- Настройка электронной почты Microsoft Exchange на устройствах Android
- Управление устройствами с Outlook для iOS и Android для Exchange Server
- Политика почтовых ящиков мобильных устройств
- Блокировка с помощью ПИН-кода и шифрование устройства
- Шифрование устройств
- Удаленная очистка с помощью Exchange ActiveSync
- Политика доступа с устройств
- Способ 1. Блокировка всех почтовых приложений, кроме Outlook для iOS и Android
- Способ 2. Блокировка собственных приложений Exchange ActiveSync на устройствах с Android и iOS
- Блокировка Outlook для iOS и Android
- Защита Outlook для iOS и Android в Exchange Online
- Настройка Outlook для iOS и Android
- Использование набора Enterprise Mobility + Security для защиты корпоративных данных с помощью Outlook для iOS и Android
- Блокировка всех почтовых приложений, кроме Outlook для iOS и Android, с помощью условного доступа
- Защита корпоративных данных в Outlook для iOS и Android с помощью политик защиты приложений Intune
- Использование базовой мобильности и безопасности для Microsoft 365
- Использование политик мобильных устройств Exchange Online
- Политика почтовых ящиков мобильных устройств
- Политика доступа с устройств
- Способ 1. Блокировка всех почтовых приложений, кроме Outlook для iOS и Android
- Способ 2. Блокировка собственных приложений Exchange ActiveSync на устройствах с Android и iOS
- Блокировка Outlook для iOS и Android
- Способ 1. Блокировка доступа с мобильных устройств с помощью политики условного доступа
- Способ А. Блокировка доступа с мобильных устройств на платформах iOS и Android
- Способ Б. Блокировка доступа с мобильных устройств на определенной платформе мобильных устройств
- Способ 2. Блокировка Outlook для iOS и Android с помощью правил доступа с мобильных устройств Exchange
- Способ А. Блокировка Outlook для iOS и Android на платформах iOS и Android
- Способ Б. Блокировка Outlook для iOS и Android на определенной платформе мобильных устройств
- Exchange Online элементов управления
- Политики приложений веб-служб Exchange (EWS)
- Exchange Элементы управления пользователями
- Управление надстройками
Настройка электронной почты Microsoft Exchange на устройствах Android
- В меню Приложения выберите пункт Электронная почта . В некоторых версиях Android это приложение может называться Почта .
- Введите полный адрес электронной почты (например, proverka@contoso.com) и пароль, а затем нажмите кнопку Далее .
- Выберите пункт Учетная запись Exchange . В некоторых версиях Android он может называться «Exchange ActiveSync».
- Введите указанные ниже сведения об учетной записи, а затем нажмите кнопку Далее .
- Домен\Имя пользователя. Введите здесь полный адрес электронной почты. Если Домен и Имя пользователя в вашей версии Android — два разных поля, оставьте поле Домен пустым и введите полный адрес электронной почты в поле Имя пользователя .
ПРИМЕЧАНИЕ. В некоторых версиях Android в этом поле необходимо использовать формат «домен\имя_пользователя». Например, если ваш адрес — proverka@contoso.com, введите contoso.com\proverka@contoso.com. Имя пользователя — это используемый адрес электронной почты .
- Пароль. Введите пароль, используемый для доступа к учетной записи.
- Exchange Server. Введите адрес сервера Exchange Server. Если вы подключаетесь к своей электронной почте Office 365, используйте в качестве имени сервера outlook.office365.com . Если вы не используете Office 365, см. раздел Определение имени сервера Exchange ActiveSync далее в этой статье.
- Как только телефон проверит настройки сервера, отобразится экран Параметры учетной записи . Доступные параметры зависят от версии Android, установленной на телефоне. Могут быть доступны указанные ниже параметры.
- Интервал проверки электронной почты. По умолчанию задано значение «Автоматически» (push). В этом случае сообщения отправляются на телефон при их поступлении. Это значение рекомендуется выбирать только при наличии неограниченного доступа к Интернету.
- Период синхронизации. Определяет количество сообщений, которые требуется хранить на мобильном телефоне. Можно выбрать одно из нескольких значений, например «Один день», «Три дня» или «Одна неделя».
- Уведомлять о получении новых сообщений. Если выбрать этот параметр, вы будете получать на мобильный телефон уведомления о новых сообщениях электронной почты.
- Синхронизировать контакты с учетной записью. Если выбрать этот параметр, контакты на телефоне и в учетной записи будут синхронизированы.
- Нажмите кнопку Далее , а затем введите имя этой учетной записи и имя, которое требуется отображать при отправке сообщений другим пользователям. Нажмите кнопку Готово , чтобы завершить настройку электронной почты и начать использовать свою учетную запись.
ПРИМЕЧАНИЕ. Возможно, придется подождать 10–15 минут после настройки учетной записи, прежде чем можно будет отправлять или получать сообщения.
Источник
Управление устройствами с Outlook для iOS и Android для Exchange Server
Outlook для iOS и Android поддерживает гибридную современную проверку подлинности для локального почтового ящика, что устраняет необходимость использования базовой проверки подлинности. Сведения, содержащиеся в этой статье, относятся только к базовой проверке подлинности. Дополнительные сведения см. в ссылке Использование гибридной современной проверки подлинности Outlook для iOS и Android.
Корпорация Майкрософт рекомендует Exchange ActiveSync для управления мобильными устройствами, которые используются для доступа к почтовым ящикам Exchange в локальной среде. Exchange ActiveSync это протокол синхронизации Microsoft Exchange, который предоставляет мобильным телефонам доступ к данным организации на сервере, на котором запущен Microsoft Exchange.
В этой статье основное внимание уделяется конкретным Exchange ActiveSync и сценариям для мобильных устройств, работающих Outlook для iOS и Android при проверке подлинности с помощью Базовой проверки подлинности. Подробная информация о протоколе синхронизации Microsoft Exchange приведена в статье Служба Exchange ActiveSync. Кроме того, в блоге Office есть информация о принудительном применении паролей и других преимуществах использования Exchange ActiveSync с устройствами с Outlook для iOS и Android.
Политика почтовых ящиков мобильных устройств
Outlook для iOS и Android поддерживает следующие параметры политики почтовых ящиков мобильных устройств в Exchange локально:
Шифрование устройства включено
Длина пароля min (только на Android)
Разрешить Bluetooth (используется для управления Outlook для носимого приложения Для Android)
Если allowBluetooth включен (поведение по умолчанию) или настроено для HandsfreeOnly, носимая синхронизация между Outlook на устройстве Android и Outlook на носимой учетной записи разрешается для работы или учетной записи школы.
При отключении AllowBluetooth Outlook для Android отключит синхронизацию между Outlook на устройстве Android и Outlook на носимой для указанной учетной записи или учебной записи (и удалит все данные, ранее синхронизированные для учетной записи). Отключение синхронизации полностью контролируется в пределах Outlook; Bluetooth не отключено на устройстве или носимых устройствах, равно как и любое другое носимое приложение.
Outlook для Android будет выполнить поддержку параметра AllowBluetooth, начиная с конца августа.
Сведения о создании или изменении существующей политики почтовых ящиков мобильных устройств см. в приложении Mobile Device mailbox policies.
Блокировка с помощью ПИН-кода и шифрование устройства
Если политика Exchange ActiveSync организации требует использовать пароль для синхронизации электронной почты на мобильных устройствах, Outlook применит эту политику на уровне устройства. Эта функция работает по-разному на устройствах iOS и Android, так как средства, предоставляемые Apple и Google, отличаются.
На устройствах iOS Outlook проверяет, правильно ли задан секретный код или ПИН-код. Если секретный код не задан, Outlook предлагает пользователю создать его в настройках iOS. Пользователь не получит доступ к Outlook для iOS, пока не задаст секретный код.
На устройствах Android Outlook применит правила блокировки экрана. Кроме того, Google предоставляет средства, которые позволяют Outlook для Android соответствовать политикам Exchange в отношении длины и сложности пароля, а также количества допустимых попыток разблокировки экрана до очистки телефона. Outlook для Android также будет рекомендовать включить шифрование хранилища, если оно отключено, и поможет пользователям задать необходимые настройки.
Устройства iOS и Android, которые не поддерживают эти параметры безопасности, не смогут подключиться к почтовому ящику Exchange.
Шифрование устройств
Устройства iOS поставляются со встроенным шифрованием, которое Outlook после того, как пароль включен для шифрования всех данных, Outlook локально хранится на устройстве iOS. Поэтому устройства iOS с ПИН-кодом шифруются независимо от того, требуется ли это политике ActiveSync.
Outlook для Android поддерживает шифрование устройств с Exchange почтовых ящиков мобильных устройств. Однако до Android 7.0 доступность и реализация этого процесса зависит от версии ОС Android и производителя устройств, что позволяет пользователю отказаться от выполнения процесса шифрования. Благодаря изменениям, внесенным Google в Android 7.0, Outlook Android теперь может применять шифрование на устройствах под управлением Android 7.0 или более поздней версии. Пользователи с устройствами, работающими с этими операционными системами, не смогут отменить процесс шифрования.
Даже если устройство Android не расшифрована и злоумышленник находится во владении устройством, пока включен ПИН-код устройства, Outlook база данных остается недоступной. Это верно даже при включенной отладке USB и установленном Android SDK. Если злоумышленник пытается коренится на устройстве, чтобы обойти ПИН-код, чтобы получить доступ к этой информации, процесс укореняния удаляет все хранилища устройств и удаляет Outlook данных. Если устройство не расшифрована и укоренена пользователем до кражи, злоумышленник может получить доступ к базе данных Outlook, включив отладку USB на устройстве и подключив устройство к компьютеру с установленным android SDK.
Удаленная очистка с помощью Exchange ActiveSync
Exchange ActiveSync позволяет администраторам удаленно стирать устройства, например, если они становятся скомпрометированными или потерянными или украденными. С Outlook для iOS и Android удаленный стирает только данные в самом приложении Outlook и не запускает полное стирка устройства.
Политика доступа с устройств
Outlook для iOS и Android должно быть включено по умолчанию, но в некоторых существующих Exchange локальной среде приложение может быть заблокировано по различным причинам. Чтобы стандартизировать доступ пользователей к данным Exchange и использовать Outlook для iOS и Android в качестве единственного почтового приложения, заблокируйте другие почтовые приложения на устройствах пользователей с iOS и Android. У вас есть два варианта для встройки этих блоков Exchange локально: первый вариант блокирует все устройства и позволяет использовать только Outlook для iOS и Android; Второй вариант позволяет блокировать использование родных приложений Exchange ActiveSync устройств.
Так как идентификаторы устройств не зависят от идентификаторов физических устройств, они могут меняться без уведомления. Это может привести к неожиданным последствиям, например разрешенные устройства могут быть неожиданно заблокированы или помещены в карантин Exchange. Поэтому Корпорация Майкрософт рекомендует администраторам устанавливать только политики доступа к мобильным устройствам, которые позволяют или блокируют устройства на основе типа устройства или модели устройства.
Способ 1. Блокировка всех почтовых приложений, кроме Outlook для iOS и Android
Можно определить правило блокировки по умолчанию, а затем настроить правило разрешить доступ Outlook для iOS и Android, а также для Windows устройств с помощью следующих Exchange локальной команды PowerShell. После этого все собственные приложения Exchange ActiveSync, кроме Outlook для iOS и Android, будут заблокированы.
Создайте правило блокировки по умолчанию:
Создайте правило, разрешающее Outlook для iOS и Android:
Необязательный: создайте правила, Outlook на Windows устройствах для Exchange ActiveSync подключения (WindowsMail ссылается на приложение Mail, включено в Windows 10):
Способ 2. Блокировка собственных приложений Exchange ActiveSync на устройствах с Android и iOS
Кроме того, вы можете заблокировать собственные приложения Exchange ActiveSync на определенных устройствах с Android и iOS или других устройствах.
Убедитесь, что правила доступа к устройству Exchange ActiveSync не блокируют Outlook для iOS и Android:
Если такие правила обнаружены, введите следующую команду, чтобы удалить их:
Вы можете заблокировать большинство устройств с Android и iOS с помощью следующих команд:
Не все производители устройств Android указывают «Android» как тип устройства. Изготовители могут указывать уникальное значение для каждой версии. Чтобы найти другие устройства с Android, которые подключаются к вашей среде, выполните указанную ниже команду, чтобы создать отчет обо всех устройствах, активно взаимодействующих с Exchange ActiveSync.
Создайте дополнительные правила блокировки, в зависимости от результатов, полученных на шаге 3. Например, если в вашей среде много устройств HTCOne с Android, вы можете создать правило доступа к устройству Exchange ActiveSync, чтобы пользователи могли применять только Outlook для iOS и Android на этих устройствах. В этом примере введите:
Параметр QueryString не принимает подстановочные знаки и частичные соответствия.
Дополнительные ресурсы:
Блокировка Outlook для iOS и Android
В разных организациях Exchange действуют разные политики относительно безопасности и управления устройствами. Если приложение Outlook для iOS и Android не соответствует потребностям организации или не является оптимальным решением, администраторы могут заблокировать его. После этого пользователи мобильных устройств Exchange в организации смогут получать доступ к своим почтовым ящикам с помощью встроенных почтовых приложений на iOS и Android.
У cmdlet есть параметр, и администраторы могут использовать три параметра, чтобы заблокировать Outlook для приложения для iOS и New-ActiveSyncDeviceAccessRule Characteristic Characteristic Android. The options are UserAgent, DeviceModel, and DeviceType. In the two blocking options described in the following sections, you will use one or more of these characteristic values to restrict the access that Outlook for iOS and Android has to the mailboxes in your organization.
Значения характеристик представлены в таблице ниже.
| Характеристика | Строка для iOS | Строка для Android |
|---|---|---|
| DeviceModel | Outlook для iOS и Android | Outlook для iOS и Android |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS-Android/1.0 | Outlook-iOS-Android/1.0 |
С помощью этого комлета можно определить правило доступа к New-ActiveSyncDeviceAccessRule устройству, используя либо характерные, либо DeviceModel DeviceType характерные. В обоих случаях правило блокирует доступ к почтовому ящику Exchange через приложение Outlook для iOS и Android с любого устройства на платформе iOS или Android.
Ниже приведены два примера правила доступа к устройству. В первом примере используется DeviceModel характеристика, во втором примере используется DeviceType характеристика.
Источник
Защита Outlook для iOS и Android в Exchange Online
Outlook для iOS и Android предоставляет пользователям быструю и интуитивную электронную почту и календарь, которые пользователи ожидают от современного мобильного приложения, будучи единственным приложением, которое обеспечивает поддержку лучших функций Microsoft 365 или Office 365.
Очень важно защитить данные компании или организации на мобильных устройствах пользователей. Сначала ознакомьтесь с разделом Настройка Outlook для iOS и Android, чтобы убедиться в наличии у пользователей всех требуемых приложений. После этого выберите один из следующих вариантов, чтобы защитить свои устройства и данные своей организации:
Рекомендуется: если ваша организация оформила подписку на Enterprise Mobility + Security или приобрела отдельные лицензии на Microsoft Intune и Azure Active Directory Premium, выполните действия, описанные в разделе Использование набора Enterprise Mobility + Security для защиты корпоративных данных с помощью Outlook для iOS и Android.
Если ваша организация не имеет Enterprise Mobility + Security или лицензирования для Microsoft Intune и Azure Active Directory Premium, выполните действия в области использования базовой мобильности и безопасности для Microsoft 365 и используйте возможности Basic Mobility и Security, включенные в Office 365 или Microsoft 365 подписку.
Следуя указаниям, приведенным в разделе Использование политик мобильных устройств Exchange Online, внедрите основные политики почтовых ящиков мобильных устройств и доступа к устройствам Exchange.
С другой стороны, если вы не хотите использовать Outlook для iOS и Android в организации, см. раздел Блокировка Outlook для iOS и Android.
См. раздел Политики приложений веб-служб Exchange (EWS) далее в этой статье, если для управления доступом к мобильным устройствам в вашей организации вы хотите внедрить политику приложений EWS.
Настройка Outlook для iOS и Android
Для устройств, зарегистрированных в едином решении управления конечными точками (UEM), пользователи будут использовать решение UEM, как и Корпоративный портал Intune, для установки необходимых приложений: Outlook для iOS, Android и Microsoft Authenticator.
Для устройств, не зарегистрированных в решении UEM, пользователям необходимо установить:
Outlook для iOS и Android через Apple App Store или Google Play Маркет;
Microsoft Authenticator через Apple App Store или Google Play Маркет;
Корпоративный портал Intune через Apple App Store или Google Play Маркет.
Установив приложение, пользователи могут добавить свою корпоративную учетную запись электронной почты, а также настроить основные параметры приложения. Для этого необходимо выполнить действия, перечисленные в следующих статьях:
Чтобы можно было применять политики условного доступа для приложений на устройствах с iOS, должно быть установлено приложение Microsoft Authenticator. Для устройств с Android Корпоративный портал Intune приложение. Дополнительные сведения см. в приложении Conditional Access with Intune.
Использование набора Enterprise Mobility + Security для защиты корпоративных данных с помощью Outlook для iOS и Android
В списке Allow/Block/Quarantine (ABQ) нет гарантий безопасности (если клиент подменит загон DeviceType, можно обойти блокировку для определенного типа устройства). Чтобы надежно ограничить доступ к определенным типам устройств, рекомендуется настроить политики условного доступа. Дополнительные сведения см. в приложении условного доступа с помощью Intune.
Самые богатые и широкие возможности защиты данных Microsoft 365 и Office 365 доступны при подписке на пакет Enterprise Mobility + Security, который включает Microsoft Intune и Azure Active Directory Premium, например условный доступ. По крайней мере необходимо развернуть политику условного доступа, которая разрешает подключаться к Outlook для iOS и Android только с мобильных устройств, и политику защиты приложений Intune, обеспечивающую защиту корпоративных данных.
Хотя подписка на набор Enterprise Mobility + Security включает Microsoft Intune и Azure Active Directory Premium, вы можете отдельно приобрести лицензии на Microsoft Intune и Azure Active Directory Premium. Чтобы применялись политики условного доступа и защиты приложений Intune, которые рассматриваются в этой статье, все пользователи должны получить лицензии.
Блокировка всех почтовых приложений, кроме Outlook для iOS и Android, с помощью условного доступа
Чтобы стандартизировать доступ пользователей к данным Exchange, используя в качестве почтового приложения только Outlook для iOS и Android, можно настроить политику условного доступа, блокирующую другие способы доступа с мобильных устройств. Для этого потребуется несколько политик условного доступа, каждая из которых ориентирована на всех потенциальных пользователей. Сведения о создании этих политик можно найти в политике защиты приложений require for cloud app access with Conditional Access.
Следуйте «Шаг 1. Настройка политики условного доступа Azure AD для Microsoft 365 или Office 365» в сценарии 1:Microsoft 365 или Office 365 приложения требуют утвержденных приложений с политиками защиты приложений, что позволяет Outlook для iOS и Android, но блокирует OAuth, Exchange ActiveSync клиентов от подключения к Exchange Online.
Эта политика гарантирует, что мобильные пользователи могут Office конечные точки с помощью применимых приложений.
Следуйте «Шаг 2. Настройка политики условного доступа Azure AD для Exchange Online с помощью ActiveSync (EAS)» в сценарии 1:Microsoft 365 или Office 365 приложения требуют утвержденных приложений с политиками защиты приложений, что не позволяет Exchange ActiveSync клиентам использовать базовую проверку подлинности от подключения к Exchange Online.
В вышеуказанных политиках применяется политика управления грантами Require AppProtection Policy , которая гарантирует, что политика защиты приложений Intune применяется к связанной учетной записи в Outlook для iOS и Android до предоставления доступа. Если пользователю не назначена политика защиты приложений Intune, не лицензирована для Intune или приложение не включено в политику защиты приложений Intune, политика не позволяет пользователю получить маркер доступа и получить доступ к данным обмена сообщениями.
Наконец, следуйте примеру How to: Block legacy authentication to Azure AD с условным доступом, чтобы заблокировать устаревшую проверку подлинности для других протоколов Exchange на устройствах iOS и Android; эта политика должна быть ориентирована только на Office 365 Exchange Online приложения и платформы устройств для iOS и Android. Это гарантирует, что мобильные приложения с Exchange веб-службами, протоколами IMAP4 или POP3 с базовой проверкой подлинности не могут подключаться к Exchange Online.
После включения политик условного доступа блокировка всех ранее подключенных мобильных устройств может занять до 6 часов.
При проверке подлинности пользователя в Outlook для iOS и Android правила доступа к мобильным устройствам Exchange Online (разрешить, заблокировать или карантин) пропускаются, если к пользователю применяются Azure Active Directory политики условного доступа:
- Условие облачного приложения: Exchange Online или Office 365
- Состояние платформы устройства: iOS и/или Android
- Состояние клиентских приложений: мобильные приложения и клиент настольных компьютеров
- Один из следующих элементов управления доступом к грантам: требуется, чтобы устройство было помечено как совместимый, требуется утвержденное клиентские приложения или политика защиты приложений
Чтобы можно было применять политики условного доступа для приложений на устройствах с iOS, должно быть установлено приложение Microsoft Authenticator. Для устройств с Android Корпоративный портал Intune приложение. Дополнительные сведения см. в приложении Conditional Access with Intune.
Защита корпоративных данных в Outlook для iOS и Android с помощью политик защиты приложений Intune
Политики защиты приложений (APP) определяют, какие приложения разрешены и какие действия они могут принимать с данными организации. Выбор, доступный в APP, позволяет организациям адаптировать защиту к конкретным потребностям. Для некоторых может быть не очевидно, какие параметры политики необходимы для реализации полного сценария. Чтобы помочь организациям узаконить конечную точку мобильных клиентов, Корпорация Майкрософт ввела таксономию для своей платформы защиты данных APP для управления мобильными приложениями для iOS и Android.
Структура защиты данных APP организована на три различных уровня конфигурации, каждый уровень строится на уровне предыдущего:
- Enterprise базовой защиты данных (уровень 1) обеспечивает защиту приложений пин-кодом и шифрованием и выполняет селективные операции по уничтожению. Для устройств с Android этот уровень проверяет проверку android-устройств. Это конфигурация начального уровня, которая обеспечивает аналогичное управление защитой данных в Exchange Online почтовых ящиков и знакомит ИТ и пользователей с APP.
- Enterprise расширенной защиты данных (уровень 2) вводит механизмы предотвращения утечки данных APP и минимальные требования к ОС. Это конфигурация, которая применима к большинству мобильных пользователей, которые имеют доступ к работе или школьным данным.
- Enterprise высокой защиты данных (уровень 3) внедряет расширенные механизмы защиты данных, улучшенную конфигурацию ПИН-кода и app Mobile Threat Defense. Эта конфигурация является желательной для пользователей, которые имеют доступ к данным с высоким уровнем риска.
Чтобы просмотреть конкретные рекомендации для каждого уровня конфигурации и минимальные приложения, которые необходимо защитить, просмотрите рамки защиты данных с помощью политик защиты приложений.
Независимо от того, зарегистрировано ли устройство в решении UEM, необходимо создать политику защиты приложений Intune как для приложений для iOS, так и для Android с помощью действий в области создания и назначения политик защиты приложений. Эти политики как минимум должны соответствовать следующим условиям:
Они включают все мобильные приложения Майкрософт, такие как Edge, OneDrive, Office или Teams, так как это обеспечит пользователям возможность безопасного доступа к данным о работе или школе в любом приложении Майкрософт и управлять ими.
Она назначена всем пользователям. Это гарантирует, что все пользователи защищены независимо от того, Outlook для iOS или Android.
Определите, какой уровень фреймворка соответствует вашим требованиям. Большинству организаций следует реализовать параметры, определенные в Enterprise защиты данных (уровень 2), так как это позволяет контролировать защиту данных и требования к доступу.
Дополнительные сведения о доступных параметрах см. в настройках политики защиты приложений для Android в Microsoft Intune параметров политики защиты приложений iOS.
Чтобы применять политики защиты приложений с использованием Intune к приложениям на устройствах с Android, не зарегистрированных в Intune, пользователь также должен установить приложение «Корпоративный портал Intune». Дополнительные сведения см. в статье Что происходит при управлении приложением Android с помощью политик защиты приложений.
Использование базовой мобильности и безопасности для Microsoft 365
Если вы не планируете использовать набор Enterprise Mobility + Security, вы можете использовать базовую мобильность и безопасность для Microsoft 365. Это решение требует зарегистрировать мобильные устройства. Если вы попытаетесь получить доступ к Exchange Online с незарегистрированного устройства, вы не сможете получить доступ к ресурсу, пока не зарегистрируете устройство.
Так как это решение для управления устройствами, в нем не предусмотрена возможность выбирать, какие приложения можно использовать, даже после регистрации устройства. Если вы хотите ограничить доступ к Outlook для iOS и Android, вам потребуется получить лицензии на Azure Active Directory Premium и использовать политики условного доступа, которые рассматриваются в разделе Блокировка всех почтовых приложений, кроме Outlook для iOS и Android, с помощью условного доступа.
Глобальный администратор должен выполнить следующие действия, чтобы активировать и настроить регистрацию. Настройка базовой мобильности и безопасности для выполнения всех действий. В общем, вам нужно сделать вот что:
Активация базовой мобильности и безопасности, следуя шагам в центре Microsoft 365 безопасности.
Настройка единого управления конечными точками путем, например, создания сертификата ANS для управления устройствами iOS.
создать политики устройств и применить их к группам пользователей. Когда вы сделаете это, на устройства пользователей придет сообщение о регистрации. После завершения регистрации их устройства будут ограничены политиками, которые настроили вы.
Политики и правила доступа, созданные в Basic Mobility and Security, переопределяют политики почтовых ящиков Exchange мобильных устройств и правила доступа к устройствам, созданные в центре администрирования Exchange устройства. После регистрации устройства в Basic Mobility and Security любая политика Exchange почтового ящика мобильных устройств или правило доступа к устройству, применяющееся к этому устройству, будет игнорироваться.
Использование политик мобильных устройств Exchange Online
Если вы не планируете использовать набор Enterprise Mobility + Security или функциональность Basic Mobility and Security, вы можете реализовать политику почтовых ящиков Exchange мобильных устройств для обеспечения безопасности устройства и правила доступа к устройствам для ограничения подключения к устройству.
Политика почтовых ящиков мобильных устройств
Outlook для iOS и Android поддерживает вот какие параметры политики почтовых ящиков мобильных устройств в Exchange Online:
Шифрование устройства включено
Длина пароля min (только на Android)
Разрешить Bluetooth (используется для управления Outlook для носимого приложения Для Android)
Если allowBluetooth включен (поведение по умолчанию) или настроено для HandsfreeOnly, носимая синхронизация между Outlook на устройстве Android и Outlook на носимой учетной записи разрешается для работы или учетной записи школы.
При отключении AllowBluetooth Outlook для Android отключит синхронизацию между Outlook на устройстве Android и Outlook на носимой для указанной учетной записи или учебной записи (и удалит все данные, ранее синхронизированные для учетной записи). Отключение синхронизации полностью контролируется в пределах Outlook; Bluetooth не отключено на устройстве или носимых устройствах, равно как и любое другое носимое приложение.
Чтобы узнать, как создать или изменить имеющуюся политику почтовых ящиков мобильных устройств, см. статью Политики почтовых ящиков мобильных устройств в Exchange Online.
Кроме того, Outlook для iOS и Android поддерживает Exchange Online устройства в устройстве. С Outlook удаленный стирок только стирает данные в самом приложении Outlook и не запускает полное стирка устройства. Дополнительные сведения о выполнении удаленного стирки см. в см. в приложении Perform a remote wipe on a mobile phone.
Политика доступа с устройств
Обычно приложение Outlook для iOS и Android включено по умолчанию, но в некоторых средах Exchange Online оно может быть заблокировано по разным причинам. Чтобы стандартизировать доступ пользователей к данным Exchange и использовать Outlook для iOS и Android в качестве единственного почтового приложения, заблокируйте другие почтовые приложения на устройствах пользователей с iOS и Android. В Exchange Online вы можете заблокировать все почтовые приложения, кроме Outlook для iOS и Android, на всех устройствах или запретить отдельным устройствам использовать собственные приложения Exchange ActiveSync.
Так как идентификаторы устройств не зависят от идентификаторов физических устройств, они могут меняться без уведомления. Это может привести к неожиданным последствиям, например разрешенные устройства могут быть неожиданно заблокированы или помещены в карантин Exchange. Поэтому мы рекомендуем администраторам устанавливать только политики доступа к мобильным устройствам, которые позволяют или блокируют устройства на основе типа устройства или модели устройства.
Способ 1. Блокировка всех почтовых приложений, кроме Outlook для iOS и Android
Можно определить правило блокировки по умолчанию, а затем настроить правило разрешить Outlook для iOS и Android, а также для Windows устройств с помощью следующих команд Exchange Online PowerShell. После этого все собственные приложения Exchange ActiveSync, кроме Outlook для iOS и Android, будут заблокированы.
Создайте правило блокировки по умолчанию:
Создайте правило, разрешающее Outlook для iOS и Android:
Необязательный: создайте правила, Outlook на Windows устройствах для Exchange ActiveSync подключения (WindowsMail ссылается на приложение Mail, включено в Windows 10):
Способ 2. Блокировка собственных приложений Exchange ActiveSync на устройствах с Android и iOS
Кроме того, вы можете заблокировать собственные приложения Exchange ActiveSync на определенных устройствах с Android и iOS или других устройствах.
Убедитесь, что правила доступа к устройству Exchange ActiveSync не блокируют Outlook для iOS и Android:
Если такие правила обнаружены, введите следующую команду, чтобы удалить их:
Вы можете заблокировать большинство устройств с Android и iOS с помощью следующих команд:
Не все производители устройств Android указывают «Android» как тип устройства. Изготовители могут указывать уникальное значение для каждой версии. Чтобы найти другие устройства с Android, которые подключаются к вашей среде, выполните указанную ниже команду, чтобы создать отчет обо всех устройствах, активно взаимодействующих с Exchange ActiveSync.
Создайте дополнительные правила блокировки, в зависимости от результатов, полученных на шаге 3. Например, если в вашей среде много устройств HTCOne с Android, вы можете создать правило доступа к устройству Exchange ActiveSync, чтобы пользователи могли применять только Outlook для iOS и Android на этих устройствах. В этом примере введите:
Параметр -QueryString не принимает под диктовки или частичные совпадения.
Дополнительные ресурсы:
Блокировка Outlook для iOS и Android
Если вы не хотите, чтобы пользователи в вашей организации получали доступ к данным Exchange с помощью Outlook для iOS и Android, действия, которые необходимо выполнить, зависят от того, что вы используете: политики условного доступа Azure Active Directory или политики доступа с устройств в Exchange Online.
Способ 1. Блокировка доступа с мобильных устройств с помощью политики условного доступа
Политика условного доступа Azure Active Directory не обеспечивает средств, с помощью которых вы можете заблокировать конкретно Outlook для iOS и Android, при этом разрешив использовать другие клиенты Exchange ActiveSync. Таким образом, политики условного доступа позволяют заблокировать доступ с мобильных устройств следующими двумя способами:
Способ А. Блокировка доступа с мобильных устройств на платформах iOS и Android
Способ Б. Блокировка доступа с мобильных устройств на определенной платформе мобильных устройств
Способ А. Блокировка доступа с мобильных устройств на платформах iOS и Android
Если вы хотите запретить доступ с мобильных устройств для всех или некоторых пользователей с помощью условного доступа, выполните указанные ниже действия.
Создайте политики условного доступа, каждая из которых нацелена на всех или некоторых пользователей с использованием групп безопасности. Подробнее см. в статье Условный доступ на основе приложений Azure Active Directory.
Первая политика запрещает приложению Outlook для iOS и Android, а также другим клиентам Exchange ActiveSync с поддержкой OAuth подключаться к Exchange Online. См. раздел «Шаг 1. Настройка политики условного доступа с использованием Azure AD для Exchange Online», но в шаге 5 выберите Заблокировать доступ.
Вторая политика запрещает клиентам Exchange ActiveSync, использующим обычную проверку подлинности, подключаться к Exchange Online. См. раздел «Шаг 2. См. статью «Шаг 2 . Настройка политики условного доступа Azure AD для Exchange Online activeSync (EAS)».
Способ Б. Блокировка доступа с мобильных устройств на определенной платформе мобильных устройств
Если вы хотите запретить подключаться к Exchange Online с определенной платформы мобильных устройств, но при этом разрешить подключение с помощью Outlook для iOS и Android с использованием этой платформы, создайте приведенные ниже политики условного доступа, каждая из которых нацелена на всех пользователей. Подробнее см. в статье Условный доступ на основе приложений Azure Active Directory.
Первая политика разрешает подключаться к Exchange Online с помощью Outlook для iOS и Android на определенной платформе мобильных устройств, а также запрещает это делать другим клиентам Exchange ActiveSync с поддержкой OAuth. См. раздел «Шаг 1. Настройка политики условного доступа с использованием Azure AD для Exchange Online», но в шаге 4а выберите только необходимую платформу мобильных устройств (например, iOS), доступ с которой хотите разрешить.
Вторая политика запрещает подключаться к Exchange Online с помощью приложения на определенной платформе мобильных устройств, а также других клиентов Exchange ActiveSync с поддержкой OAuth. См. раздел «Шаг 1. Настройка политики условного доступа с использованием Azure AD для Exchange Online», но в шаге 4а выберите только необходимую платформу мобильных устройств (например, Android), доступ с которой хотите запретить. Кроме того, в шаге 5 выберите Заблокировать доступ.
Третья политика запрещает клиентам Exchange ActiveSync, использующим обычную проверку подлинности, подключаться к Exchange Online. См. раздел «Шаг 2. См. статью «Шаг 2 . Настройка политики условного доступа Azure AD для Exchange Online activeSync (EAS)».
Способ 2. Блокировка Outlook для iOS и Android с помощью правил доступа с мобильных устройств Exchange
Есть два способа управлять доступом со своих мобильных устройств с помощью доступных в Exchange Online правил доступа с устройств:
Способ А. Блокировка Outlook для iOS и Android на платформах iOS и Android
Способ Б. Блокировка Outlook для iOS и Android на определенной платформе мобильных устройств
В разных организациях Exchange действуют разные политики относительно безопасности и управления устройствами. Если приложение Outlook для iOS и Android не соответствует потребностям организации или не является оптимальным решением, администраторы могут заблокировать его. После этого пользователи мобильных устройств Exchange в организации смогут получать доступ к своим почтовым ящикам с помощью встроенных почтовых приложений на iOS и Android.
У cmdlet есть параметр, и администраторы могут использовать три параметра, чтобы заблокировать Outlook для приложения для iOS и New-ActiveSyncDeviceAccessRule Characteristic Characteristic Android. The options are UserAgent, DeviceModel, and DeviceType. In the two blocking options described in the following sections, you will use one or more of these characteristic values to restrict the access that Outlook for iOS and Android has to the mailboxes in your organization.
Значения характеристик представлены в таблице ниже.
| Характеристика | Строка для iOS | Строка для Android |
|---|---|---|
| DeviceModel | Outlook для iOS и Android | Outlook для iOS и Android |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS/2.0 | Outlook Android/2.0 |
Способ А. Блокировка Outlook для iOS и Android на платформах iOS и Android
С помощью этого комлета можно определить правило доступа к New-ActiveSyncDeviceAccessRule устройству, используя либо характерные, либо DeviceModel DeviceType характерные. В обоих случаях правило блокирует доступ к почтовому ящику Exchange через приложение Outlook для iOS и Android с любого устройства на платформе iOS или Android.
Ниже приведены два примера правила доступа к устройству. В первом примере используется DeviceModel характеристика, во втором примере используется DeviceType характеристика.
Способ Б. Блокировка Outlook для iOS и Android на определенной платформе мобильных устройств
С помощью этой характеристики можно определить правило доступа к устройствам, которое блокирует Outlook для iOS и UserAgent Android на определенной платформе. После этого устройство на указанной платформе не сможет подключаться к почтовым ящикам с помощью Outlook для iOS и Android. В следующих примерах покажите, как использовать для характеристики значение, определенное для UserAgent устройства.
Чтобы заблокировать Android и разрешить iOS:
Чтобы заблокировать iOS и разрешить Android:
Exchange Online элементов управления
Помимо Microsoft Endpoint Manager, политики базовой мобильности и безопасности для Microsoft 365 и Exchange мобильных устройств можно управлять доступом мобильных устройств к данным в организации с помощью различных элементов управления Exchange Online, а также разрешить пользователям доступ к надстройки. в Outlook для iOS и Android.
Политики приложений веб-служб Exchange (EWS)
Политики приложений EWS определяют, могут ли приложения использовать API REST. Обратите внимание, что при настройке политики приложений EWS, которая разрешает доступ к среде обмена сообщениями только отдельным приложениям, в список разрешений EWS необходимо добавить строку user-agent для Outlook для iOS и Android.
В следующем примере показано, как добавить строки user-agent в список разрешений EWS:
Exchange Элементы управления пользователями
С помощью родной технологии синхронизации Майкрософт администраторы могут управлять Outlook для iOS и Android на уровне почтовых ящиков. По умолчанию пользователям разрешен доступ к данным почтовых ящиков с Outlook для iOS и Android. В следующем примере показано, как отключить доступ к почтовым ящикам пользователя с помощью Outlook для iOS и Android:
Управление надстройками
Outlook для iOS и Android позволяет пользователям интегрировать популярные приложения и службы с клиентом электронной почты. Надстройки для Outlook доступны в Интернете, Windows, Mac и мобильных устройствах. Так как надстройки управляются с помощью Microsoft 365 или Office 365, пользователи могут обмениваться данными и сообщениями между Outlook для iOS и Android и неугомонная надстройка (даже если учетная запись управляется политикой защиты приложений Intune), если надстройки не отключены для пользователя в Центр администрирования Microsoft 365.
Если вы хотите, чтобы конечные пользователи не могли получить доступ к надстройке Outlook (которая затрагивает все Outlook клиентов), выполните следующие изменения ролей в Центр администрирования Microsoft 365:
- Чтобы запретить пользователям устанавливать надстройки из Магазина Office, удалите роль My Marketplace.
- Чтобы не допустить боковой загрузки надстройок, удалите из них роль «Мои настраиваемые приложения».
- Чтобы запретить пользователям устанавливать все надстройки, удалите из них роли My Custom Apps и My Marketplace.
Дополнительные сведения см. в Outlook надстройки и управление развертыванием надстройок в Центр администрирования Microsoft 365.
Источник
