Activation d’Outlook pour iOS et Android dans Exchange Online

Exchange Online
 

Sapplique à :Exchange Online, Office 365

Dernière rubrique modifiée :2017-04-05

Résumé : Comment activer Outlook pour iOS et Android dans votre environnement Exchange Online et comment tirer le meilleur parti de l’application.

Deux tâches clés sont nécessaires pour configurer et activer Outlook pour iOS et Android.

  1. Configurez Outlook pour iOS et Android en tant qu’application de messagerie principale pour la connexion de vos utilisateurs finals à leurs boîtes aux lettres Exchange. Cela implique à la fois de bloquer la connexion d’autres applications de messagerie à vos boîtes aux lettres et de s’assurer qu’Outlook pour iOS et Android n’est pas bloqué.

  2. Afin de protéger les données d’entreprise sur les appareils individuels, configurez Microsoft Intune, la gestion des périphériques mobiles (GPM) d’Office 365, ou les stratégies de boîte aux lettres d’appareils mobiles et d’accès des appareils mobiles disponibles dans le Centre d’administration Exchange.

    RemarqueRemarque :
    Consultez la section Méthodes de gestion des accès supplémentaires plus loin dans cette rubrique si vous préférez implémenter une stratégie d’application de services web Exchange (EWS) ou des règles d’accès client pour gérer l’accès des appareils mobiles au sein de votre organisation.

Outlook pour iOS et Android devrait être activé par défaut, mais dans certains environnements Exchange Online existants, l’application peut être bloquée pour diverses raisons. Une fois qu’une organisation décide de normaliser la manière dont les utilisateurs accèdent aux données Exchange et utilisent Outlook pour iOS et Android comme application de messagerie unique pour les utilisateurs finals, vous pouvez configurer des blocages pour d’autres applications de messagerie en cours d’exécution sur les appareils iOS et Android des utilisateurs. Vous avez deux possibilités pour l’établissement de ces blocages : la première option bloque tous les appareils et permet uniquement l’utilisation d’Outlook pour iOS et Android ; la deuxième option vous permet de bloquer l’utilisation d’applications Exchange ActiveSync natives par des appareils individuels.

Vous pouvez définir une règle de blocage par défaut, puis configurer une règle d’autorisation pour Outlook pour iOS et Android, ainsi que pour les appareils Windows, à l’aide des commandes suivantes. Cette configuration empêche la connexion des applications Exchange ActiveSync natives autres que Windows et autorise uniquement Outlook pour iOS et Android.

  1. Créez la règle de blocage par défaut :

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  2. Créer une règle d’autorisation pour Outlook pour iOS et Android :

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
    
  3. Créez des règles qui autorisent Outlook sur les appareils Windows pour la connectivité Exchange ActiveSync (WP fait référence à Windows Phone, WP8 fait référence à Windows Phone 8 et versions ultérieures, et WindowsMail fait référence à l’application de messagerie incluse dans Windows 10) :

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP8" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
    
    

Vous pouvez également bloquer les applications Exchange ActiveSync natives sur des appareils iOS et Android spécifiques ou sur d’autres types d’appareils.

  1. Vérifiez qu’aucune règle d’accès d’appareil Exchange ActiveSync ne bloque Outlook pour iOS et Android :

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto
    

    S’il existe des règles d’accès d’appareil qui bloquent Outlook pour iOS et Android, tapez ce qui suit pour les supprimer :

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule
    
  2. Vous pouvez bloquer la plupart des appareils iOS et Android avec les commandes suivantes :

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
    
    
  3. Tous les fabricants d’appareils Android ne spécifient pas « Android » en tant que type d’appareil. Les fabricants peuvent spécifier une valeur unique à chaque version. Pour rechercher d’autres appareils Android qui accèdent à votre environnement, exécutez la commande suivante pour générer un rapport de tous les appareils qui ont un partenariat Exchange ActiveSync actif :

    Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
    
  4. Créez des règles de blocage supplémentaires, en fonction des résultats de l’étape 3. Par exemple, si vous trouvez que votre environnement utilise les appareils Android HTC One de manière intensive, vous pouvez créer une règle d’accès d’appareil Exchange ActiveSync qui bloque cet appareil en particulier, obligeant les utilisateurs à utiliser Outlook pour iOS et Android. Dans cet exemple, vous devriez taper :

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
    
    RemarqueRemarque :
    Le paramètre QueryString n’accepte pas les caractères génériques ou les correspondances partielles.

Ressources supplémentaires :

La protection des données organisationnelles ou d’entreprise sur les appareils mobiles des utilisateurs est essentielle. Office 365 fournit trois méthodes pour y parvenir :

  1. Recommandé : Microsoft Intune (nécessite un achat distinct ou l’achat de la suite Microsoft EMS).

  2. La solution GPM d’Office 365, qui est incluse dans Office 365.

  3. L’utilisation d’un code confidentiel et les options de chiffrement disponibles via les stratégies de boîte aux lettres d’appareils mobiles et d’accès des appareils mobiles dans le Centre d’administration Exchange.

Pour obtenir plus d’informations et de ressources sur l’implémentation de chacune de ces trois options, consultez la rubrique Gestion d’appareils pour Outlook pour iOS et Android dans Exchange Online.

Si vous ne voulez pas que les utilisateurs de votre organisation accèdent aux données Exchange avec Outlook pour iOS et Android, vous avez deux possibilités.

  • Option 1 : bloquer Outlook pour iOS et Android sur les plateformes iOS et Android

  • Option 2 : bloquer Outlook pour iOS et Android sur une plateforme d’appareil mobile spécifique

Chaque organisation Exchange dispose de stratégies différentes en matière de sécurité et de gestion des périphériques. Si une organisation décide qu’Outlook pour iOS et Android ne répond pas à ses besoins ou n’est pas la meilleure solution pour elle, les administrateurs ont la possibilité de bloquer l’application. Une fois que l’application est bloquée, les utilisateurs mobiles Exchange de votre organisation peuvent continuer à accéder à leurs boîtes aux lettres à l’aide des applications de messagerie intégrées sur iOS et Android.

La cmdlet New-ActiveSyncDeviceAccessRule possède un paramètre Characteristic et les administrateurs disposent de trois options Characteristic pour bloquer l’application Outlook pour iOS et Android. Les options sont UserAgent, DeviceModel et DeviceType. Pour les deux options de blocage décrites dans les sections suivantes, vous allez utiliser une ou plusieurs de ces valeurs de caractéristiques pour restreindre l’accès d’Outlook pour iOS et Android aux boîtes aux lettres de votre organisation.

Les valeurs pour chaque caractéristique sont affichées dans le tableau suivant :

 

Caractéristique Chaîne pour iOS Chaîne pour Android

DeviceModel

Outlook pour iOS et Android

Outlook pour iOS et Android

DeviceType

Outlook

Outlook

UserAgent

Outlook-iOS/2.0

Outlook-Android/2.0

La cmdlet New-ActiveSyncDeviceAccessRule vous permet de définir une règle d’accès d’appareil, à l’aide de la caractéristique DeviceModel ou DeviceType. Dans les deux cas, la règle d’accès bloque Outlook pour iOS et Android sur toutes les plateformes et empêche l’accès de tous les appareils à une boîte aux lettres Exchange par le biais de l’application, à la fois sur la plateforme iOS et Android.

Voici deux exemples de règle d’accès d’appareil. Le premier exemple utilise la caractéristique DeviceModel ; le deuxième exemple utilise la caractéristique DeviceType.

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

La caractéristique UserAgent vous permet de définir une règle d’accès d’appareil qui bloque Outlook pour iOS et Android sur une plateforme spécifique. Cette règle empêche un appareil d’utiliser Outlook pour iOS et Android pour se connecter à la plateforme que vous spécifiez. Les exemples suivants montrent comment utiliser la valeur spécifique de l’appareil pour la caractéristique UserAgent.

Pour bloquer Android et autoriser iOS :

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

Pour bloquer iOS et autoriser Android :

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

Outre Microsoft Intune, la gestion des périphériques mobiles d’Office 365 et les stratégies relatives aux appareils mobiles, il existe deux méthodes supplémentaires pour la gestion de l’accès des appareils mobiles aux informations de votre organisation :

  • Stratégies d’application des services web Exchange (EWS)

  • Règles d’accès client

Une stratégie d’application EWS permet de contrôler si les applications sont autorisées ou non à utiliser l’API REST. Notez que lorsque vous configurez une stratégie d’application EWS qui autorise uniquement l’accès d’applications spécifiques à votre environnement de messagerie, vous devez ajouter la chaîne de l’agent utilisateur pour Outlook pour iOS et Android à la liste verte EWS.

L’exemple suivant montre comment ajouter les chaînes de l’agent utilisateur à la liste verte EWS :

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}

Si vous n’utilisez pas de stratégie d’application EWS, mais que vous contrôlez toujours l’accès des applications à EWS, assurez-vous qu’EWS n’est pas désactivé pour votre organisation ou pour les boîtes aux lettres individuelles appartenant aux utilisateurs d’Outlook pour iOS et Android. Les commandes suivantes activeront EWS au niveau de l’organisation et d’une boîte aux lettres :

Set-OrganizationConfig -EwsEnabled:$true
Set-CASMailbox <mailbox> -EwsEnabled:$true

<mailbox> représente l’ID de la boîte aux lettres pour laquelle activer EWS.

Pour plus d’informations, consultez la rubrique Procédure : contrôler l’accès à EWS dans Exchange.

Les règles d’accès au client sont comme des règles de transport pour les connexions client à votre environnement Exchange Online. Les conditions et les exceptions sont appliquées à chaque tentative de connexion en fonction des propriétés de l’utilisateur ou des propriétés de la connexion du client.

Étant donné que les règles d’accès client ont une incidence uniquement sur la gestion de la session de protocole utilisée par le client, vous devez vous assurer que l’accès de l’API REST est autorisé (cette opération est effectuée avec une règle d’accès client). Dans le cas contraire, les utilisateurs Outlook pour iOS et Android ne seront pas en mesure de se connecter et d’accéder à leur boîte aux lettres.

L’exemple suivant montre comment autoriser l’accès de l’API REST :

New-ClientAccessRule -Action AllowAccess -Name AllowREST -AnyOfProtocols REST

Notez que vous ne pouvez pas utiliser le paramètre AnyOfClientIPAddressesOrRanges pour gérer Outlook pour iOS et Android. Cela est dû à l’architecture Office 365 qui est utilisée par Outlook pour iOS et Android.

Ressources supplémentaires :

N’oubliez pas que les stratégies d’application EWS et les règles d’accès client fonctionnent indépendamment dans une organisation Exchange Online. Les règles d’accès client ont seulement connaissance de la session de protocole d’un client donné. Cela signifie les choses suivantes :

Lorsque vous disposez d’une règle d’accès client qui autorise la session REST

  • Si Outlook pour iOS et Android est spécifié dans la liste verte EWS, la connexion de l’application Outlook pour iOS et Android est bloquée (en raison de la définition de la stratégie d’application EWS).

  • À l’inverse, si Outlook pour iOS et Android est spécifié dans la liste verte EWS, les utilisateurs peuvent se connecter.

Lorsque vous disposez d’une règle d’accès client qui bloque la session REST

  • Si Outlook pour iOS et Android est spécifié dans la liste de blocage EWS, la connexion des utilisateurs de l’application est bloquée (en raison de la définition de la règle d’accès client).

  • Si Outlook pour iOS et Android est spécifié dans la liste verte EWS, la connexion des utilisateurs est toujours bloquée (en raison de la définition de la règle d’accès client).

 
Afficher: