Cet article a fait l’objet d’une traduction automatique. Pour afficher l’article en anglais, activez la case d’option Anglais. Vous pouvez également afficher le texte anglais dans une fenêtre contextuelle en faisant glisser le pointeur de la souris sur le texte traduit.
Traduction
Anglais

Securing Outlook for iOS and Android in Exchange Online

Exchange Online
 

Sapplique à :Exchange Online, Office 365

Dernière rubrique modifiée :2018-03-30

Résumé : Comment activer Outlook pour iOS et Android dans votre environnement Exchange Online et comment tirer le meilleur parti de l’application.

Deux tâches clés sont nécessaires pour configurer et activer Outlook pour iOS et Android.

  1. Configurez Outlook pour iOS et Android en tant qu’application de messagerie principale pour la connexion de vos utilisateurs finals à leurs boîtes aux lettres Exchange. Cela implique à la fois de bloquer la connexion d’autres applications de messagerie à vos boîtes aux lettres et de s’assurer qu’Outlook pour iOS et Android n’est pas bloqué.

  2. Afin de protéger les données d’entreprise sur les appareils individuels, configurez Microsoft Intune, la gestion des périphériques mobiles (GPM) d’Office 365, ou les stratégies de boîte aux lettres d’appareils mobiles et d’accès des appareils mobiles disponibles dans le Centre d’administration Exchange.

    RemarqueRemarque :
    Voir stratégies d’application Exchange Web Services (EWS) plus loin dans cet article, si vous implémentez plutôt une stratégie d’application EWS pour gérer l’accès du périphérique mobile de votre organisation.

Outlook pour iOS et Android devrait être activé par défaut, mais dans certains environnements Exchange Online existants, l’application peut être bloquée pour diverses raisons. Une fois qu’une organisation décide de normaliser la manière dont les utilisateurs accèdent aux données Exchange et utilisent Outlook pour iOS et Android comme application de messagerie unique pour les utilisateurs finals, vous pouvez configurer des blocages pour d’autres applications de messagerie en cours d’exécution sur les appareils iOS et Android des utilisateurs. Vous avez deux possibilités pour l’établissement de ces blocages : la première option bloque tous les appareils et permet uniquement l’utilisation d’Outlook pour iOS et Android ; la deuxième option vous permet de bloquer l’utilisation d’applications Exchange ActiveSync natives par des appareils individuels.

Vous pouvez définir une règle de blocage par défaut, puis configurer une règle d’autorisation pour Outlook pour iOS et Android, ainsi que pour les appareils Windows, à l’aide des commandes suivantes. Cette configuration empêche la connexion des applications Exchange ActiveSync natives autres que Windows et autorise uniquement Outlook pour iOS et Android.

  1. Créez la règle de blocage par défaut :

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  2. Créer une règle d’autorisation pour Outlook pour iOS et Android :

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
    
  3. Créez des règles qui autorisent Outlook sur les appareils Windows pour la connectivité Exchange ActiveSync (WP fait référence à Windows Phone, WP8 fait référence à Windows Phone 8 et versions ultérieures, et WindowsMail fait référence à l’application de messagerie incluse dans Windows 10) :

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP8" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
    
    

Vous pouvez également bloquer les applications Exchange ActiveSync natives sur des appareils iOS et Android spécifiques ou sur d’autres types d’appareils.

  1. Vérifiez qu’aucune règle d’accès d’appareil Exchange ActiveSync ne bloque Outlook pour iOS et Android :

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto
    

    S’il existe des règles d’accès d’appareil qui bloquent Outlook pour iOS et Android, tapez ce qui suit pour les supprimer :

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule
    
  2. Vous pouvez bloquer la plupart des appareils iOS et Android avec les commandes suivantes :

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
    
    
  3. Tous les fabricants d’appareils Android ne spécifient pas « Android » en tant que type d’appareil. Les fabricants peuvent spécifier une valeur unique à chaque version. Pour rechercher d’autres appareils Android qui accèdent à votre environnement, exécutez la commande suivante pour générer un rapport de tous les appareils qui ont un partenariat Exchange ActiveSync actif :

    Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
    
  4. Créez des règles de blocage supplémentaires, en fonction des résultats de l’étape 3. Par exemple, si vous trouvez que votre environnement utilise les appareils Android HTC One de manière intensive, vous pouvez créer une règle d’accès d’appareil Exchange ActiveSync qui bloque cet appareil en particulier, obligeant les utilisateurs à utiliser Outlook pour iOS et Android. Dans cet exemple, vous devriez taper :

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
    
    RemarqueRemarque :
    Le paramètre QueryString n’accepte pas les caractères génériques ou les correspondances partielles.

Ressources supplémentaires :

La protection des données organisationnelles ou d’entreprise sur les appareils mobiles des utilisateurs est essentielle. Office 365 fournit trois méthodes pour y parvenir :

  1. Recommandé : Microsoft Intune (nécessite un achat distinct ou l’achat de la suite Microsoft EMS).

  2. La solution GPM d’Office 365, qui est incluse dans Office 365.

  3. L’utilisation d’un code confidentiel et les options de chiffrement disponibles via les stratégies de boîte aux lettres d’appareils mobiles et d’accès des appareils mobiles dans le Centre d’administration Exchange.

Pour obtenir plus d’informations et de ressources sur l’implémentation de chacune de ces trois options, consultez la rubrique Gestion d’appareils pour Outlook pour iOS et Android dans Exchange Online.

Si vous ne voulez pas que les utilisateurs de votre organisation accèdent aux données Exchange avec Outlook pour iOS et Android, vous avez deux possibilités.

  • Option 1 : bloquer Outlook pour iOS et Android sur les plateformes iOS et Android

  • Option 2 : bloquer Outlook pour iOS et Android sur une plateforme d’appareil mobile spécifique

Chaque organisation Exchange dispose de stratégies différentes en matière de sécurité et de gestion des périphériques. Si une organisation décide qu’Outlook pour iOS et Android ne répond pas à ses besoins ou n’est pas la meilleure solution pour elle, les administrateurs ont la possibilité de bloquer l’application. Une fois que l’application est bloquée, les utilisateurs mobiles Exchange de votre organisation peuvent continuer à accéder à leurs boîtes aux lettres à l’aide des applications de messagerie intégrées sur iOS et Android.

La cmdlet New-ActiveSyncDeviceAccessRule possède un paramètre Characteristic et les administrateurs disposent de trois options Characteristic pour bloquer l’application Outlook pour iOS et Android. Les options sont UserAgent, DeviceModel et DeviceType. Pour les deux options de blocage décrites dans les sections suivantes, vous allez utiliser une ou plusieurs de ces valeurs de caractéristiques pour restreindre l’accès d’Outlook pour iOS et Android aux boîtes aux lettres de votre organisation.

Les valeurs pour chaque caractéristique sont affichées dans le tableau suivant :

 

Caractéristique Chaîne pour iOS Chaîne pour Android

DeviceModel

Outlook pour iOS et Android

Outlook pour iOS et Android

DeviceType

Outlook

Outlook

UserAgent

Outlook-iOS/2.0

Outlook-Android/2.0

La cmdlet New-ActiveSyncDeviceAccessRule vous permet de définir une règle d’accès d’appareil, à l’aide de la caractéristique DeviceModel ou DeviceType. Dans les deux cas, la règle d’accès bloque Outlook pour iOS et Android sur toutes les plateformes et empêche l’accès de tous les appareils à une boîte aux lettres Exchange par le biais de l’application, à la fois sur la plateforme iOS et Android.

Voici deux exemples de règle d’accès d’appareil. Le premier exemple utilise la caractéristique DeviceModel ; le deuxième exemple utilise la caractéristique DeviceType.

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

La caractéristique UserAgent vous permet de définir une règle d’accès d’appareil qui bloque Outlook pour iOS et Android sur une plateforme spécifique. Cette règle empêche un appareil d’utiliser Outlook pour iOS et Android pour se connecter à la plateforme que vous spécifiez. Les exemples suivants montrent comment utiliser la valeur spécifique de l’appareil pour la caractéristique UserAgent.

Pour bloquer Android et autoriser iOS :

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

Pour bloquer iOS et autoriser Android :

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

Au-delà de Microsoft Intune, Office 365 MDM et stratégies de périphérique mobile, vous pouvez également gérer l’accès aux informations de votre organisation par le biais de stratégies d’application EWS des périphériques mobiles. Une stratégie d’application EWS peut contrôler si les applications sont autorisées à tirer parti de l’API REST. Notez que lorsque vous configurez une stratégie d’application EWS qui autorise uniquement l’accès des applications spécifiques à votre environnement de messagerie, vous devez ajouter la chaîne user-agent pour Outlook pour iOS et Android à l’EWS liste d’autorisation.

L’exemple suivant montre comment ajouter les chaînes de l’agent utilisateur à la liste verte EWS :

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}
 
Afficher: