Gestion d’appareils pour Outlook pour iOS et Android dans Exchange Server
Importante
Outlook pour iOS et Android prend en charge l’authentification moderne hybride pour les boîtes aux lettres locales, ce qui élimine la nécessité de tirer parti de l’authentification de base. Les informations contenues dans cet article se rapportent uniquement à l’authentification de base. Pour plus d’informations, consultez Utilisation de l’authentification moderne hybride avec Outlook pour iOS et Android.
Microsoft recommande l'utilisation d'Exchange ActiveSync pour gérer les appareils mobiles utilisés pour accéder aux boîtes aux lettres Exchange dans votre environnement local. Exchange ActiveSync est un protocole de synchronisation de Microsoft Exchange qui autorise les téléphones mobiles à accéder aux informations d'une organisation situées sur un serveur exécutant Microsoft Exchange.
Cet article se concentre sur les fonctionnalités et scénarios de Exchange ActiveSync spécifiques pour les appareils mobiles exécutant Outlook pour iOS et Android lors de l’authentification avec l’authentification de base. Des informations complètes sur le protocole de synchronisation de Microsoft Exchange sont disponibles dans Exchange ActiveSync. Vous trouverez également des informations sur le blog Office concernant l'application de mots de passe et d'autres avantages liés à l'utilisation d'Exchange ActiveSync sur des appareils exécutant Outlook pour iOS et Android.
Stratégie de boîte aux lettres d’appareil mobile
Outlook pour iOS et Android prend en charge les paramètres de stratégie de boîte aux lettres d’appareil mobile suivants dans Exchange en local :
Chiffrement de périphérique activé
Longueur minimale du mot de passe (uniquement sur Android)
Mot de passe activé
Autoriser le Bluetooth (utilisé pour gérer l’application portable Outlook pour Android)
Lorsque AllowBluetooth est activé (comportement par défaut) ou configuré pour HandsfreeOnly, la synchronisation portable entre Outlook sur l’appareil Android et Outlook sur le portable est autorisée pour le compte professionnel ou scolaire.
Lorsque AllowBluetooth est désactivé, Outlook pour Android désactive la synchronisation entre Outlook sur l’appareil Android et Outlook sur le portable pour le compte professionnel ou scolaire spécifié (et supprime toutes les données précédemment synchronisées pour le compte). La désactivation de la synchronisation est entièrement contrôlée dans Outlook lui-même; Bluetooth n’est pas désactivé sur l’appareil ou portable, ni aucune autre application portable n’est affectée.
Remarque
Outlook pour Android déploiera la prise en charge du paramètre AllowBluetooth à partir de la fin du mois d’août.
Pour plus d’informations sur la création ou la modification d’une stratégie de boîte aux lettres d’appareil mobile existante, consultez Stratégies de boîte aux lettres d’appareil mobile.
Code confidentiel et chiffrement de l’appareil
Si la stratégie Exchange ActiveSync de votre organisation exige que les utilisateurs entrent un mot de passe sur leur appareil mobile pour synchroniser des e-mails, Outlook applique cette stratégie au niveau de l’appareil. Cela fonctionne différemment sur les appareils iOS et Android, selon les contrôles fournis par Apple et Google.
Sur les appareils iOS, Outlook vérifie qu'un code secret ou un code confidentiel est correctement défini. Si aucun code secret n'est défini, Outlook invite les utilisateurs à créer un code secret dans les paramètres d'iOS. Tant que le code secret n'est pas défini, l'utilisateur ne peut pas accéder à Outlook pour iOS.
Sur les appareils Android, Outlook applique des règles de verrouillage d’écran. En outre, Google fournit des contrôles qui permettent à Outlook pour Android de se conformer aux stratégies Exchange concernant la longueur et la complexité du mot de passe, ainsi que le nombre de tentatives de déverrouillage d’écran autorisées avant la réinitialisation du téléphone. Outlook pour Android encourage également le chiffrement du stockage s’il n’est pas activé, en guidant les utilisateurs tout au long de ce processus avec une procédure pas à pas.
Les appareils iOS et Android qui ne prennent pas en charge ces paramètres de sécurité des mots de passe ne pourront pas se connecter à une boîte aux lettres Exchange.
Chiffrement de l’appareil
Les appareils iOS sont fournis avec le chiffrement intégré, qu’Outlook utilise une fois le code secret activé pour chiffrer toutes les données stockées localement par Outlook sur l’appareil iOS. Par conséquent, les appareils iOS avec un code confidentiel sont chiffrés, que cela soit requis ou non par une stratégie ActiveSync.
Outlook pour Android prend en charge le chiffrement d’appareil via des stratégies de boîte aux lettres d’appareil mobile Exchange. Toutefois, avant Android 7.0, la disponibilité et l’implémentation de ce processus varient selon la version du système d’exploitation Android et le fabricant de l’appareil, ce qui permet à l’utilisateur d’annuler le processus de chiffrement. Avec les modifications apportées par Google à Android 7.0, Outlook pour Android est désormais en mesure d’appliquer le chiffrement sur les appareils exécutant Android 7.0 ou version ultérieure. Les utilisateurs disposant d’appareils exécutant ces systèmes d’exploitation ne pourront pas annuler le processus de chiffrement.
Même si l'appareil Android n'est pas chiffré et qu'un utilisateur malveillant est en possession de l'appareil, la base de données Outlook reste inaccessible tant qu'un code confidentiel est activé. Il en est de même lorsque le débogage USB est activé et le kit de développement logiciel (SDK) Android est installé. Si un utilisateur malveillant tente d'accéder aux fichiers racine de l'appareil pour contourner le code confidentiel et accéder à ces informations, le processus racine efface tous les fichiers stockés sur l'appareil et supprime toutes les données Outlook. Si l'appareil est associé à une racine et n'est pas chiffré par l'utilisateur avant le vol, l'utilisateur malveillant peut accéder à la base de données Outlook en activant le débogage USB sur l'appareil et en branchant ce dernier sur un ordinateur où le kit de développement logiciel (SDK) Android est installé.
Réinitialisation à distance avec Exchange ActiveSync
Exchange ActiveSync permet aux administrateurs de réinitialiser à distance les appareils, par exemple s’ils sont compromis, perdus/volés. Avec Outlook pour iOS et Android, une réinitialisation à distance ne réinitialise que les données au sein de l’application Outlook elle-même et ne déclenche pas de réinitialisation complète de l’appareil.
Pour plus d’informations, consultez Effectuer une réinitialisation à distance sur un téléphone mobile .
Stratégie d’accès aux appareils
Outlook pour iOS et Android doit être activé par défaut, mais dans certains environnements Exchange locaux existants, l’application peut être bloquée pour diverses raisons. Une fois qu’une organisation décide de normaliser la façon dont les utilisateurs accèdent aux données Exchange et d’utiliser Outlook pour iOS et Android comme seule application de messagerie pour les utilisateurs finaux, vous pouvez configurer des blocs pour d’autres applications de messagerie s’exécutant sur les appareils iOS et Android des utilisateurs. Vous avez deux options pour créer ces blocs dans Exchange en local : la première option bloque tous les appareils et autorise uniquement l’utilisation d’Outlook pour iOS et Android ; La deuxième option vous permet d’empêcher des appareils individuels d’utiliser les applications Exchange ActiveSync natives.
Remarque
Étant donné que les ID d’appareil ne sont pas régis par n’importe quel ID d’appareil physique, ils peuvent changer sans préavis. Lorsqu'une modification se produit, elle peut entraîner des conséquences inattendues si les ID d'appareil sont utilisés pour gérer les appareils des utilisateurs, car les appareils « autorisés » existants peuvent être inopinément bloqués ou mis en quarantaine par Exchange. Par conséquent, Microsoft recommande aux administrateurs de définir uniquement des stratégies d’accès aux appareils mobiles qui autorisent/bloquent les appareils en fonction du type d’appareil ou du modèle d’appareil.
Option 1 : blocage de toutes les applications de messagerie à l’exception d’Outlook pour iOS et Android
Vous pouvez définir une règle de blocage par défaut, puis configurer une règle d’autorisation pour Outlook pour iOS et Android, et pour les appareils Windows, à l’aide des commandes PowerShell exchange locales suivantes. Cette configuration empêche la connexion des applications Exchange ActiveSync natives et autorise uniquement Outlook pour iOS et Android.
Créez la règle de blocage par défaut :
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
Créer une règle d'autorisation pour Outlook pour iOS et Android :
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
Facultatif : créez des règles qui autorisent outlook sur les appareils Windows pour la connectivité Exchange ActiveSync (WindowsMail fait référence à l’application Courrier incluse dans Windows 10) :
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
Option 2 : blocage des applications Exchange ActiveSync natives sur les appareils iOS et Android
Vous pouvez également bloquer les applications Exchange ActiveSync natives sur des appareils iOS et Android spécifiques ou sur d’autres types d’appareils.
Vérifiez qu'aucune règle d'accès d'appareil Exchange ActiveSync ne bloque Outlook pour iOS et Android :
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto
S'il existe des règles d'accès d'appareil qui bloquent Outlook pour iOS et Android, tapez ce qui suit pour les supprimer :
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule
Vous pouvez bloquer la plupart des appareils iOS et Android avec les commandes suivantes :
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
Tous les fabricants d'appareils Android ne spécifient pas « Android » en tant que type d'appareil. Les fabricants peuvent spécifier une valeur unique à chaque version. Pour rechercher d'autres appareils Android qui accèdent à votre environnement, exécutez la commande suivante pour générer un rapport de tous les appareils qui ont un partenariat Exchange ActiveSync actif :
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
Créez des règles de blocage supplémentaires, en fonction des résultats de l'étape 3. Par exemple, si vous trouvez que votre environnement utilise les appareils Android HTC One de manière intensive, vous pouvez créer une règle d'accès d'appareil Exchange ActiveSync qui bloque cet appareil en particulier, obligeant les utilisateurs à utiliser Outlook pour iOS et Android. Dans cet exemple, vous devriez taper :
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
Remarque
Le paramètre QueryString n'accepte pas les caractères génériques ou les correspondances partielles.
Ressources supplémentaires:
Blocage d’Outlook pour iOS et Android
Chaque organisation Exchange dispose de stratégies différentes en matière de sécurité et de gestion des périphériques. Si une organisation décide qu'Outlook pour iOS et Android ne répond pas à ses besoins ou n'est pas la meilleure solution pour elle, les administrateurs ont la possibilité de bloquer l'application. Une fois que l'application est bloquée, les utilisateurs mobiles Exchange de votre organisation peuvent continuer à accéder à leurs boîtes aux lettres à l'aide des applications de messagerie intégrées sur iOS et Android.
L’applet New-ActiveSyncDeviceAccessRule
de commande a un Characteristic
paramètre et il existe trois Characteristic
options que les administrateurs peuvent utiliser pour bloquer l’application Outlook pour iOS et Android. Les options sont UserAgent, DeviceModel et DeviceType. Pour les deux options de blocage décrites dans les sections suivantes, vous allez utiliser une ou plusieurs de ces valeurs de caractéristiques pour restreindre l'accès d'Outlook pour iOS et Android aux boîtes aux lettres de votre organisation.
Les valeurs pour chaque caractéristique sont affichées dans le tableau suivant :
Caractéristique | Chaîne pour iOS | Chaîne pour Android |
---|---|---|
DeviceModel | Outlook pour iOS et Android | Outlook pour iOS et Android |
DeviceType | Outlook | Outlook |
UserAgent | Outlook-iOS-Android/1.0 | Outlook-iOS-Android/1.0 |
Avec l’applet de New-ActiveSyncDeviceAccessRule
commande , vous pouvez définir une règle d’accès aux appareils, à l’aide de la DeviceModel
caractéristique ou DeviceType
. Dans les deux cas, la règle d'accès bloque Outlook pour iOS et Android sur toutes les plateformes et empêche l'accès de tous les appareils à une boîte aux lettres Exchange par le biais de l'application, à la fois sur la plateforme iOS et Android.
Voici deux exemples de règle d'accès d'appareil. Le premier exemple utilise la DeviceModel
caractéristique ; le deuxième exemple utilise la DeviceType
caractéristique .
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block