Управление устройствами с Outlook для iOS и Android для Exchange Server
Важно!
Outlook для iOS и Android поддерживает гибридную современную проверку подлинности для локальных почтовых ящиков, что устраняет необходимость использования базовой проверки подлинности. Сведения, содержащиеся в этой статье, относятся только к обычной проверке подлинности. Дополнительные сведения см. в статье Использование гибридной современной проверки подлинности с Outlook для iOS и Android.
Корпорация Майкрософт рекомендует Exchange ActiveSync для управления мобильными устройствами, которые используются для доступа к почтовым ящикам Exchange в локальной среде. Exchange ActiveSync это протокол синхронизации Microsoft Exchange, который предоставляет мобильным телефонам доступ к данным организации на сервере, на котором запущен Microsoft Exchange.
В этой статье рассматриваются конкретные функции и сценарии Exchange ActiveSync для мобильных устройств с Outlook для iOS и Android при проверке подлинности с помощью обычной проверки подлинности. Подробная информация о протоколе синхронизации Microsoft Exchange приведена в статье Служба Exchange ActiveSync. Кроме того, в блоге Office есть информация о принудительном применении паролей и других преимуществах использования Exchange ActiveSync с устройствами с Outlook для iOS и Android.
Политика почтовых ящиков мобильных устройств
Outlook для iOS и Android поддерживает следующие параметры политики почтовых ящиков мобильных устройств в локальной среде Exchange:
Шифрование устройства включено
Минимальная длина пароля (только для Android)
Пароль включен
Разрешить Bluetooth (используется для управления носимым приложением Outlook для Android)
Если allowBluetooth включен (поведение по умолчанию) или настроено для HandsfreeOnly, синхронизация носимых устройств между Outlook на устройстве Android и Outlook на носимых устройствах разрешена для рабочей или учебной учетной записи.
Если параметр AllowBluetooth отключен, Outlook для Android отключит синхронизацию между Outlook на устройстве Android и Outlook на носимом устройстве для указанной рабочей или учебной учетной записи (и удалит все данные, синхронизированные ранее для учетной записи). Отключение синхронизации полностью контролируется в самом Outlook; Bluetooth не отключен на устройстве или носимом устройстве, а также не затрагивается любое другое носимое приложение.
Примечание.
Outlook для Android запустит поддержку параметра AllowBluetooth, начиная с конца августа.
Сведения о создании или изменении существующей политики почтовых ящиков мобильных устройств см. в разделе Политики почтовых ящиков мобильных устройств.
Блокировка с помощью ПИН-кода и шифрование устройства
Если политика Exchange ActiveSync организации требует использовать пароль для синхронизации электронной почты на мобильных устройствах, Outlook применит эту политику на уровне устройства. Эта функция работает по-разному на устройствах iOS и Android, так как средства, предоставляемые Apple и Google, отличаются.
На устройствах iOS Outlook проверяет, правильно ли задан секретный код или ПИН-код. Если секретный код не задан, Outlook предлагает пользователю создать его в настройках iOS. Пользователь не получит доступ к Outlook для iOS, пока не задаст секретный код.
На устройствах Android Outlook применит правила блокировки экрана. Кроме того, Google предоставляет средства, которые позволяют Outlook для Android соответствовать политикам Exchange в отношении длины и сложности пароля, а также количества допустимых попыток разблокировки экрана до очистки телефона. Outlook для Android также будет рекомендовать включить шифрование хранилища, если оно отключено, и поможет пользователям задать необходимые настройки.
Устройства iOS и Android, которые не поддерживают эти параметры безопасности, не смогут подключиться к почтовому ящику Exchange.
Шифрование устройства
Устройства iOS поставляются со встроенным шифрованием, которое Outlook использует после включения секретного кода для шифрования всех данных, которые Outlook хранит локально на устройстве iOS. Таким образом, устройства iOS с ПИН-кодом шифруются независимо от того, требуется ли это для политики ActiveSync.
Outlook для Android поддерживает шифрование устройств с помощью политик почтовых ящиков мобильных устройств Exchange. Однако до Android 7.0 доступность и реализация этого процесса зависят от версии ОС Android и производителя устройства, что позволяет пользователю отменять во время процесса шифрования. Благодаря изменениям, введенным Google в Android 7.0, Outlook для Android теперь может применять шифрование на устройствах под управлением Android 7.0 или более поздней версии. Пользователи с устройствами под управлением этих операционных систем не смогут отменить процесс шифрования.
Даже если устройство Android незашифровано и злоумышленник владеет устройством, пока включен ПИН-код устройства, база данных Outlook остается недоступной. Это справедливо даже при включенной отладке по USB и установленном пакете SDK для Android. Если злоумышленник пытается рутировать устройство, чтобы обойти ПИН-код, чтобы получить доступ к этой информации, процесс рутинга очищает все хранилище устройства и удаляет все данные Outlook. Если устройство незашифровано и рутируется пользователем до кражи, злоумышленник может получить доступ к базе данных Outlook, включив отладку по USB на устройстве и подключив устройство к компьютеру с установленным пакетом SDK для Android.
Удаленная очистка с помощью Exchange ActiveSync
Exchange ActiveSync позволяет администраторам удаленно очищать устройства, например, если они скомпрометируются, теряются или украдены. При использовании Outlook для iOS и Android удаленная очистка очищает только данные в самом приложении Outlook и не активирует полную очистку устройства.
Дополнительные сведения см. в статье Выполнение удаленной очистки на мобильном телефоне .
Политика доступа с устройств
Outlook для iOS и Android должен быть включен по умолчанию, но в некоторых существующих локальных средах Exchange приложение может быть заблокировано по различным причинам. Чтобы стандартизировать доступ пользователей к данным Exchange и использовать Outlook для iOS и Android в качестве единственного почтового приложения, заблокируйте другие почтовые приложения на устройствах пользователей с iOS и Android. Существует два варианта создания этих блоков в локальной среде Exchange: первый вариант блокирует все устройства и разрешает использование Только Outlook для iOS и Android; второй вариант позволяет запретить отдельным устройствам использовать собственные приложения Exchange ActiveSync.
Примечание.
Так как идентификаторы устройств не зависят от идентификаторов физических устройств, они могут меняться без уведомления. Это может привести к неожиданным последствиям, например разрешенные устройства могут быть неожиданно заблокированы или помещены в карантин Exchange. Поэтому корпорация Майкрософт рекомендует администраторам устанавливать только политики доступа к мобильным устройствам, которые разрешают или блокируют устройства в зависимости от типа или модели устройства.
Способ 1. Блокировка всех почтовых приложений, кроме Outlook для iOS и Android
Вы можете определить правило блока по умолчанию, а затем настроить правило разрешения для Outlook для iOS и Android, а также для устройств Windows с помощью следующих локальных команд PowerShell Exchange. После этого все собственные приложения Exchange ActiveSync, кроме Outlook для iOS и Android, будут заблокированы.
Создайте правило блокировки по умолчанию:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel BlockСоздайте правило, разрешающее Outlook для iOS и Android:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel AllowНеобязательно. Создайте правила, разрешающие Exchange ActiveSync подключения к Outlook на устройствах с Windows (WindowsMail относится к почтовому приложению, включенном в Windows 10).
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
Способ 2. Блокировка собственных приложений Exchange ActiveSync на устройствах с Android и iOS
Кроме того, вы можете заблокировать собственные приложения Exchange ActiveSync на определенных устройствах с Android и iOS или других устройствах.
Убедитесь, что правила доступа к устройству Exchange ActiveSync не блокируют Outlook для iOS и Android:
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -autoЕсли такие правила обнаружены, введите следующую команду, чтобы удалить их:
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRuleВы можете заблокировать большинство устройств с Android и iOS с помощью следующих команд:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel BlockНе все производители устройств Android указывают "Android" как тип устройства. Изготовители могут указывать уникальное значение для каждой версии. Чтобы найти другие устройства с Android, которые подключаются к вашей среде, выполните указанную ниже команду, чтобы создать отчет обо всех устройствах, активно взаимодействующих с Exchange ActiveSync.
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csvСоздайте дополнительные правила блокировки, в зависимости от результатов, полученных на шаге 3. Например, если в вашей среде много устройств HTCOne с Android, вы можете создать правило доступа к устройству Exchange ActiveSync, чтобы пользователи могли применять только Outlook для iOS и Android на этих устройствах. В этом примере введите:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
Примечание.
Параметр QueryString не принимает подстановочные знаки и частичные соответствия.
Дополнительные ресурсы:
Блокировка Outlook для iOS и Android
В разных организациях Exchange действуют разные политики относительно безопасности и управления устройствами. Если приложение Outlook для iOS и Android не соответствует потребностям организации или не является оптимальным решением, администраторы могут заблокировать его. После этого пользователи мобильных устройств Exchange в организации смогут получать доступ к своим почтовым ящикам с помощью встроенных почтовых приложений на iOS и Android.
Командлет New-ActiveSyncDeviceAccessRule имеет Characteristic параметр, и администраторы могут использовать три Characteristic параметра для блокировки приложения Outlook для iOS и Android. The options are UserAgent, DeviceModel, and DeviceType. In the two blocking options described in the following sections, you will use one or more of these characteristic values to restrict the access that Outlook for iOS and Android has to the mailboxes in your organization.
Значения характеристик представлены в таблице ниже.
| Характерные | Строка для iOS | Строка для Android |
|---|---|---|
| DeviceModel | Outlook для iOS и Android | Outlook для iOS и Android |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS-Android/1.0 | Outlook-iOS-Android/1.0 |
С помощью командлета New-ActiveSyncDeviceAccessRule можно определить правило доступа к устройству с помощью DeviceModel характеристики или DeviceType . В обоих случаях правило блокирует доступ к почтовому ящику Exchange через приложение Outlook для iOS и Android с любого устройства на платформе iOS или Android.
Ниже приведены два примера правила доступа к устройству. В первом примере используется DeviceModel характеристика, во втором — DeviceType характеристика.
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block