Управление устройствами с Outlook для iOS и Android в Exchange Online
Сводка. В этой статье представлены рекомендации по управлению мобильными устройствами с Outlook для iOS и Android в среде Exchange Online.
Outlook для iOS и Android предоставляет пользователям быстрый, интуитивно понятный интерфейс электронной почты и календаря, который пользователи ожидают от современного мобильного приложения, в то же время являясь единственным приложением для поддержки лучших функций Microsoft 365 и Office 365. Кроме того, корпорация Майкрософт предоставляет ряд служебных программ для управления корпоративными данными и их защиты на мобильных устройствах в вашей Exchange Online организации.
Параметры управления устройствами и приложениями
Управлять Outlook для iOS и Android можно с помощью следующих решений:
Рекомендуется: набор Enterprise Mobility + Security, включающий Microsoft Intune и условный доступ Microsoft Entra.
Базовая мобильность и безопасность для Microsoft 365.
Сторонние решения unified Endpoint Management.
политики доступа с мобильных устройств и политики почтовых ящиков мобильных устройств.
Примечание.
Подробнее о внедрении каждого из этих трех решений см. в статье Securing Outlook for iOS and Android in Exchange Online.
Корпорация Майкрософт рекомендует клиентам использовать функции набора Enterprise Mobility + Security для защиты корпоративных данных на мобильных устройствах из-за расширенных возможностей, предоставляемых этими службами.
Важно!
Когда пользователь проходит проверку подлинности в Outlook для iOS и Android, Exchange Online правила доступа к мобильному устройству (разрешение, блокировка или карантин) пропускаются, если к пользователю применяются какие-либо Microsoft Entra политики условного доступа, в том числе:
- Условие облачного приложения: Exchange Online или Office 365
- Условие платформы устройства: iOS и (или) Android
- Условие клиентских приложений: мобильные приложения и классический клиент
- Один из следующих элементов управления предоставлением доступа: Требовать, чтобы устройство было помечено как соответствующее требованиям, Требовать утвержденное клиентское приложение или Требовать политику защиты приложений.
Примечание.
При использовании командлетов мобильных устройств, например Get-MobileDevice для проверка состояния устройства, метка времени синхронизации Outlook для iOS и Android, указываемая свойствомLastSyncTime, может отставать от фактического времени синхронизации на 15 минут. Синхронизация устройства происходит в реальном времени, но возвращаемая метка времени может отставать.
Использование набора Enterprise Mobility + Security
Самые широкие возможности защиты microsoft 365 и Office 365 данных доступны при подписке на набор Enterprise Mobility + Security, который включает в себя Microsoft Intune, Azure Information Protection и Microsoft Entra ID функций P1 или P2, таких как условный доступ.
Примечание.
Хотя подписка на набор Enterprise Mobility + Security включает лицензии как для Microsoft Intune, так и для Microsoft Entra ID, клиенты могут приобретать лицензии Microsoft Intune и Microsoft Entra ID Лицензии P1 или P2 отдельно. Все пользователи должны получить лицензии для применения политик условного доступа и защиты приложений Intune, которые обсуждаются в этой статье.
Intune предоставляет возможности управления мобильными приложениями (MAM), а также другие возможности условного доступа и управления устройствами. С помощью политик защиты приложений Intune можно ограничить такие действия, как вырезать, скопировать, вставить и сохранить как корпоративные данные между приложениями, управляемыми Intune, и приложениями, которые не управляются Intune. Дополнительные сведения см. в статье Создание и назначение политик защиты приложений. Кроме того, управляемые Intune приложения Outlook включают новую функцию управления несколькими удостоверениями, которая позволяет пользователям получать доступ к личной и рабочей учетным записям электронной почты в одном приложении Outlook, применяя политики защиты приложений Intune только к рабочей учетной записи пользователя. Это обеспечивает гораздо более удобный пользовательский интерфейс.
Условный доступ — это возможность Microsoft Entra ID, которая позволяет применять элементы управления доступом к приложениям в вашей среде на основе определенных условий из центрального расположения. Используя политики условного доступа, вы можете применять необходимые элементы управления доступом в зависимости от условий. Microsoft Entra условный доступ обеспечивает дополнительную безопасность, когда такая безопасность необходима, а в противном случае она остается недоступной для пользователей.
Вот ключевые функции набора Enterprise Mobility + Security с Outlook для iOS и Android:
Условный доступ. Microsoft Entra ID гарантирует, что доступ к Exchange Online электронной почте можно получить только при соблюдении требований условного доступа. Дополнительные сведения о регистрации устройств см. в разделе Что такое условный доступ?
Защита приложений Intune. Outlook для iOS и Android позволяет защитить корпоративные данные с помощью политик защиты приложений Intune. Это отличный вариант для сценариев с собственным устройством (BYOD), в которых требуется обеспечить безопасность корпоративных данных без управления устройствами пользователя. Дополнительные сведения о политиках защиты приложений Intune см. в статье Защита данных приложений с помощью политик управления мобильными приложениями с помощью Microsoft Intune.
Регистрация устройства. С помощью Intune вы можете управлять устройствами и приложениями своих сотрудников, а также тем, как они получают доступ к вашим корпоративным данным. В этой модели Outlook для iOS и Android обеспечивает доступ к электронной почте Exchange Online только с управляемых вашей компанией телефонов и планшетов, которые соответствуют требованиям политики вашей организации. Когда пользователи входят в приложение Outlook на неуправляемом мобильном устройстве, Outlook предлагает зарегистрировать устройство в Intune, используя политику условного доступа Azure, а затем проверяет, соответствует ли оно требованиям и стандартам, принятым в вашей организации.
Управление устройствами и создание отчетов. Процесс регистрации позволяет организациям устанавливать политики безопасности и управлять ими, например, принудительно блокировать ПИН-коды на уровне устройства, требовать шифрования данных и блокировать скомпрометированные устройства, чтобы предотвратить доступ к корпоративной электронной почте и данным с ненадежными устройствами. Каждое зарегистрированное устройство отображается в Центр администрирования Microsoft 365, а отчеты доступны для предоставления сведений об устройствах, которые обращаются к корпоративным данным.
Выборочная очистка. Microsoft Intune может удалять данные электронной почты из Outlook для iOS и Android, оставляя нетронутыми все личные учетные записи электронной почты (независимо от того, зарегистрировано ли устройство). Эта возможность приобретает особое значение, так как все больше сотрудников работают с личными телефонами и планшетами.
Использование Базовая мобильность и безопасность для Microsoft 365
Базовая мобильность и безопасность для Microsoft 365 предоставляет возможности управления устройствами без дополнительных затрат. Microsoft Intune эти базовые возможности, предоставляя базовый набор элементов управления в Центр администрирования Microsoft 365 для организаций, которым нужны основные сведения.
Так как это решение для управления устройствами, в нем не предусмотрена возможность выбирать, какие приложения можно использовать, даже после регистрации устройства. Если вы хотите ограничить доступ к Outlook для iOS и Android, необходимо получить Microsoft Entra ID лицензий P1 или P2 и использовать политики условного доступа.
Outlook для iOS и Android полностью поддерживает возможности, предоставляемые Базовая мобильность и безопасность для Microsoft 365.
Подробные сведения см. в следующих ресурсах:
Управление параметрами и компонентами на устройствах с помощью политик Microsoft Intune
Инструкции для конечных пользователей по регистрации устройства в Базовая мобильность и безопасность. Регистрация мобильного устройства с помощью Базовая мобильность и безопасность
Использование сторонних решений для управления едиными конечными точками
Сторонние поставщики унифицированных конечных точек могут развертывать Outlook для iOS и Android так же, как и любые приложения iOS или Android, используя имеющиеся средства. Они также могут применять такие элементы управления устройствами, как ПИН-код устройства, шифрование устройств, очистка устройств и т. д., которые важны для безопасной работы с электронной почтой, но также полностью не зависят от Outlook для iOS и Android.
Сторонние поставщики также могут развертывать в Outlook для iOS и Android определенные параметры конфигурации приложений, такие как настройка учетной записи, режим разрешенных организацией учетных записей и общие параметры конфигурации приложений. Дополнительные сведения см. в статье Развертывание параметров конфигурации приложений Outlook для iOS и Android.
Для управления корпоративными данными в приложении и их защиты (например, для ограничения действий с корпоративными данными, таких как вырезание, копирование, вставка и сохранение как), клиентам потребуется использовать набор Enterprise Mobility + Security Майкрософт.
Использование политик доступа с мобильных устройств и политик почтовых ящиков мобильных устройств
Корпорация Майкрософт рекомендует клиентам использовать набор Enterprise Mobility + Security или встроенный Базовая мобильность и безопасность для Microsoft 365 для управления корпоративными данными на мобильных устройствах из-за расширенных возможностей, предоставляемых этими службами. Outlook для iOS и Android поддерживает политики доступа к мобильным устройствам и почтовых ящиков мобильных устройств (ранее известные как политики активной синхронизации Exchange), которые доступны в Центре администрирования Exchange.
Outlook для iOS и Android поддерживает такие параметры политики почтовых ящиков мобильных устройств в Exchange:
Шифрование устройства включено
Минимальная длина пароля (только для Android)
Пароль включен
Разрешить Bluetooth (используется для управления носимым приложением Outlook для Android, когда политики защиты приложений Intune не используются)
Если allowBluetooth включен (поведение по умолчанию) или настроено для HandsfreeOnly, синхронизация носимых устройств между Outlook на устройстве Android и Outlook на носимых устройствах разрешена для рабочей или учебной учетной записи.
Если параметр AllowBluetooth отключен, Outlook для Android отключит синхронизацию между Outlook на устройстве Android и Outlook на носимом устройстве для указанной рабочей или учебной учетной записи (и удалит все данные, синхронизированные ранее для учетной записи). Отключение синхронизации полностью контролируется в самом Outlook; Bluetooth не отключен на устройстве или носимом устройстве, а также не затрагивается любое другое носимое приложение.
Чтобы узнать, как создать или изменить имеющуюся политику почтовых ящиков мобильных устройств, см. статью Политики почтовых ящиков мобильных устройств в Exchange Online.
Администраторы Exchange также могут инициировать удаленную очистку устройств в Outlook для iOS и Android с помощью Центра администрирования Exchange. После получения запроса удаленной очистки приложение удалит профиль Outlook и все связанные с ним данные.
Примечание.
Outlook для iOS и Android поддерживает только команду удаленной очистки данных и не поддерживает устройство удаленной очистки только для учетных записей , как определено в Центре администрирования Exchange. Дополнительные сведения о выполнении удаленной очистки см. в разделе Выполнение удаленной очистки на мобильном телефоне.
Дополнительные сведения о Microsoft Intune см. в документации по Microsoft Intune.