在 Exchange Online 中管理其上运行 Outlook for iOS 和 Outlook for Android 的设备

摘要：本文介绍在 Exchange Online 中使用 Outlook for iOS 和 Android 管理移动设备的最佳做法。

Outlook for iOS 和 Android 为用户提供了用户对新式移动应用所期望的快速、直观的电子邮件和日历体验，同时是唯一一款支持 Microsoft 365 和 Office 365 最佳功能的应用。 此外，Microsoft 还提供了许多实用工具，用于管理和保护Exchange Online组织中的移动设备上的公司数据。

用于管理设备和应用程序的选项

希望管理 Outlook for iOS 和 Android 的客户具有以下选项：

1. 建议：企业移动性 + 安全性套件，其中包括Microsoft Intune和Microsoft Entra条件访问。

2. Microsoft 365 的基本移动性和安全性。

3. 第三方统一终结点管理解决方案。

4. 移动设备访问和移动设备邮箱策略。

由于这些服务提供的高级功能，Microsoft 建议客户使用企业移动性 + 安全性套件的功能来保护移动设备上的公司数据。

使用 企业移动性 + 安全性

订阅 企业移动性 + 安全性 套件（包括Microsoft Intune、Azure 信息保护和Microsoft Entra ID P1 或 P2 功能）时，可以使用最丰富、最广泛的 Microsoft 365 和Office 365数据保护功能，例如条件访问。

Intune 提供移动应用管理 (MAM) 功能，以及其他条件访问和设备管理功能。 使用 Intune 应用保护策略，可以限制 Intune 托管应用与非 Intune 管理的应用之间的公司数据的剪切、复制、粘贴和“另存为”等操作。 有关详细信息，请参阅 如何创建和分配应用保护策略。 此外，Intune 管理的 Outlook 应用包括新的多标识管理功能，使用户能够在同一 Outlook 应用中访问其个人和工作电子邮件帐户，同时仅将 Intune 应用保护策略应用于用户的工作帐户。 这提供了更加顺畅的用户体验。

条件访问是Microsoft Entra ID的一项功能，使你能够根据特定条件从中心位置强制控制环境中应用的访问权限。 通过使用条件访问策略，可以在所需的条件下应用正确的访问控制。 Microsoft Entra条件访问在需要此类安全性时提供额外的安全性，并且当它不是时，它不受用户限制。

企业移动性 + 安全性套件与 Outlook for iOS 和 Android 的主要功能：

• 条件访问。 Microsoft Entra ID确保仅在满足条件访问要求时才能访问Exchange Online电子邮件。 有关设备注册的详细信息，请参阅 什么是条件访问？。

• Intune 应用保护。 Outlook for iOS 和 Android 允许使用 Intune 应用保护策略保护公司数据。 对于“自带设备” (BYOD，这是一个不错的选择，) 方案中，你希望在不管理用户设备的情况下保护公司数据的安全。 有关 Intune 应用保护策略的详细信息，请参阅使用移动应用管理策略Microsoft Intune保护应用数据。

• 设备注册。 Intune 允许你管理员工设备和应用，以及他们访问公司数据的方式。 在此模型中，Outlook for iOS 和 Android 确保只能在由公司管理并符合组织策略的手机和平板电脑上访问Exchange Online电子邮件。 当用户在非托管移动设备上登录到 Outlook 应用时，Outlook 会利用 Azure 条件访问策略提示用户在 Intune 中注册设备，然后验证设备是否符合组织的设备符合性标准。

• 设备管理和报告。 注册过程允许组织设置和管理安全策略，例如，强制实施设备级 PIN 锁定、要求数据加密和阻止受攻击的设备，以防止不受信任的设备访问公司电子邮件和数据。 每个已注册的设备都显示在Microsoft 365 管理中心中，并且报告可用于提供有关访问公司数据的设备的详细信息。

• 选择性擦除。 Microsoft Intune可以从 Outlook for iOS 和 Android 中删除电子邮件数据，同时使任何个人电子邮件帐户保持不变， (设备是否已注册) 。 随着越来越多的企业对手机和平板电脑采用“自带设备”方法，这一要求越来越重要。

将 基本移动性和安全性 用于 Microsoft 365

Microsoft 365 基本移动性和安全性免费提供设备管理功能。 Microsoft Intune为这些基本功能提供支持，在Microsoft 365 管理中心中为需要基础知识的组织提供一组核心控制。

因为这是设备管理解决方案，因此没有本机功能来控制可以使用哪些应用，即使在注册设备之后也是如此。 如果要限制对 Outlook for iOS 和 Android 的访问，则需要获取Microsoft Entra ID P1 或 P2 许可证并利用条件访问策略。

Outlook for iOS 和 Android 完全支持 microsoft 365 基本移动性和安全性 提供的功能。

有关详细信息，请参阅以下资源：

• Microsoft 365 基本移动性和安全性概述。

• 使用 Microsoft Intune 策略管理设备上的设置和功能

• 最终用户在 基本移动性和安全性 中注册设备的说明：使用 基本移动性和安全性 注册移动设备

使用第三方统一终结点管理解决方案

第三方统一终结点管理提供商可以使用其现有工具部署任何 iOS 或 Android 应用的相同方式部署 Outlook for iOS 和 Android。 它们还可以应用设备管理控件，例如设备 PIN、设备加密、设备擦除等，所有这些控件对于安全的电子邮件体验都很重要，但也完全独立于 Outlook for iOS 和 Android。

第三方提供商还可以将某些应用配置设置（如帐户设置、组织允许的帐户模式和常规应用配置设置）部署到 Outlook for iOS 和 Android;有关详细信息，请参阅 部署 Outlook for iOS 和 Android 应用配置设置。

为了管理和保护应用内的公司数据 (例如限制对公司数据（如剪切、复制、粘贴和“另存为”) 的操作），客户需要使用 Microsoft 的 企业移动性 + 安全性 套件。

使用移动设备访问和移动设备邮箱策略

Microsoft 建议客户使用 microsoft 365 的企业移动性 + 安全性套件或内置基本移动性和安全性来管理移动设备上的公司数据，因为这些服务提供了高级功能。 Outlook for iOS 和 Android 支持移动设备访问和移动设备邮箱策略， (以前称为 Exchange Active Sync 策略) ，这些策略可通过 Exchange 管理中心获取。

Outlook for iOS 和 Android 支持以下 Exchange 移动设备邮箱策略设置：

• 启用设备加密

• 仅在 Android) 上 (最小密码长度

• 启用密码

• 当 Intune 应用保护策略未使用时，允许蓝牙 (用于管理 Outlook for Android 可穿戴应用)

  • 当启用 AllowBluetooth (默认行为) 或配置为 HandsfreeOnly 时，工作或学校帐户允许 Android 设备上的 Outlook 与可穿戴式 Outlook 之间的可穿戴同步。

  • 禁用 AllowBluetooth 后，Android 版 Outlook 将禁用 Android 设备上的 Outlook 与可穿戴式 Outlook 之间的同步， (指定工作或学校帐户，并删除以前为帐户) 同步的所有数据。 禁用同步完全在 Outlook 内部控制;蓝牙未在设备或可穿戴设备上禁用，任何其他可穿戴应用也不会受到影响。

有关如何创建或修改现有移动设备邮箱策略的信息，请参阅 Exchange Online 中的移动设备邮箱策略。

Exchange 管理员还可以使用 Exchange 管理中心针对 Outlook for iOS 和 Android 启动远程设备擦除。 收到远程擦除请求后，应用将删除 Outlook 配置文件以及与它关联的所有数据。

有关 Microsoft Intune 的详细信息，请参阅 Microsoft Intune 文档。