apple)激活设置禁用无法启用安全性的设备,以禁止不支持安全性启用的设备与 IBM Traveler 同步。安全性支持包括 IBM® Traveler 远程擦除设备的功能以及强制使用设备密码的功能。此设置在缺省设备首选项和安全设置值和 Domino IBM Traveler 策略设置文档(在创建 IBM Traveler 策略设置文档中进行了描述)中定义。
- Window Mobile:启用禁用无法启用安全性的设备会禁止运行 IBM Traveler 8.5 之前的 IBM Traveler 客户端的 Windows Mobile 设备与 IBM Traveler 服务器同步。8.5 之前的客户端不支持远程擦除或 IBM Traveler 设备安全设置。
- Nokia:启用禁用无法启用安全性的设备会禁止符合以下条件的 Nokia 设备与 IBM Traveler 服务器同步:
- 运行版本低于 IBM Traveler 8.5.1 的 IBM Traveler 客户端的 Nokia 设备
- 不支持 Nokia 安全性应用程序的 Nokia 设备
- 支持 Nokia 安全性应用程序但没有安装此应用程序的 Nokia 设备
- Apple:Apple 设备安全与否取决于所用的 Exchange ActiveSync 协议的级别,以及是否有任何启用的安全设置不受该协议级别支持。
协议 2.5 级不支持“禁用未加密的设备”、“禁用递增、递降和重复顺序”、“密码到期周期”、“密码历史记录”、“禁用照相机”或“复杂字符最少数量”。
协议 12.0 级不支持“禁用未加密的设备”、“禁用照相机”或“复杂字符最少数量”。
例如,如果启用需要设备密码和禁用未加密的设备,那么只有使用 Exchange ActiveSync 12.1 或更高版本的 Apple 设备能够与 IBM Traveler 服务器同步。
- Android:启用禁用无法启用安全性的设备会阻止符合以下条件的 Android 设备与 IBM Traveler 服务器同步:
- Android OS 级别低于 2.2 的设备
- 收到提示时,用户尚未启用设备管理员的设备
当设备因禁用无法启用安全性的设备而无法与服务器同步时,“403(禁止访问)”状态会返回到设备。此外,值“禁止”会显示在 LotusTraveler.nsf 设备安全性视图和设备文档“访问”字段中。
- 您可以在 notes.ini 中使用简化标志,以表示 IBM Traveler 支持的各种设备类型,从而决定哪些类型可以同步。示例包括:
表 1. notes.ini 值 描述 NTS_USER_AGENT_ALLOWED_ANDROID=true
IBM Verse for Android 或 IBM Notes Traveler for Android。
NTS_USER_AGENT_ALLOWED_APPLE=true
Apple iOS 内置邮件客户端。
NTS_USER_AGENT_ALLOWED_BB=true
BlackBerry 10 内置邮件客户端。
NTS_USER_AGENT_ALLOWED_IBM_APPLE=true
IBM Verse for iOS。
注: 仅适用于 IBM Traveler 9.0.1.3 和更高版本的服务器。NTS_USER_AGENT_ALLOWED_MAAS360_ANDROID=true
Android 上的 MaaS360 Secure Mail 客户端。
注: 仅适用于 IBM Traveler 9.0.1.3 和更高版本的服务器。NTS_USER_AGENT_ALLOWED_MAAS360_APPLE=true
Apple iOS 上的 MaaS360 Secure Mail 客户端。
注: 仅适用于 IBM Traveler 9.0.1.3 和更高版本的服务器。NTS_USER_AGENT_ALLOWED_MAAS360_WINPHONE=true
Microsoft Windows Phone 上的 MaaS360 Secure Mail 客户端。
注: 仅适用于 IBM Traveler 9.0.1.3 和更高版本的服务器。NTS_USER_AGENT_ALLOWED_NOKIA=true
IBM Lotus Notes Traveler for Nokia。
NTS_USER_AGENT_ALLOWED_WM=true
IBM Lotus Notes Traveler for Windows Mobile。
NTS_USER_AGENT_ALLOWED_WINPHONE=true
Microsoft Windows Phone 内置邮件客户端,所有操作系统级别。
NTS_USER_AGENT_ALLOWED_WINPHONE_10=true
Microsoft Windows Phone 10 内置邮件客户端。注: 对于 Windows 10 Mobile 设备,因为 NTS_USER_AGENT_ALLOWED_WINPHONE 适用于所有 Windows Phone 设备(包括 Windows 10 Mobile),所以第一项检查将针对此参数运行。 如果通过该检查,那么接下来会检查 NTS_USER_AGENT_ALLOWED_WINPHONE_10。这就意味着 Windows 10 Mobile 设备必须通过两项检查。NTS_USER_AGENT_ALLOWED_WINPC=true
Microsoft Windows Pro Tablet 内置邮件客户端。
NTS_USER_AGENT_ALLOWED_WINTABLET_RT=true
Microsoft Windows RT Tablet 内置邮件客户端。
NTS_USER_AGENT_ALLOWED_REGEX=.*
用于根据连接客户端代理的用户代理进行更细粒度的控制。
注: IBM 支持的设备会使用自己的特定 notes.ini 值,如上面所列。其他设备由 NTS_USER_AGENT_ALLOWED_REGEX 进行管理。NTS_USER_AGENT_ALLOWED_REGEX 在上面定义的设备类型之后进行检查,并且仅当命令未与某个已知设备类型对应时才予以使用。NTS_USER_AGENT_ALLOWED_REGEX 是被允许同步数据的 User-Agent HTTP 头的正则表达式。缺省值是“.*”,允许所有设备同步。NTS_USER_AGENT_ALLOWED_REGEX=.*
以下各表为 8.5.3、8.5.2 和 8.5.2 之前的 IBM Traveler 客户端按设备列出的用户代理。Windows Mobile 和 Nokia 用户代理随每个新的 IBM Traveler 发行版更改。但 Apple 使用每个 OS 更新来更新其用户代理值。因此,Apple 用户代理的变体比 Windows Mobile 或 Nokia 用户代理多得多。注: 已知 Apple 用户代理的部分示例显示在这些表中,但不是全面的列表。要确定设备用于同步的确切用户代理,有一种方法是在新设备与服务器同步后,查看 IBM Traveler 使用情况日志文件。可以在以下位置找到该文件:<Domino Data Directory>\IBM_TECHNICAL_SUPPORT\traveler\logs\NTSUsage_DATE_TIME.log注: 以下各表中的一些构建号是示例,随着时间推移,可能会在更新设备上的软件版本后发生更改。表 2. Android IBM Traveler 用户代理 发行版 用户代理 IBM Traveler 9.0.0 Lotus Traveler Android 9.0 Lotus Notes® Traveler 8.5.3 Lotus Traveler Android 8.5.3 Lotus Notes Traveler 8.5.2 Lotus Traveler Android 8.5.2.1 表 3. Apple IBM Traveler 用户代理 设备 用户代理 IBM Verse for iPhone Traveler-iOS-iPhone/9.1.2.20150514 IBM Verse for iPad Traveler-iOS-iPad/9.2.0.20150616 Apple iPhone (OS 9) Apple-iPhone7C2/1301.344 Apple iPhone (OS 8) Apple-iPhone7C2/1202.466 Apple iPhone (OS 7.1) Apple-iPhone6C2/1104.169 Apple iPhone (OS 7) Apple-iPhone4C1/1104.257 Apple iPhone (OS 6) Apple-iPhone5C2/1001.525 Apple iPhone (OS 5) Apple-iPhone3C3/902.206 Apple iPhone (OS 4) Apple-iPhone2C1/801.306 Apple iPhone (OS 3.1.2) Apple-iPhone/704.11 Apple iPhone (OS 3.0) Apple-iPhone/701.341 Apple iPhone (OS 2) Apple-iPhone/508.11 Apple iPad (OS 9) Apple-iPad4C2/1301.344 Apple iPad (OS 8) Apple-iPad4C2/1201.405 Apple iPad (OS 7.1) Apple-iPad4C1/1104.167 Apple iPad (OS 7) Apple-iPad4C1/1104.201 Apple iPad (OS 6) Apple-iPad3C1/1001.523 Apple iPad (OS 3) Apple-iPad/702.367 Apple iPod (OS 2) Apple-iPod/508.110001 Traveler Companion TravelerCompanion/2.0.2 CFNetwork/485.12.7 Darwin/10.4.0 Traveler 待办事宜 TravelerToDo/8.5.4.201210312104 CFNetwork/548.1.4 Darwin/11.0.0 表 4. Nokia Series 60 和 Symbian^3 IBM Traveler 用户代理 发行版 用户代理 Lotus Notes Traveler 8.5.3 Lotus Notes Traveler Nokia 8.5.3.0 Lotus Notes Traveler 8.5.2 Lotus Notes Traveler Nokia 8.5.2.0 Lotus Notes Traveler 8.5.2 之前的版本 SyncML HTTP Client 表 5. Windows Mobile IBM Traveler 用户代理 发行版 用户代理 Lotus Notes Traveler 8.5.3 Lotus Notes Traveler WM 8.5.3.0 Lotus Notes Traveler 8.5.2 Lotus Notes Traveler WM 8.5.2.0 Lotus Notes Traveler 8.5.2 之前的版本 IBM SyncML Client 表 6. Windows Phone IBM Traveler 用户代理 设备 用户代理 Windows 10 Mobile MSFT-WIN-4/10.0.10581 Windows Phone 8.0 MSFT-WP/8.0 Windows Phone 7.8 MSFT-WP/7.10.8853 Windows Phone 7.5 MSFT-WP/7.10.8773 IBM Traveler Companion 1.1.0 TravelerCompanion WP/1.1.0 表 7. Windows RT IBM Traveler 用户代理 设备 用户代理 Windows RT WindowsMail/16.4.4406.1205 表 8. BlackBerry 10 IBM Traveler 用户代理 设备 用户代理 Z10 RIM-Z10-STL100-1/10.0.10.261 Blackberry 10.x BLACKBERRY-Z10-STL100-1/10.0.10.261 表 9. MaaS360 IBM Traveler 用户代理 设备 用户代理 Android/4.1-EAS-1.3 Android 上的 MaaS360 Apple-iPhone Apple 上的 MaaS360 注: 此代理非常通用。因此,如果您选择阻止此代理,那么可能还需要阻止系统的其他对象。IBM Mail Service for Microsoft Outlook (IMSMO) 产品仅支持以下用户代理。此解决方案的可用性受限。请联系销售代表以获取更多信息。表 10. Microsoft Outlook 用户代理 设备 用户代理 MS Outlook 2013 Outlook/15.0(15.0.4505.1002;MSI;x64) MS Outlook 2013 IBMMailAddin/901.2013.828.122 下表显示 IBM Traveler 不支持的设备的用户代理。注: 应用程序提供者可在任何时候更改这些值。表 11. 不受支持的用户代理 设备 用户代理 Touchdown 应用程序 Apple-TouchDown(MSRPC)/8.4.00086/ENCRYPTDEVICE,ENCRYPTSD Blackberry Work Connect BLACKBERRY-WorkConnect:BLACKBERRY-WorkConnect/3.0 Blackberry Work Connect Android:Android/4.4.3 BLACKBERRY-WorkConnect/3.0 Blackberry Work Connect Android/4.4.4 BLACKBERRY-WorkConnect/3.0 OpenPeak OP/4.2 AT&T Toggle Toggle/3.0 Microsoft Outlook Web 应用程序 (OWA) Outlook-iOS-Android/1.0 有许多可能的示例,组合了不同的用户代理部分。部分示例如下:- Apple - 允许所有 Apple 设备同步,但不允许其他设备。
- (IBM SyncML Client)|(IBM Traveler WM) - 允许所有 Windows Mobile 设备(不论新旧)同步,但不允许其他设备。
- (Nokia SyncML HTTP Client)|(IBM Traveler Nokia) - 允许所有 Nokia 设备(不论新旧)同步,但不允许其他设备。
- Lotus Notes Traveler * 8.5.2 - 仅允许 8.5.2 Windows Mobile 和 Nokia 客户端同步,但不允许 Apple 设备。
- (Apple)|(Lotus Notes Traveler WM) - 仅允许 Apple 和 8.5.2 Windows Mobile 客户端同步,但不允许 Nokia 设备同步。
- Apple-iPhone/7 - 仅允许使用 OS 3 的 Apple iPhone(而非 iPod 或 iPad)同步(也不允许 Windows Mobile 和 Nokia 设备)。
- IBM Traveler Android - 仅允许 Android 设备进行同步。
- NTS_USER_AGENT_ALLOWED_REGEX=^((?!((Toggle)|(Outlook-iOS-Android))).)*$ - 这将阻止 Toggle 和 OWA,但允许其他所有设备。请注意,这只会阻止特定设备。更安全的设置将只允许希望允许的显式设备。通过这种方法,就不必每次查找要阻止的新设备时都更新此部分。
- NTS_AS_PROTOCOL_VERSIONS - 指定服务器支持的 Exchange ActiveSync 协议版本。服务器支持 2.5、12.0 和 12.1。Apple OS 2.x 设备仅支持 AS 2.5,因此如果您希望允许这些设备与 Lotus Traveler 同步,就必须将 2.5 包含在该列表中。如果要阻止 Apple OS 2.x 设备,可以从该列表中除去 2.5。Apple OS 3.x 设备支持 12.1,所以您应该始终在该列表中包含此版本。非 Apple 设备可能不支持 12.1 但支持 12.0,后者介于 2.5 和 12.1 之间。这些值以逗号分隔,并且不得包含空格。例如:
NTS_AS_PROTOCOL_VERSIONS=2.5,12.0,12.1,14.0,14.1