本文由机器翻译。若要查看英语原文,请勾选“英语”复选框。 也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

在 Exchange Online 中启用 Outlook for iOS和 Outlook for Android

Exchange Online
 

适用于:Exchange Online, Office 365

上一次修改主题:2018-02-05

摘要:如何在 Exchange Online 环境中启用 Outlook for iOS 和 Outlook for Android,以及如何获得此应用的全部优势。

需要设置两个关键任务并启用 Outlook for iOS 和 Outlook for Android。

  1. 将 Outlook for iOS 和 Outlook for Android 设置为主要的电子邮件应用,便于最终用户连接到他们的 Exchange 邮箱。该操作涉及阻止其他电子邮件应用连接到你的邮箱,并确保 Outlook for iOS 和 Outlook for Android 本身不会受到阻止。

  2. 为了保护单个设备上的公司数据,请设置 Microsoft Intune、Office 365 MDM 或Exchange 管理中心中提供的移动设备访问和移动设备邮箱策略。

    注意注意:
    如果实现 EWS 应用程序策略来管理移动设备访问您的组织中,本文内下文中看到Exchange Web 服务 (EWS) 应用程序策略

应默认启用 Outlook for iOS 和 Outlook for Android,但在现有的某些 Exchange Online 环境中,该应用可能会由于各种原因而被阻止。组织决定标准化用户如何访问 Exchange 数据,并将 Outlook for iOS 和 Outlook for Android 用作最终用户的唯一电子邮件应用程序后,你可以为运行于用户 iOS 和 Android 设备上的其他电子邮件应用配置阻止。两个选项可用于建立这些阻止:第一个选项阻止所有设备,仅允许使用 Outlook for iOS 和 Outlook for Android;第二个选项让你可以阻止各个设备使用本机 Exchange ActiveSync 应用。

可以定义默认阻止规则,然后使用以下命令为 Outlook for iOS、Outlook for Android 以及 Windows 设备配置允许规则。此配置将阻止任何非 Windows Exchange ActiveSync 本机应用进行连接,只允许 Outlook for iOS 和 Outlook for Android。

  1. 创建默认阻止规则:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  2. 为 Outlook for iOS 和 Outlook for Android 创建允许规则

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
    
  3. 创建允许 Windows 设备上的 Outlook 进行 Exchange ActiveSync 连接的规则(WP 表示 Windows Phone、WP8 表示 Windows Phone 8 及更高版本、WindowsMail 表示 Windows 10 中包含的邮件应用程序):

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP8" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
    
    

或者,可以在特定 Android 和 iOS 设备或其他类型的设备上阻止本机 Exchange ActiveSync 应用。

  1. 确认存在阻止 Outlook for iOS 和 Outlook for Android 的 Exchange ActiveSync 设备访问规则:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto
    

    如果找到任何阻止 Outlook for iOS 和 Outlook for Android 的设备访问规则,请键入以下内容以将其删除:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule
    
  2. 可以使用以下命令阻止大部分 Android 和 iOS 设备:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
    
    
  3. 并非所有 Android 设备制造商都将"Android"指定为 DeviceType。制造商可以为每个版本指定唯一值。要查找正在访问你的环境的其他 Android 设备,请执行以下命令,以生成具有活跃 Exchange ActiveSync 合作伙伴关系的所有设备报告:

    Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
    
  4. 根据步骤 3 中的结果创建其他阻止规则。例如,如果发现环境对 HTCOne Android 设备的使用率较高,则可以创建阻止该特定设备的 Exchange ActiveSync 设备访问规则,强制用户使用 Outlook for iOS 和 Outlook for Android。在此示例中,你可以键入:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
    
    注意注意:
    QueryString 参数不接受通配符或部分匹配。

其他资源:

请务必保护用户移动设备上的公司或组织数据。Office 365 提供了三种保护方法:

  1. 建议:Microsoft Intune(需要单独购买,或购买 Microsoft EMS 套件)。

  2. Office 365 随附的 Office 365 MDM 解决方案。

  3. 可通过 Exchange 管理中心中的移动设备访问和移动设备邮箱策略提供 PIN 锁定和加密选项。

有关实现这三个选项的详细信息和资源,请参阅在 Exchange Online 中管理其上运行 Outlook for iOS 和 Outlook for Android 的设备

如果不希望组织中的用户通过 Outlook for iOS 和 Outlook for Android 访问 Exchange 数据,那么有两个选项可供选择。

  • 选项 1:在 iOS 和 Android 平台上阻止 Outlook for iOS 和 Outlook for Android

  • 选项 2:在特定移动设备平台上阻止 Outlook for iOS 和 Outlook for Android

每个 Exchange 组织都具有关于安全和设备管理的不同策略。如果某个组织认为 Outlook for iOS 和 Outlook for Android 不能满足其需求,或不是其最佳解决方案,管理员可阻止该应用。阻止应用后,组织内的移动 Exchange 用户可使用 iOS 和 Android 上的内置邮件应用程序继续访问自己的邮箱。

New-ActiveSyncDeviceAccessRule cmdlet具有 Characteristic 参数,并且存在三个Characteristic选项可供管理员用于阻止 Outlook for iOS 和 Outlook for Android 应用。选项分别为 UserAgentDeviceModelDeviceType。在以下部分中描述的两个阻止选项中,你将使用一个或多个这些特征值来限制 Outlook for iOS 和 Outlook for Android 对组织中邮箱的访问权限。

每个特征的值均将显示在下表中:

 

特征 适用于 iOS 的字符串 适用于 Android 的字符串

DeviceModel

适用于 iOS 和 Android 的 Outlook

Outlook for iOS 和 Outlook for Android。

DeviceType

Outlook

Outlook

UserAgent

Outlook-iOS/2.0

Outlook-Android/2.0

通过 New-ActiveSyncDeviceAccessRule cmdlet,你可以使用 DeviceModelDeviceType 特征来定义设备访问规则。在这两种情况下,访问规则会阻止所有平台上的 Outlook for iOS 和 Outlook for Android,并且会阻止 iOS 平台和 Android 平台上的任何设备通过该应用访问 Exchange 邮箱。

以下是设备访问规则的两个示例。第一个示例使用 DeviceModel 特征;第二个示例使用 DeviceType 特征。

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

通过 UserAgent 特征,你可以定义在特定平台上阻止 Outlook for iOS 和 Outlook for Android 的设备访问规则。此规则会阻止设备使用 Outlook for iOS 和 Outlook for Android 连接到你指定的平台。以下示例演示如何使用 UserAgent 特征的设备特定值。

若要阻止 Android 且允许 iOS:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

若要阻止 iOS 且允许 Android:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

除了 Microsoft Intune、 Office 365 MDM 和移动设备的策略,您还可以管理移动设备在您的组织通过 EWS 应用程序策略的信息的访问权限。EWS 应用程序策略可以控制允许应用程序利用 REST API。请注意,配置仅允许特定的应用程序访问您的邮件环境 EWS 应用程序策略时,您必须添加用户代理字符串,用于 Outlook 的 iOS 和 Android EWS 到允许列表。

以下示例演示如何将 user-agent 字符串添加到 EWS 允许列表:

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}
 
显示: