Administrar dispositivos en Outlook para iOS y Android para Exchange Server
Importante
Outlook para iOS y Android admite la autenticación moderna híbrida para buzones locales, lo que elimina la necesidad de aprovechar la autenticación básica. La información contenida en este artículo solo pertenece a la autenticación básica. Para obtener más información, consulte Uso de la autenticación moderna híbrida con Outlook para iOS y Android.
Microsoft recomienda Exchange ActiveSync para administrar los dispositivos móviles que se usan para tener acceso a buzones de Exchange en su entorno local. Exchange ActiveSync es un protocolo de sincronización de Microsoft Exchange que permite a los teléfonos móviles tener acceso a la información de una organización en un servidor que está ejecutando Microsoft Exchange.
Este artículo se centra en características y escenarios de Exchange ActiveSync específicos para dispositivos móviles que ejecutan Outlook para iOS y Android al autenticarse con autenticación básica. La información completa sobre el protocolo de sincronización de Microsoft Exchange está disponible en Exchange ActiveSync. Además, existe información en el blog de Office que detalla la aplicación de contraseñas y otras ventajas de usar Exchange ActiveSync con dispositivos que ejecutan Outlook para iOS y Android.
Directiva de buzón de dispositivo móvil
Outlook para iOS y Android admite la siguiente configuración de directiva de buzón de dispositivo móvil en Exchange local:
Cifrado de dispositivos habilitado
Longitud mínima de la contraseña (solo en Android)
Contraseña habilitada
Permitir Bluetooth (se usa para administrar la aplicación portátil de Outlook para Android)
Cuando AllowBluetooth está habilitado (comportamiento predeterminado) o configurado para HandsfreeOnly, se permite la sincronización wearable entre Outlook en el dispositivo Android y Outlook en el wearable para la cuenta profesional o educativa.
Cuando AllowBluetooth está deshabilitado, Outlook para Android deshabilitará la sincronización entre Outlook en el dispositivo Android y Outlook en el portátil para la cuenta profesional o educativa especificada (y eliminará los datos previamente sincronizados para la cuenta). La deshabilitación de la sincronización se controla completamente dentro del propio Outlook; Bluetooth no está deshabilitado en el dispositivo ni wearable ni se ve afectada ninguna otra aplicación portátil.
Nota:
Outlook para Android implementará la compatibilidad con la configuración AllowBluetooth a partir de finales de agosto.
Para obtener información sobre cómo crear o modificar una directiva de buzón de dispositivo móvil existente, consulte Directivas de buzón de dispositivo móvil.
Bloqueo de PIN y cifrado de dispositivos
Si la directiva de Exchange ActiveSync de su organización necesita una contraseña en los dispositivos móviles para que los usuarios sincronicen el correo electrónico, Outlook aplicará esta directiva en el nivel de dispositivo. Esto funciona de manera diferente entre dispositivos iOS y dispositivos Android, en función de los controles disponibles que Apple y Google han proporcionado.
En dispositivos iOS, Outlook comprueba para garantizar que se haya establecido correctamente un código de acceso o un PIN. En el caso de que no se haya establecido un código de acceso, Outlook pide a los usuarios que creen un código de acceso en la configuración de iOS. El usuario no podrá tener acceso a Outlook para iOS hasta que se configure el código de acceso.
En dispositivos Android, Outlook aplicará las reglas de bloqueo de pantalla. Además, Google proporciona controles que permiten que Outlook para Android cumpla con las directivas de Exchange con respecto a la complejidad y la longitud de contraseña, y con el número de intentos de desbloqueo de pantalla permitidos antes de eliminar los datos del teléfono. Outlook para Android también fomentará el cifrado de almacenamiento si no está habilitado, guiando a los usuarios a través de este proceso con un tutorial paso a paso.
Los dispositivos iOS y Android que no admitan esta configuración de seguridad de contraseña no podrán conectarse a un buzón de Exchange.
Cifrado del dispositivo
Los dispositivos iOS se incluyen con cifrado integrado, que Outlook usa una vez que el código de acceso está habilitado para cifrar todos los datos que Outlook almacena localmente en el dispositivo iOS. Por lo tanto, los dispositivos iOS con un PIN se cifran independientemente de si es necesario o no por una directiva de ActiveSync.
Outlook para Android admite el cifrado de dispositivos a través de directivas de buzón de dispositivo móvil de Exchange. Sin embargo, antes de Android 7.0, la disponibilidad y la implementación de este proceso varía según la versión del sistema operativo Android y el fabricante del dispositivo, lo que permite al usuario cancelar durante el proceso de cifrado. Con los cambios introducidos por Google en Android 7.0, Outlook para Android ahora puede aplicar el cifrado en dispositivos que ejecutan Android 7.0 o posterior. Los usuarios con dispositivos que ejecutan esos sistemas operativos no podrán cancelar el proceso de cifrado.
Aunque el dispositivo Android no esté cifrado y un atacante se encuentre en posesión del dispositivo, siempre que el PIN del dispositivo esté habilitado, la base de datos de Outlook permanece inaccesible. Esto es así incluso con la depuración USB habilitada y Android SDK instalado. Si un atacante intenta apropiarse del dispositivo para omitir el PIN y obtener acceso a esta información, el proceso raíz elimina todo el almacenamiento del dispositivo y quita todos los datos de Outlook. Si el dispositivo no está cifrado por el usuario antes de que lo roben, es posible que un atacante obtenga acceso a la base de datos de Outlook habilitando la depuración USB en el dispositivo y conectando el dispositivo en un equipo con Android SDK instalado.
Eliminación remota con Exchange ActiveSync
Exchange ActiveSync permite a los administradores borrar dispositivos de forma remota, como si se ponen en peligro o se pierden o roban. Con Outlook para iOS y Android, un borrado remoto solo borra los datos dentro de la propia aplicación de Outlook y no desencadena un borrado completo del dispositivo.
Consulte Realizar un borrado remoto en un teléfono móvil para obtener más información.
Directiva de acceso a dispositivos
Outlook para iOS y Android deben estar habilitados de forma predeterminada, pero en algunos entornos locales de Exchange existentes, la aplicación puede estar bloqueada por diversos motivos. Una vez que una organización decide estandarizar cómo acceden los usuarios a los datos de Exchange y usar Outlook para iOS y Android como la única aplicación de correo electrónico para los usuarios finales, puede configurar bloqueos para otras aplicaciones de correo que se ejecutan en los dispositivos iOS y Android de los usuarios. Tiene dos opciones para instituir estos bloques en Exchange local: la primera opción bloquea todos los dispositivos y solo permite el uso de Outlook para iOS y Android; la segunda opción le permite impedir que los dispositivos individuales usen las aplicaciones nativas de Exchange ActiveSync.
Nota:
Como los identificadores de dispositivo no se rigen por ningún identificador de dispositivo físico, pueden cambiarse sin previo aviso. Cuando esto suceda, puede provocar consecuencias no deseadas cuando los identificadores de dispositivo se usan para administrar dispositivos de usuario, ya que Exchange puede bloquear o poner en cuarentena de manera inesperada los dispositivos "permitidos" existentes. Por lo tanto, Microsoft recomienda que los administradores solo establezcan directivas de acceso a dispositivos móviles que permitan o bloqueen dispositivos según el tipo de dispositivo o el modelo de dispositivo.
Opción 1: Bloquear todas las aplicaciones de correo electrónico excepto Outlook para iOS y Android
Puede definir una regla de bloque predeterminada y, a continuación, configurar una regla de permiso para Outlook para iOS y Android, y para dispositivos Windows, mediante los siguientes comandos de PowerShell locales de Exchange. Esta configuración impedirá que cualquier Exchange ActiveSync aplicación nativa se conecte y solo permitirá Outlook para iOS y Android.
Cree la regla de bloqueo predeterminada:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel BlockCree una regla de permiso para Outlook para iOS y Android:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel AllowOpcional: cree reglas que permitan outlook en dispositivos Windows para la conectividad Exchange ActiveSync (WindowsMail hace referencia a la aplicación Mail incluida en Windows 10):
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
Opción 2: Bloquear las aplicaciones nativas de Exchange ActiveSync en dispositivos iOS y Android
Como alternativa, puede bloquear las aplicaciones nativas de Exchange ActiveSync en dispositivos específicos de iOS y Android o en otros tipos de dispositivos.
Confirme que no hay activada ninguna regla de acceso de dispositivo de Exchange ActiveSync que bloquee Outlook para iOS y Android:
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -autoSi se encuentra alguna regla de acceso de dispositivo que bloquea Outlook para iOS y Android, escriba lo siguiente para eliminarla:
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRulePuede bloquear la mayoría de los dispositivos iOS y Android con los siguientes comandos:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel BlockNo todos los fabricantes de dispositivos Android especifican "Android" como DeviceType. Los fabricantes pueden especificar un valor único con cada versión. Para buscar otros dispositivos Android que acceden a su entorno, ejecute el comando siguiente para generar un informe de todos los dispositivos que tienen una asociación activa de Exchange ActiveSync:
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csvCree reglas de bloqueo adicionales, dependiendo de los resultados del paso 3. Por ejemplo, si detecta que su entorno tiene un uso elevado de dispositivos Android HTCOne, puede crear una regla de acceso de dispositivo de Exchange ActiveSync que bloquee ese dispositivo en particular, obligando a los usuarios a usar Outlook para iOS y Android. En este ejemplo, escribiría:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
Nota:
El parámetro QueryString no acepta caracteres comodín ni coincidencias parciales.
Recursos adicionales:
Bloquear Outlook para iOS y Android
Cada organización de Exchange tiene diferentes directivas sobre administración de dispositivos y seguridad. Si una organización decide que Outlook para iOS y Android no cumple sus necesidades o no es la mejor solución para ella, los administradores pueden bloquear la aplicación. Una vez que la aplicación se bloquea, los usuarios móviles de Exchange de su organización pueden seguir accediendo a sus buzones mediante las aplicaciones de correo integradas en iOS y Android.
El New-ActiveSyncDeviceAccessRule cmdlet tiene un Characteristic parámetro y hay tres Characteristic opciones que los administradores pueden usar para bloquear la aplicación outlook para iOS y Android. Las opciones son UserAgent, DeviceModel y DeviceType. En las dos opciones de bloqueo que se describen en las secciones siguientes, usará uno o varios de estos valores de característica para restringir el acceso que Outlook para iOS y Android tiene a los buzones de la organización.
Los valores de cada característica se muestran en la tabla siguiente:
| Característica | Cadena para iOS | Cadena para Android |
|---|---|---|
| DeviceModel | Outlook para iOS y Android | Outlook para iOS y Android |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS-Android/1.0 | Outlook-iOS-Android/1.0 |
Con el New-ActiveSyncDeviceAccessRule cmdlet , puede definir una regla de acceso de dispositivo, con la DeviceModel característica o DeviceType . En ambos casos, la regla de acceso bloquea Outlook para iOS y Android en todas las plataformas e impedirá que cualquier dispositivo, en las plataformas iOS y Android, tenga acceso a un buzón de Exchange a través de la aplicación.
A continuación, se muestran dos ejemplos de una regla de acceso de dispositivo. En el primer ejemplo se usa la DeviceModel característica ; en el segundo ejemplo se usa la DeviceType característica .
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block