Správa přístupu ke spolupráci na zasílání zpráv pomocí Outlooku pro iOS a Android s Microsoft Intune
Aplikace Outlook pro iOS a Android je navržená tak, aby uživatelům ve vaší organizaci umožňovala dělat na mobilních zařízeních více díky propojení e-mailů, kalendáře, kontaktů a dalších souborů.
Bohatší a nejširší možnosti ochrany dat Microsoftu 365 jsou k dispozici, když si předplatíte sadu Enterprise Mobility + Security, která zahrnuje funkce Microsoft Intune a Microsoft Entra ID P1 nebo P2, jako je podmíněný přístup. Minimálně budete chtít nasadit zásadu podmíněného přístupu, která umožňuje připojení k Outlooku pro iOS a Android z mobilních zařízení, a zásady ochrany Intune aplikací, které zajišťují ochranu prostředí pro spolupráci.
Použít podmíněný přístup
Organizace můžou pomocí Microsoft Entra zásad podmíněného přístupu zajistit, aby uživatelé měli přístup k pracovnímu nebo školnímu obsahu jenom pomocí Outlooku pro iOS a Android. K tomu budete potřebovat zásadu podmíněného přístupu, která cílí na všechny potenciální uživatele. Tyto zásady jsou popsané v tématu Podmíněný přístup: Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací.
Postupujte podle kroků v tématu Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací u mobilních zařízení. Tato zásada umožňuje Outlooku pro iOS a Android, ale blokuje připojení mobilních klientů k Exchange Online pomocí OAuth a základního ověřování protokol Exchange ActiveSync.
Poznámka
Tato zásada zajišťuje, že mobilní uživatelé mohou přistupovat ke všem koncovým bodům Microsoft 365 pomocí příslušných aplikací.
Postupujte podle kroků v tématu Blokování protokol Exchange ActiveSync na všech zařízeních, které brání protokol Exchange ActiveSync klientům používajícím základní ověřování na jiných než mobilních zařízeních v připojení k Exchange Online.
Výše uvedené zásady využívají udělení řízení přístupu Vyžadovat zásadu ochrany aplikací, která zajišťuje, že se Intune zásady ochrany aplikací použijí na přidružený účet v Outlooku pro iOS a Android před udělením přístupu. Pokud uživatel není přiřazený k zásadám ochrany aplikací Intune, nemá licenci na Intune nebo aplikace není zahrnutá v zásadách ochrany aplikací Intune, pak zásady brání uživateli v získání přístupového tokenu a přístupu k datům zasílání zpráv.
Postupujte podle kroků v tématu Postupy: Blokování starších verzí ověřování a Microsoft Entra ID pomocí podmíněného přístupu a zablokujte starší verze ověřování pro jiné protokoly Exchange na zařízeních s iOSem a Androidem. Tato zásada by měla cílit jenom na Microsoft Exchange Online cloudové aplikace a platformy zařízení s iOSem a Androidem. Tím se zajistí, aby se mobilní aplikace používající webové služby Exchange, IMAP4 nebo POP3 se základním ověřováním nemohly připojit k Exchange Online.
Poznámka
Pokud chcete využívat zásady podmíněného přístupu založené na aplikacích, musí být aplikace Microsoft Authenticator nainstalovaná na zařízeních s iOSem. U zařízení s Androidem se vyžaduje aplikace Portál společnosti Intune. Další informace najdete v tématu Podmíněný přístup založený na aplikacích pro Intune.
Vytvoření zásad ochrany aplikací Intune
Zásady ochrany aplikací (APP) definují, které aplikace jsou povolené a jaké akce můžou s daty vaší organizace provádět. Možnosti dostupné v aplikaci APP umožňují organizacím přizpůsobit ochranu jejich konkrétním potřebám. U některých nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře. Microsoft zavedl taxonomii pro svoji architekturu ochrany dat APP pro správu mobilních aplikací pro správu mobilních aplikací pro iOS a Android, aby organizacím pomohl prioritizovat posílení zabezpečení koncových bodů mobilních klientů.
Architektura ochrany dat APP je uspořádaná do tří různých úrovní konfigurace, přičemž každá úroveň vychází z předchozí úrovně:
- Základní ochrana podnikových dat (úroveň 1) zajišťuje, že aplikace jsou chráněné kódem PIN a šifrované, a provádí operace selektivního vymazání. U zařízení s Androidem tato úroveň ověřuje ověření identity zařízení s Androidem. Jedná se o konfiguraci základní úrovně, která poskytuje podobné řízení ochrany dat v zásadách poštovních schránek Exchange Online a zavádí IT a populaci uživatelů do APP.
- Rozšířená ochrana podnikových dat (úroveň 2) zavádí mechanismy ochrany dat APP a minimální požadavky na operační systém. Toto je konfigurace, která se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
- Vysoká ochrana podnikových dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a ochranu před mobilními hrozbami pro APP. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k vysoce rizikovým datům.
Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální počet aplikací, které je potřeba chránit, přečtěte si téma Architektura ochrany dat pomocí zásad ochrany aplikací.
Bez ohledu na to, jestli je zařízení zaregistrované v řešení sjednocené správy koncových bodů (UEM), je potřeba vytvořit zásady ochrany aplikací Intune pro aplikace pro iOS i Android pomocí kroků v tématu Vytvoření a přiřazení zásad ochrany aplikací. Tyto zásady musí splňovat minimálně následující podmínky:
Zahrnují všechny mobilní aplikace Microsoft 365, jako je Edge, Outlook, OneDrive, Office nebo Teams, protože to zajišťuje, aby uživatelé mohli bezpečně přistupovat k pracovním nebo školním datům v libovolné aplikaci Microsoftu a manipulovat s nimi.
Jsou přiřazené všem uživatelům. Tím se zajistí, že všichni uživatelé budou chráněni bez ohledu na to, jestli používají Outlook pro iOS nebo Android.
Určete, která úroveň architektury splňuje vaše požadavky. Většina organizací by měla implementovat nastavení definovaná v části Rozšířená ochrana podnikových dat (úroveň 2), která umožňují řízení požadavků na ochranu dat a přístup.
Další informace o dostupných nastaveních najdete v tématu Nastavení zásad ochrany aplikací pro Android a Nastavení zásad ochrany aplikací pro iOS.
Důležité
Pokud chce uživatel použít zásady ochrany aplikací Intune u aplikací na zařízeních s Androidem, která nejsou zaregistrovaná v Intune, musí také nainstalovat Portál společnosti Intune.
Použití konfigurace aplikace
Outlook pro iOS a Android podporuje nastavení aplikací, které umožňuje jednotným správcům správy koncových bodů přizpůsobit chování aplikace. Microsoft Intune, což je jednotné řešení správy koncových bodů, se běžně používá ke konfiguraci a přiřazování aplikací koncovým uživatelům organizace.
Konfiguraci aplikací je možné provádět buď prostřednictvím kanálu správy mobilních zařízení (MDM) OS v registrovaných zařízeních (kanál Konfigurace spravovaných aplikací pro iOS nebo Android v kanálu Enterprise pro Android), nebo prostřednictvím kanálu Intune App Protection Policy (APP). Outlook pro iOS a Android podporuje následující scénáře konfigurace:
- Povolit jenom pracovní nebo školní účty
- Obecná nastavení konfigurace aplikací
- Nastavení S/MIME
- Nastavení ochrany dat
Konkrétní procedurální kroky a podrobnou dokumentaci k nastavení konfigurace aplikací, které Outlook pro iOS a Android podporuje, najdete v tématu Nasazení nastavení konfigurace aplikací Outlook pro iOS a Android.