Обеспечение возможности использовать Outlook для iOS и Android в среде Exchange Online

Exchange Online
 

Применимо к:Exchange Online, Office 365

Последнее изменение раздела:2017-04-05

Сводка. Как включить Outlook для iOS и Android в среде Exchange Online и использовать возможности приложения по максимуму.

Чтобы установить и включить Outlook для iOS и Android, выполните описанные ниже действия.

  1. Настройте Outlook для iOS и Android как основное почтовое приложение для подключения к почтовым ящикам Exchange. Для этого необходимо запретить всем почтовым приложениям, кроме Outlook для iOS и Android, подключаться к вашим почтовым ящикам.

  2. Чтобы защитить корпоративные данные на устройствах, настройте Microsoft Intune, Office 365 MDM или политики доступа с мобильных устройств и почтовых ящиков мобильных устройств в Центре администрирования Exchange.

    ПримечаниеПримечание.
    Если вы хотите использовать политику приложений веб-служб Exchange или правила клиентского доступа, ознакомьтесь с разделом Дополнительные методы управления доступом далее в этой статье.

Обычно приложение Outlook для iOS и Android включено по умолчанию, но в некоторых средах Exchange Online оно может быть заблокировано по разным причинам. Чтобы стандартизировать доступ пользователей к данным Exchange и использовать Outlook для iOS и Android в качестве единственного почтового приложения, заблокируйте другие почтовые приложения на устройствах пользователей с iOS и Android. Вы можете заблокировать все почтовые приложения, кроме Outlook для iOS и Android, на всех устройствах или запретить отдельным устройствам использовать собственные приложения Exchange ActiveSync.

Вы можете определить правило блокировки по умолчанию, а затем настроить правило, разрешающее Outlook, для устройств с iOS, Android и Windows с помощью приведенных ниже команд. После этого все собственные приложения Exchange ActiveSync, кроме Outlook для iOS и Android, будут заблокированы.

  1. Создайте правило блокировки по умолчанию:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  2. Создайте правило, разрешающее Outlook для iOS и Android:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
    
  3. Создайте правила, разрешающие приложению Outlook на устройствах с Windows подключаться к серверу Exchange ActiveSync (WP означает Windows Phone, WP8 — Windows Phone 8 и более поздних версий, а WindowsMail — приложение "Почта" в Windows 10).

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP8" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
    
    

Кроме того, вы можете заблокировать собственные приложения Exchange ActiveSync на определенных устройствах с Android и iOS или других устройствах.

  1. Убедитесь, что правила доступа к устройству Exchange ActiveSync не блокируют Outlook для iOS и Android:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto
    

    Если такие правила обнаружены, введите следующую команду, чтобы удалить их:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule
    
  2. Вы можете заблокировать большинство устройств с Android и iOS с помощью следующих команд:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
    
    
  3. Не все производители устройств Android указывают "Android" как тип устройства. Изготовители могут указывать уникальное значение для каждой версии. Чтобы найти другие устройства с Android, которые подключаются к вашей среде, выполните указанную ниже команду, чтобы создать отчет обо всех устройствах, активно взаимодействующих с Exchange ActiveSync.

    Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
    
  4. Создайте дополнительные правила блокировки, в зависимости от результатов, полученных на шаге 3. Например, если в вашей среде много устройств HTCOne с Android, вы можете создать правило доступа к устройству Exchange ActiveSync, чтобы пользователи могли применять только Outlook для iOS и Android на этих устройствах. В этом примере введите:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
    
    ПримечаниеПримечание.
    Параметр QueryString не принимает подстановочные знаки и частичные соответствия.

Дополнительные ресурсы:

Очень важно защитить данные компании или организации на мобильных устройствах пользователей. В Office 365 это можно сделать тремя способами:

  1. Рекомендовано: Microsoft Intune (приобретается отдельно или в составе пакета Microsoft EMS).

  2. Решение MDM Office 365, которое входит в состав Office 365.

  3. Блокировка с помощью ПИН-кода и шифрование с помощью политик доступа с мобильных устройств и почтовых ящиков мобильных устройств в Центре администрирования Exchange.

Дополнительные сведения и ресурсы по каждому из этих способов см. в статье Управление устройствами с Outlook для iOS и Android в Exchange Online.

Заблокировать доступ пользователей к данным Exchange с помощью Outlook для iOS и Android можно двумя способами.

  • Способ 1. Блокировка Outlook для iOS и Android на платформах iOS и Android

  • Способ 2. Блокировка Outlook для iOS и Android на определенной платформе мобильных устройств

В разных организациях Exchange действуют разные политики относительно безопасности и управления устройствами. Если приложение Outlook для iOS и Android не соответствует потребностям организации или не является оптимальным решением, администраторы могут заблокировать его. После этого пользователи мобильных устройств Exchange в организации смогут получать доступ к своим почтовым ящикам с помощью встроенных почтовых приложений на iOS и Android.

У командлета New-ActiveSyncDeviceAccessRule есть параметр Characteristic с тремя характеристиками, которые администраторы могут использовать, чтобы заблокировать приложение Outlook для iOS и Android. К ним относятся UserAgent, DeviceModel и DeviceType. Значения этих характеристик будут использоваться в разделах ниже для ограничения доступа Outlook для iOS и Android к почтовым ящикам в организации.

Значения характеристик представлены в таблице ниже.

 

Характеристика Строка для iOS Строка для Android

DeviceModel

Outlook для iOS и Android

Outlook для iOS и Android.

DeviceType

Outlook

Outlook

UserAgent

Outlook-iOS/2.0

Outlook-Android/2.0

Вы можете определить правило доступа к устройству с помощью командлета New-ActiveSyncDeviceAccessRule и характеристики DeviceModel или DeviceType. В обоих случаях правило блокирует доступ к почтовому ящику Exchange через приложение Outlook для iOS и Android с любого устройства на платформе iOS или Android.

Ниже приведены два примера правила доступа к устройству. В первом примере используется характеристика DeviceModel, а во втором — характеристика DeviceType.

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

С помощью характеристики UserAgent можно определить правило доступа к устройству, которое блокирует Outlook для iOS и Android на определенной платформе. После этого устройство на указанной платформе не сможет подключаться к почтовым ящикам с помощью Outlook для iOS и Android. В следующих примерах показано, как использовать характеристику UserAgent для определенного устройства.

Чтобы заблокировать Android и разрешить iOS:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

Чтобы заблокировать iOS и разрешить Android:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

Кроме Microsoft Intune, Office 365 MDM и политик мобильных устройств существуют два дополнительных способа управления доступом к данным организации с мобильных устройств:

  • Политики приложений веб-служб Exchange (EWS)

  • Правила клиентского доступа

Политики приложений EWS определяют, могут ли приложения использовать REST API. Обратите внимание, что при настройке политики приложений EWS, которая разрешает доступ к среде обмена сообщениями только отдельным приложениям, в список разрешений EWS необходимо добавить строку user-agent для Outlook для iOS и Android.

В следующем примере показано, как добавить строки user-agent в список разрешений EWS:

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}

Если вы не используете политику приложений EWS, но управляете доступом приложений к EWS, убедитесь, что службы EWS не отключены для организации или отдельных почтовых ящиков, принадлежащих пользователям Outlook для iOS и Android. Следующие команды включают EWS на уровне организации и почтовых ящиков:

Set-OrganizationConfig -EwsEnabled:$true
Set-CASMailbox <mailbox> -EwsEnabled:$true

<mailbox> — это идентификатор почтового ящика, для которого требуется включить EWS.

Дополнительные сведения см. в статье Управление доступом к EWS в Exchange.

Правила клиентского доступа похожи на правила транспорта для клиентских подключений к среде Exchange Online. Условия и исключения применяются к каждой попытке подключения на основе свойств пользователя или клиентского соединения.

Так как правила клиентского доступа влияют только на управление сеансом протокола, который использует клиент, необходимо разрешить доступ REST API (с помощью правила клиентского доступа). В противном случае пользователи Outlook для iOS и Android не смогут подключаться к своим почтовым ящикам.

В следующем примере показано, как разрешить доступ API REST:

New-ClientAccessRule -Action AllowAccess -Name AllowREST -AnyOfProtocols REST

Обратите внимание, что для управления Outlook для iOS и Android нельзя использовать параметр AnyOfClientIPAddressesOrRanges. Это связано с архитектурой Office 365, которая используется в Outlook для iOS и Android.

Дополнительные ресурсы:

Политики приложений EWS и правила клиентского доступа работают независимо друг от друга в организации Exchange Online. Правила клиентского доступа знают только о заданном сеансе протокола клиента. Это означает следующее:

Если правило клиентского доступа разрешает сеанс REST

  • Если приложение Outlook для iOS и Android указано в списке блокировок EWS, пользователи не смогут подключаться к почтовым ящикам (из-за определения политики приложений EWS).

  • Если приложение Outlook для iOS и Android указано в списке разрешений EWS, пользователи смогут подключаться к Exchange.

Если правило клиентского доступа блокирует сеанс REST

  • Если приложение Outlook для iOS и Android указано в списке блокировок EWS, пользователи не смогут подключаться к почтовым ящикам (из-за определения правила клиентского доступа).

  • Если приложение Outlook для iOS и Android указано в списке разрешений EWS, пользователи все равно не смогут подключаться к почтовым ящикам (из-за определения правила клиентского доступа).

 
Показ: