Данная статья переведена с помощью средств машинного перевода. Чтобы просмотреть ее на английском языке, установите флажок Английский. Вы также можете просматривать английский текст во всплывающем окне, наводя указатель мыши на переведенный текст.
Перевод
Английский

Securing Outlook for iOS and Android in Exchange Online

Exchange Online
 

Применимо к:Exchange Online, Office 365

Последнее изменение раздела:2018-04-19

Сводка. Как безопасно включить Outlook для iOS и Android в среде Exchange Online.

Outlook для iOS и Android — это современное мобильное приложение, которое отличается быстрым и интуитивно понятным интерфейсом для работы с электронной почтой и календарями. Кроме того, это единственное приложение, обеспечивающее поддержку лучших функций Office 365.

Очень важно защитить данные компании или организации на мобильных устройствах пользователей. Сначала ознакомьтесь с разделом Настройка Outlook для iOS и Android, чтобы убедиться в наличии у пользователей всех требуемых приложений. После этого выберите один из следующих вариантов, чтобы защитить свои устройства и данные своей организации:

  1. Рекомендуется: если ваша организация оформила подписку на Enterprise Mobility + Security или приобрела отдельные лицензии на Microsoft Intune и Azure Active Directory Premium, выполните действия, описанные в разделе Использование набора Enterprise Mobility + Security для защиты корпоративных данных с помощью Outlook для iOS и Android.

  2. Если у вашей организации нет подписки на Enterprise Mobility + Security или лицензий на Microsoft Intune и Azure Active Directory Premium, выполните действия, приведенные в разделе Работа с Управлением мобильными устройствами для Office 365 и воспользуйтесь возможностями Управления мобильными устройствами (MDM) для Office 365, которые входят в подписку на Office 365.

  3. Следуя указаниям, приведенным в разделе Использование политик мобильных устройств Exchange Online, внедрите основные политики почтовых ящиков мобильных устройств и доступа к устройствам Exchange.

С другой стороны, если вы не хотите использовать Outlook для iOS и Android в организации, см. раздел Блокировка Outlook для iOS и Android.

ПримечаниеПримечание.
См. раздел Политики приложений веб-служб Exchange (EWS) далее в этой статье, если для управления доступом к мобильным устройствам в вашей организации вы хотите внедрить политику приложений EWS.

Если устройства зарегистрированы в решении для управления мобильными устройствами (MDM), например на Корпоративном портале Intune, такое решение будет использоваться для установки необходимых приложений: Outlook для iOS и Android, а также Microsoft Authenticator.

Если устройства зарегистрированы в решении MDM, необходимо установить такие приложения:

  • Outlook для iOS и Android через Apple App Store или Google Play Маркет;

  • Microsoft Authenticator через Apple App Store или Google Play Маркет;

  • Корпоративный портал Intune через Apple App Store или Google Play Маркет.

Установив приложение, пользователи могут добавить свою корпоративную учетную запись электронной почты, а также настроить основные параметры приложения. Для этого необходимо выполнить действия, перечисленные в следующих статьях:

ВажноВажно!
Для использования политик условного доступа на основе приложений на устройствах с iOS необходимо установить приложение Microsoft Authenticator. Для устройств с Android используется приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.

Оформив подписку на набор Enterprise Mobility + Security, которая включает компоненты Microsoft Intune и Azure Active Directory Premium, такие как условный доступ, вы обеспечиваете самую широкую и полнофункциональную защиту данных Office 365. По крайней мере необходимо развернуть политику условного доступа, которая разрешает подключаться к Outlook для iOS и Android только с мобильных устройств, и политику защиты приложений Intune, обеспечивающую защиту корпоративных данных.

ПримечаниеПримечание.
Хотя подписка на набор Enterprise Mobility + Security включает Microsoft Intune и Azure Active Directory Premium, вы можете отдельно приобрести лицензии на Microsoft Intune и Azure Active Directory Premium. Чтобы применялись политики условного доступа и защиты приложений Intune, которые рассматриваются в этой статье, все пользователи должны получить лицензии.

Чтобы стандартизировать доступ пользователей к данным Exchange, используя в качестве почтового приложения только Outlook для iOS и Android, можно настроить политику условного доступа, блокирующую другие способы доступа с мобильных устройств. Для этого необходимо две политики условного доступа, каждая из которых предназначена для всех потенциальных пользователей. Сведения о создании этих политик см. в статье Условный доступ на основе приложений Azure Active Directory.

  1. Первая политика разрешает использование Outlook для iOS и Android, а также запрещает клиентам Exchange ActiveSync с поддержкой OAuth подключаться к Exchange Online. См. раздел "Шаг 1. Настройка политики условного доступа Azure AD для Exchange Online".

  2. Вторая политика запрещает клиентам Exchange ActiveSync, использующим обычную проверку подлинности, подключаться к Exchange Online. См. раздел "Шаг 2. Настройка политики условного доступа Azure AD для Exchange Online c Active Sync (EAS)".

В этих политиках используется параметр Требовать утвержденное клиентское приложение, который гарантирует, что доступ предоставляется только тем приложениям Майкрософт, в которые интегрирован пакет SDK Intune.

ПримечаниеПримечание.
После включения политик условного доступа блокировка всех ранее подключенных мобильных устройств может занять до 6 часов.
Правила доступа с мобильных устройств (разрешение, блокировка или карантин) в Exchange Online пропускаются, если для управления доступом используется политика условного доступа, включающая параметр Требовать помечать устройство как соответствующее требованиям или Требовать утвержденное клиентское приложение.
Для использования политик условного доступа на основе приложений на устройствах с iOS необходимо установить приложение Microsoft Authenticator. Для устройств с Android используется приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.

Вне зависимости от того, зарегистрировано ли устройство в решении MDM, политику защиты приложений Intune необходимо создать как для приложений iOS, так и для приложений Android. Для этого выполните действия, описанные в статье Как создать и назначить политики защиты приложений. Эти политики должны по крайней мере отвечать вот каким требованиям:

  1. Они должны включать все мобильные приложения Майкрософт, такие как Word, Excel и PowerPoint. Это гарантирует, что пользователи могут безопасно получать доступ к корпоративным данным и управлять ими в любом приложении Майкрософт.

  2. В ней должны быть реализованы функции защиты, предоставляемые средой Exchange для мобильных устройств, в том числе:

    • запрашивание ПИН-кода для доступа (предусматривает выбор типа, длину ПИН-кода, разрешение простого ПИН-кода и разрешение отпечатков);

    • шифрование данных приложения;

    • запрет запуска управляемых приложений на взломанных и рутованных устройствах.

  3. Она назначена всем пользователям. Это гарантирует защиту всех пользователей независимо от того, работают ли они с приложением Outlook для iOS и Android.

Помимо вышеописанных минимальных требований к политикам, рекомендуем развернуть дополнительные параметры политик защиты, например Ограничить вырезание, копирование и вставку из других приложений, чтобы обеспечить дополнительную защиту от утечки корпоративных данных. Дополнительные сведения о доступных параметрах см. в статьях Параметры политики защиты приложений Android в Microsoft Intune и Параметры политик для защиты приложений в iOS.

ВажноВажно!
Чтобы применять политики защиты приложений с использованием Intune к приложениям на устройствах с Android, не зарегистрированных в Intune, пользователь также должен установить приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Что происходит при управлении приложением Android с помощью политик защиты приложений.

Если вы не собираетесь применять набор Enterprise Mobility + Security, можно использовать Управление мобильными устройствами (MDM) для Office 365. Это решение требует зарегистрировать мобильные устройства. Если вы попытаетесь получить доступ к Exchange Online с незарегистрированного устройства, вы не сможете получить доступ к ресурсу, пока не зарегистрируете устройство.

Так как это решение для управления устройствами, в нем не предусмотрена возможность выбирать, какие приложения можно использовать, даже после регистрации устройства. Если вы хотите ограничить доступ к Outlook для iOS и Android, вам потребуется получить лицензии на Azure Active Directory Premium и использовать политики условного доступа, которые рассматриваются в разделе Блокировка всех почтовых приложений, кроме Outlook для iOS и Android, с помощью условного доступа.

Чтобы активировать и настроить решение MDM для Office 365, глобальному администратору Office 365 необходимо выполнить указанные ниже действия. Полное их описание см. в статье Настройка службы управления мобильными устройствами для Office 365. В общем, вам нужно сделать вот что:

  1. активировать решение MDM для Office 365 путем выполнения действий, указанных в Центре безопасности и соответствия требованиям;

  2. настроить решение MDM для Office 365, например создав сертификат APNs для управления устройствами с iOS и добавив запись службы доменных имен (DNS) для вашего домена, чтобы обеспечить поддержку телефонов с Windows;

  3. создать политики устройств и применить их к группам пользователей. Когда вы сделаете это, на устройства пользователей придет сообщение о регистрации. После завершения регистрации их устройства будут ограничены политиками, которые настроили вы.

ПримечаниеПримечание.
Политики и правила доступа, созданные в решении MDM для Office 365, переопределяют политики почтовых ящиков мобильных устройств и правила доступа с устройств Exchange, созданные в Центре администрирования Exchange. Если устройство зарегистрировано в решении MDM для Office 365, все применимые к нему политики почтовых ящиков мобильных устройств и правила доступа с устройств Exchange не будут учитываться.

Если вы не планируете использовать набор Enterprise Mobility + Security или функции решения MDM для Office 365, вы можете внедрить политику почтовых ящиков мобильных устройств Exchange, чтобы защитить устройство, и правила доступа с устройств для ограничения возможностей их подключения.

Outlook для iOS и Android поддерживает вот какие параметры политики почтовых ящиков мобильных устройств в Exchange Online:

  • Шифрование устройства включено

  • Минимальная длина пароля

  • Пароль включен

Чтобы узнать, как создать или изменить имеющуюся политику почтовых ящиков мобильных устройств, см. статью Политики почтовых ящиков мобильных устройств в Exchange Online.

Кроме того, Outlook для iOS и Android поддерживает доступную в Exchange Online функцию очистки устройства. При ее выполнении очищаются данные только с приложения, так как Exchange Online считает приложение Outlook для iOS и Android мобильным устройством. Дополнительные сведения об удаленной очистке см. в статье Очистка мобильного устройства в Office 365.

ПримечаниеПримечание.
Outlook для iOS и Android поддерживает только команду удаленной очистки "Очистка данных" и не поддерживает команду "Удаленная очистка устройства только в учетной записи".

Обычно приложение Outlook для iOS и Android включено по умолчанию, но в некоторых средах Exchange Online оно может быть заблокировано по разным причинам. Чтобы стандартизировать доступ пользователей к данным Exchange и использовать Outlook для iOS и Android в качестве единственного почтового приложения, заблокируйте другие почтовые приложения на устройствах пользователей с iOS и Android. В Exchange Online вы можете заблокировать все почтовые приложения, кроме Outlook для iOS и Android, на всех устройствах или запретить отдельным устройствам использовать собственные приложения Exchange ActiveSync.

Способ 1. Блокировка всех почтовых приложений, кроме Outlook для iOS и Android

Вы можете определить стандартное правило блокировки, а затем настроить правило, разрешающее Outlook, для устройств с iOS, Android и Windows с помощью приведенных ниже команд в командной консоли Exchange. После этого все собственные приложения Exchange ActiveSync, кроме Outlook для iOS и Android, будут заблокированы.

  1. Создайте правило блокировки по умолчанию:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  2. Создайте правило, разрешающее Outlook для iOS и Android:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
    
  3. Необязательно. Создайте правила, разрешающие приложению Outlook на устройствах с Windows подключаться к серверу Exchange ActiveSync (WP означает Windows Phone, WP8 — Windows Phone 8 и более поздних версий, а WindowsMail — приложение "Почта" в Windows 10).

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP8" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
    
    

Способ 2. Блокировка собственных приложений Exchange ActiveSync на устройствах с Android и iOS

Кроме того, вы можете заблокировать собственные приложения Exchange ActiveSync на определенных устройствах с Android и iOS или других устройствах.

  1. Убедитесь, что правила доступа к устройству Exchange ActiveSync не блокируют Outlook для iOS и Android:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto
    

    Если такие правила обнаружены, введите следующую команду, чтобы удалить их:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule
    
  2. Вы можете заблокировать большинство устройств с Android и iOS с помощью следующих команд:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
    
    
  3. Не все производители устройств Android указывают "Android" как тип устройства. Изготовители могут указывать уникальное значение для каждой версии. Чтобы найти другие устройства с Android, которые подключаются к вашей среде, выполните указанную ниже команду, чтобы создать отчет обо всех устройствах, активно взаимодействующих с Exchange ActiveSync.

    Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
    
  4. Создайте дополнительные правила блокировки, в зависимости от результатов, полученных на шаге 3. Например, если в вашей среде много устройств HTCOne с Android, вы можете создать правило доступа к устройству Exchange ActiveSync, чтобы пользователи могли применять только Outlook для iOS и Android на этих устройствах. В этом примере введите:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
    
    ПримечаниеПримечание.
    Параметр QueryString не принимает подстановочные знаки и частичные соответствия.

    Дополнительные ресурсы:

Если вы не хотите, чтобы пользователи в вашей организации получали доступ к данным Exchange с помощью Outlook для iOS и Android, действия, которые необходимо выполнить, зависят от того, что вы используете: политики условного доступа Azure Active Directory или политики доступа с устройств в Exchange Online.

Политика условного доступа Azure Active Directory не обеспечивает средств, с помощью которых вы можете заблокировать конкретно Outlook для iOS и Android, при этом разрешив использовать другие клиенты Exchange ActiveSync. Таким образом, политики условного доступа позволяют заблокировать доступ с мобильных устройств следующими двумя способами:

  • Способ А. Блокировка доступа с мобильных устройств на платформах iOS и Android

  • Способ Б. Блокировка доступа с мобильных устройств на определенной платформе мобильных устройств

Способ А. Блокировка доступа с мобильных устройств на платформах iOS и Android

Если вы хотите запретить доступ с мобильных устройств для всех или некоторых пользователей с помощью условного доступа, выполните указанные ниже действия.

Создайте политики условного доступа, каждая из которых нацелена на всех или некоторых пользователей с использованием групп безопасности. Подробнее см. в статье Условный доступ на основе приложений Azure Active Directory.

  1. Первая политика запрещает приложению Outlook для iOS и Android, а также другим клиентам Exchange ActiveSync с поддержкой OAuth подключаться к Exchange Online. См. раздел "Шаг 1. Настройка политики условного доступа с использованием Azure AD для Exchange Online", но в шаге 5 выберите Заблокировать доступ.

  2. Вторая политика запрещает клиентам Exchange ActiveSync, использующим обычную проверку подлинности, подключаться к Exchange Online. См. раздел "Шаг 2. Настройка политики условного доступа Azure AD для Exchange Online c Active Sync (EAS)".

Способ Б. Блокировка доступа с мобильных устройств на определенной платформе мобильных устройств

Если вы хотите запретить подключаться к Exchange Online с определенной платформы мобильных устройств, но при этом разрешить подключение с помощью Outlook для iOS и Android с использованием этой платформы, создайте приведенные ниже политики условного доступа, каждая из которых нацелена на всех пользователей. Подробнее см. в статье Условный доступ на основе приложений Azure Active Directory.

  1. Первая политика разрешает подключаться к Exchange Online с помощью Outlook для iOS и Android на определенной платформе мобильных устройств, а также запрещает это делать другим клиентам Exchange ActiveSync с поддержкой OAuth. См. раздел "Шаг 1. Настройка политики условного доступа с использованием Azure AD для Exchange Online", но в шаге 4а выберите только необходимую платформу мобильных устройств (например, iOS), доступ с которой хотите разрешить.

  2. Вторая политика запрещает подключаться к Exchange Online с помощью приложения на определенной платформе мобильных устройств, а также других клиентов Exchange ActiveSync с поддержкой OAuth. См. раздел "Шаг 1. Настройка политики условного доступа с использованием Azure AD для Exchange Online", но в шаге 4а выберите только необходимую платформу мобильных устройств (например, Android), доступ с которой хотите запретить. Кроме того, в шаге 5 выберите Заблокировать доступ.

  3. Третья политика запрещает клиентам Exchange ActiveSync, использующим обычную проверку подлинности, подключаться к Exchange Online. См. раздел "Шаг 2. Настройка политики условного доступа Azure AD для Exchange Online c Active Sync (EAS)".

Есть два способа управлять доступом со своих мобильных устройств с помощью доступных в Exchange Online правил доступа с устройств:

  • Способ А. Блокировка Outlook для iOS и Android на платформах iOS и Android

  • Способ Б. Блокировка Outlook для iOS и Android на определенной платформе мобильных устройств

В разных организациях Exchange действуют разные политики относительно безопасности и управления устройствами. Если приложение Outlook для iOS и Android не соответствует потребностям организации или не является оптимальным решением, администраторы могут заблокировать его. После этого пользователи мобильных устройств Exchange в организации смогут получать доступ к своим почтовым ящикам с помощью встроенных почтовых приложений на iOS и Android.

У командлета New-ActiveSyncDeviceAccessRule есть параметр Characteristic с тремя характеристиками, которые администраторы могут использовать, чтобы заблокировать приложение Outlook для iOS и Android. К ним относятся UserAgent, DeviceModel и DeviceType. Значения этих характеристик будут использоваться в разделах ниже для ограничения доступа Outlook для iOS и Android к почтовым ящикам в организации.

Значения характеристик представлены в таблице ниже.

 

Характеристика Строка для iOS Строка для Android

DeviceModel

Outlook для iOS и Android

Outlook для iOS и Android

DeviceType

Outlook

Outlook

UserAgent

Outlook-iOS/2.0

Outlook-Android/2.0

Способ А. Блокировка Outlook для iOS и Android на платформах iOS и Android

Вы можете определить правило доступа к устройству с помощью командлета New-ActiveSyncDeviceAccessRule и характеристики DeviceModel или DeviceType. В обоих случаях правило блокирует доступ к почтовому ящику Exchange через приложение Outlook для iOS и Android с любого устройства на платформе iOS или Android.

Ниже приведены два примера правила доступа к устройству. В первом примере используется характеристика DeviceModel, а во втором — характеристика DeviceType.

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Способ Б. Блокировка Outlook для iOS и Android на определенной платформе мобильных устройств

С помощью характеристики UserAgent можно определить правило доступа к устройству, которое блокирует Outlook для iOS и Android на определенной платформе. После этого устройство на указанной платформе не сможет подключаться к почтовым ящикам с помощью Outlook для iOS и Android. В следующих примерах показано, как использовать характеристику UserAgent для определенного устройства.

Чтобы заблокировать Android и разрешить iOS:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

Чтобы заблокировать iOS и разрешить Android:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

Вы можете управлять доступом с мобильных устройств к информации, имеющейся в вашей организации, не только с помощью Microsoft Intune, решения MDM для Office 365 и политик мобильных устройств Exchange, но и с использованием политик приложений EWS. Политики приложений EWS определяют, могут ли приложения использовать API REST. Обратите внимание, что при настройке политики приложений EWS, которая разрешает доступ к среде обмена сообщениями только отдельным приложениям, в список разрешений EWS необходимо добавить строку user-agent для Outlook для iOS и Android.

В следующем примере показано, как добавить строки user-agent в список разрешений EWS:

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}
 
Показ: