Exchange系统如何限制手机访问？

经常会有企业有禁用手机端访问Exchange的需求，而一个大的误区就是，你可能会认为，禁用手机端不就是禁用用户的ActiveSync吗？大不了写个脚本批量禁用？

实际上。还真不是，就算是禁用了ActiveSync，用户依然可以配置手机邮箱并正常收发邮件，

我们用案例来说话：

例如针对这个用户禁用了ActiveSync：

但是用户可以下载Outlook App for iOS or Android并配置正常使用。

ActiveSync是Exchange中比较老的一种协议，iOS和Android自带的邮件App支持这种协议，也就是说无论是Exchange Server还是Exchange Online只要禁用了ActiveSync那么用户是使用iOS和Android自带的邮件App是完全无法配置邮箱和正常使用的。

但是Microsoft在Outlook Apps中提供通过HTTPS连接端到端的TLS1.2用于保护连接，而不再提供ActiveSync协议支持。

以下是正确的禁用方式，可以完全阻止用户通过手机App访问Exchange企业邮箱服务：

禁用ActiveSync

禁止用户通过iOS和Android自带的邮件App配置访问邮件服务在此基础之上还要禁用OutlookMobileEnable

禁止用户通过Outlook for iOS or Android基于HTTPS配置访问邮件服务

禁用OutlookMobileEnable命令如下：

也可以通过csv文件+foreach循环脚本批量设置，但是要注意$ture和$false均为布尔值，配置好之后等待30分钟生效，打开Outlook App会弹出同步出错。