在 Exchange Online 中启用 Outlook for iOS和 Outlook for Android

Exchange Online
 

适用于:Exchange Online, Office 365

上一次修改主题:2017-04-05

摘要:如何在 Exchange Online 环境中启用 Outlook for iOS 和 Outlook for Android,以及如何获得此应用的全部优势。

需要设置两个关键任务并启用 Outlook for iOS 和 Outlook for Android。

  1. 将 Outlook for iOS 和 Outlook for Android 设置为主要的电子邮件应用,便于最终用户连接到他们的 Exchange 邮箱。该操作涉及阻止其他电子邮件应用连接到你的邮箱,并确保 Outlook for iOS 和 Outlook for Android 本身不会受到阻止。

  2. 为了保护单个设备上的公司数据,请设置 Microsoft Intune、Office 365 MDM 或Exchange 管理中心中提供的移动设备访问和移动设备邮箱策略。

    注意注意:
    如果更希望实现 Exchange Web 服务 (EWS) 应用程序策略或客户端访问规则,以便管理组织中的移动设备访问权限,请参阅本文的后续部分其他访问管理方法

应默认启用 Outlook for iOS 和 Outlook for Android,但在现有的某些 Exchange Online 环境中,该应用可能会由于各种原因而被阻止。组织决定标准化用户如何访问 Exchange 数据,并将 Outlook for iOS 和 Outlook for Android 用作最终用户的唯一电子邮件应用程序后,你可以为运行于用户 iOS 和 Android 设备上的其他电子邮件应用配置阻止。两个选项可用于建立这些阻止:第一个选项阻止所有设备,仅允许使用 Outlook for iOS 和 Outlook for Android;第二个选项让你可以阻止各个设备使用本机 Exchange ActiveSync 应用。

可以定义默认阻止规则,然后使用以下命令为 Outlook for iOS、Outlook for Android 以及 Windows 设备配置允许规则。此配置将阻止任何非 Windows Exchange ActiveSync 本机应用进行连接,只允许 Outlook for iOS 和 Outlook for Android。

  1. 创建默认阻止规则:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  2. 为 Outlook for iOS 和 Outlook for Android 创建允许规则

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
    
  3. 创建允许 Windows 设备上的 Outlook 进行 Exchange ActiveSync 连接的规则(WP 表示 Windows Phone、WP8 表示 Windows Phone 8 及更高版本、WindowsMail 表示 Windows 10 中包含的邮件应用程序):

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP8" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
    
    

或者,可以在特定 Android 和 iOS 设备或其他类型的设备上阻止本机 Exchange ActiveSync 应用。

  1. 确认存在阻止 Outlook for iOS 和 Outlook for Android 的 Exchange ActiveSync 设备访问规则:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto
    

    如果找到任何阻止 Outlook for iOS 和 Outlook for Android 的设备访问规则,请键入以下内容以将其删除:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule
    
  2. 可以使用以下命令阻止大部分 Android 和 iOS 设备:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
    
    
  3. 并非所有 Android 设备制造商都将“Android”指定为 DeviceType。制造商可以为每个版本指定唯一值。要查找正在访问你的环境的其他 Android 设备,请执行以下命令,以生成具有活跃 Exchange ActiveSync 合作伙伴关系的所有设备报告:

    Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
    
  4. 根据步骤 3 中的结果创建其他阻止规则。例如,如果发现环境对 HTCOne Android 设备的使用率较高,则可以创建阻止该特定设备的 Exchange ActiveSync 设备访问规则,强制用户使用 Outlook for iOS 和 Outlook for Android。在此示例中,你可以键入:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
    
    注意注意:
    QueryString 参数不接受通配符或部分匹配。

其他资源:

请务必保护用户移动设备上的公司或组织数据。Office 365 提供了三种保护方法:

  1. 建议:Microsoft Intune(需要单独购买,或购买 Microsoft EMS 套件)。

  2. Office 365 随附的 Office 365 MDM 解决方案。

  3. 可通过 Exchange 管理中心中的移动设备访问和移动设备邮箱策略提供 PIN 锁定和加密选项。

有关实现这三个选项的详细信息和资源,请参阅在 Exchange Online 中管理其上运行 Outlook for iOS 和 Outlook for Android 的设备

如果不希望组织中的用户通过 Outlook for iOS 和 Outlook for Android 访问 Exchange 数据,那么有两个选项可供选择。

  • 选项 1:在 iOS 和 Android 平台上阻止 Outlook for iOS 和 Outlook for Android

  • 选项 2:在特定移动设备平台上阻止 Outlook for iOS 和 Outlook for Android

每个 Exchange 组织都具有关于安全和设备管理的不同策略。如果某个组织认为 Outlook for iOS 和 Outlook for Android 不能满足其需求,或不是其最佳解决方案,管理员可阻止该应用。阻止应用后,组织内的移动 Exchange 用户可使用 iOS 和 Android 上的内置邮件应用程序继续访问自己的邮箱。

New-ActiveSyncDeviceAccessRule cmdlet具有 Characteristic 参数,并且存在三个Characteristic选项可供管理员用于阻止 Outlook for iOS 和 Outlook for Android 应用。选项分别为 UserAgentDeviceModelDeviceType。在以下部分中描述的两个阻止选项中,你将使用一个或多个这些特征值来限制 Outlook for iOS 和 Outlook for Android 对组织中邮箱的访问权限。

每个特征的值均将显示在下表中:

 

特征 适用于 iOS 的字符串 适用于 Android 的字符串

DeviceModel

适用于 iOS 和 Android 的 Outlook

Outlook for iOS 和 Outlook for Android。

DeviceType

Outlook

Outlook

UserAgent

Outlook-iOS/2.0

Outlook-Android/2.0

通过 New-ActiveSyncDeviceAccessRule cmdlet,你可以使用 DeviceModelDeviceType 特征来定义设备访问规则。在这两种情况下,访问规则会阻止所有平台上的 Outlook for iOS 和 Outlook for Android,并且会阻止 iOS 平台和 Android 平台上的任何设备通过该应用访问 Exchange 邮箱。

以下是设备访问规则的两个示例。第一个示例使用 DeviceModel 特征;第二个示例使用 DeviceType 特征。

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

通过 UserAgent 特征,你可以定义在特定平台上阻止 Outlook for iOS 和 Outlook for Android 的设备访问规则。此规则会阻止设备使用 Outlook for iOS 和 Outlook for Android 连接到你指定的平台。以下示例演示如何使用 UserAgent 特征的设备特定值。

若要阻止 Android 且允许 iOS:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

若要阻止 iOS 且允许 Android:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

除了 Microsoft Intune、Office 365 MDM 和移动设备策略之外,还存在其他两种用于管理移动设备对组织中的信息所具有的访问权限的方法:

  • Exchange Web 服务 (EWS) 应用程序策略

  • 客户端访问规则

EWS 应用程序策略可以控制是否允许应用程序使用 REST API。请注意,配置仅允许特定应用程序访问邮件环境的 EWS 应用程序策略时,必须将适用于 Outlook for iOS 和 Outlook for Android 的 user-agent 字符串添加到 EWS 允许列表。

以下示例演示如何将 user-agent 字符串添加到 EWS 允许列表:

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}

如果你不使用 EWS 应用程序策略,但仍控制应用程序对 EWS 的访问,请确保未针对组织或 Outlook for iOS 和 Outlook for Android 的用户所拥有的单个邮箱禁用 EWS。以下命令将在组织级别和邮箱级别启用 EWS:

Set-OrganizationConfig -EwsEnabled:$true
Set-CASMailbox <mailbox> -EwsEnabled:$true

其中 <mailbox> 是你要为其启用 EWS 的邮箱的 ID。

有关详细信息,请参阅如何:在 Exchange 中控制对 EWS 的访问权限

客户端访问规则类似于到 Exchange Online 环境的客户端连接的传输规则。根据用户的属性或客户端连接的属性,将条件和异常应用于每个连接尝试。

由于客户端访问规则仅影响客户端所使用的协议会话的管理,因此需要确保允许访问 REST API(该操作可通过客户端访问规则完成)。否则,Outlook for iOS 和 Outlook for Android 用户将无法连接和访问自己的邮箱。

下面的示例显示如何允许 REST API 访问:

New-ClientAccessRule -Action AllowAccess -Name AllowREST -AnyOfProtocols REST

请注意,无法使用 AnyOfClientIPAddressesOrRanges 参数管理 Outlook for iOS 和 Outlook for Android。这是因为 Outlook for iOS 和 Outlook for Android 使用的是基于 Office 365 的体系结构。

其他资源:

请注意,EWS 应用程序策略和客户端访问规则在 Exchange Online 组织中独立运行。客户端访问规则仅了解给定客户端的协议会话的内容。这表示:

当你具有可允许 REST 会话的客户端访问规则时

  • (由于 EWS 应用程序策略定义)如果在 EWS 阻止列表中指定了 Outlook for iOS 和 Outlook for Android,则会阻止 Outlook for iOS 和 Outlook for Android 应用进行连接。

  • 相反,如果在 EWS 允许列表中指定了 Outlook for iOS 和 Outlook for Android,则用户可以连接。

当你具有可阻止 REST 会话的客户端访问规则时

  • (由于客户端访问规则定义)如果在 EWS 阻止列表中指定了 Outlook for iOS 和 Outlook for Android,则将阻止该应用的用户进行连接。

  • (由于客户端访问规则定义)如果在 EWS 允许列表中指定了 Outlook for iOS 和 Outlook for Android,则仍然阻止用户进行连接。

 
显示: