Управление устройствами с Outlook для iOS и Android в Exchange Online

Сводка. В этой статье представлены рекомендации по управлению мобильными устройствами с Outlook для iOS и Android в среде Exchange Online.

Outlook для iOS и Android предоставляет пользователям быстрый и интуитивно понятный интерфейс электронной почты и календаря, а также является единственным приложением для поддержки лучших функций Microsoft 365 и Office 365. Кроме того, корпорация Майкрософт предоставляет множество служебных программ для управления корпоративными данными и их защиты на мобильных устройствах в вашей Exchange Online организации.

Параметры управления устройствами и приложениями

Управлять Outlook для iOS и Android можно с помощью следующих решений:

1. Рекомендуется: набор Enterprise Mobility + Security, включающий Microsoft Intune и условный доступ Microsoft Entra.

2. Базовая мобильность и безопасность для Microsoft 365.

3. Сторонние решения unified Endpoint Management.

4. политики доступа с мобильных устройств и политики почтовых ящиков мобильных устройств.

Примечание.

Подробнее о внедрении каждого из этих трех решений см. в статье Securing Outlook for iOS and Android in Exchange Online.

Корпорация Майкрософт рекомендует клиентам использовать функции набора Enterprise Mobility + Security для защиты корпоративных данных на мобильных устройствах из-за расширенных возможностей, предоставляемых этими службами.

Важно!

Когда пользователь проходит проверку подлинности в Outlook для iOS и Android, Exchange Online правила доступа к мобильному устройству (разрешение, блокировка или карантин) пропускаются, если к пользователю применяются какие-либо Microsoft Entra политики условного доступа, в том числе:

• Условие облачного приложения: Exchange Online или Office 365
• Условие платформы устройства: iOS и (или) Android
• Условие клиентских приложений: мобильные приложения и классический клиент
• Один из следующих элементов управления предоставлением доступа: Требовать, чтобы устройство было помечено как соответствующее требованиям, Требовать утвержденное клиентское приложение или Требовать политику защиты приложений.

Примечание.

При использовании командлетов мобильных устройств, например Get-MobileDevice для проверка состояния устройства, метка времени синхронизации Outlook для iOS и Android, указываемая свойствомLastSyncTime, может отставать от фактического времени синхронизации на 15 минут. Синхронизация устройства происходит в реальном времени, но возвращаемая метка времени может отставать.

Использование набора Enterprise Mobility + Security

Самые широкие возможности защиты microsoft 365 и Office 365 данных доступны при подписке на набор Enterprise Mobility + Security. Этот набор включает функции Microsoft Intune, Azure Information Protection и Microsoft Entra ID P1 или P2, такие как условный доступ.

Примечание.

Хотя подписка на набор Enterprise Mobility + Security включает лицензии как для Microsoft Intune, так и для Microsoft Entra ID, клиенты могут приобретать лицензии Microsoft Intune и Microsoft Entra ID Лицензии P1 или P2 отдельно. Все пользователи должны получить лицензии для применения политик условного доступа и защиты приложений Intune, которые обсуждаются в этой статье.

Intune предоставляет возможности управления мобильными приложениями (MAM) и другие возможности условного доступа и управления устройствами. С помощью Intune политик защиты приложений можно ограничить действия с корпоративными данными между приложениями, управляемыми Intune и неуправляемыми приложениями. Например, вырезать, скопировать, вставить и "сохранить как". Дополнительные сведения см. в статье Создание и назначение политик защиты приложений. Кроме того, приложения Outlook, управляемые Intune, включают новую функцию управления несколькими удостоверениями, которая позволяет пользователям получать доступ как к своим личным, так и к рабочим учетным записям электронной почты в одном приложении Outlook, применяя только политики защиты приложений Intune к рабочей учетной записи пользователя. Эта функция обеспечивает гораздо более простой пользовательский интерфейс.

Условный доступ — это возможность Microsoft Entra ID, которая позволяет централизованно применять элементы управления доступом к приложениям на основе определенных условий. Используя политики условного доступа, вы можете применять необходимые элементы управления доступом в зависимости от условий. Microsoft Entra условный доступ обеспечивает дополнительную безопасность, когда такая безопасность необходима, а в противном случае она остается недоступной для пользователей.

Вот ключевые функции набора Enterprise Mobility + Security с Outlook для iOS и Android:

• Условный доступ. Microsoft Entra ID гарантирует, что доступ к Exchange Online электронной почте можно получить только при соблюдении требований условного доступа. Дополнительные сведения о регистрации устройств см. в разделе Что такое условный доступ?

• Защита приложений Intune. Outlook для iOS и Android позволяет защитить корпоративные данные с помощью политик защиты приложений Intune. Этот метод отлично подходит для сценариев с собственным устройством (BYOD), в которых требуется обеспечить безопасность корпоративных данных без управления устройствами пользователя. Дополнительные сведения о политиках защиты приложений Intune см. в статье Защита данных приложений с помощью политик управления мобильными приложениями с помощью Microsoft Intune.

• Регистрация устройства. С помощью Intune вы можете управлять устройствами и приложениями своих сотрудников, а также тем, как они получают доступ к вашим корпоративным данным. Outlook для iOS и Android гарантирует, что Exchange Online электронная почта доступна только на управляемых и совместимых телефонах и планшетах. Когда пользователи входят в приложение Outlook на неуправляемом мобильном устройстве, Outlook предлагает пользователям зарегистрировать устройство в Intune с помощью политики условного доступа Azure, а затем проверяет, соответствует ли устройство стандартам организации в отношении соответствия устройств.

• Управление устройствами и создание отчетов. Процесс регистрации позволяет организациям задавать политики безопасности и управлять ими. Например, можно применить блокировку ПИН-кода на уровне устройства, требовать шифрование данных и блокировать скомпрометированные устройства, чтобы предотвратить доступ к корпоративной электронной почте и данным на ненадежных устройствах. Каждое зарегистрированное устройство отображается в Центр администрирования Microsoft 365, а отчеты доступны для предоставления сведений об устройствах, которые обращаются к корпоративным данным.

• Выборочная очистка. Microsoft Intune может удалять данные электронной почты из Outlook для iOS и Android, оставляя нетронутыми все личные учетные записи электронной почты (независимо от того, зарегистрировано ли устройство). Эта функция становится все более важным требованием, поскольку все больше предприятий принимают подход "принеси свое устройство" к телефонам и планшетам.

Использование Базовая мобильность и безопасность для Microsoft 365

Базовая мобильность и безопасность для Microsoft 365 предоставляет возможности управления устройствами без дополнительных затрат. Microsoft Intune эти базовые возможности, предоставляя базовый набор элементов управления в Центр администрирования Microsoft 365 для организаций, которым нужны основные сведения.

Нет собственной возможности контролировать, какие приложения можно использовать, даже после регистрации устройства. Если вы хотите ограничить доступ к Outlook для iOS и Android, вам потребуется Microsoft Entra ID лицензий P1 или P2 для использования политик условного доступа.

Outlook для iOS и Android полностью поддерживает возможности, предоставляемые Базовая мобильность и безопасность для Microsoft 365.

Подробные сведения см. в следующих ресурсах:

• Обзор Базовая мобильность и безопасность для Microsoft 365.

• Управление параметрами и компонентами на устройствах с помощью политик Microsoft Intune

• Инструкции для конечных пользователей по регистрации устройства в Базовая мобильность и безопасность. Регистрация мобильного устройства с помощью Базовая мобильность и безопасность

Использование сторонних решений для управления едиными конечными точками

Сторонние поставщики унифицированных конечных точек могут развертывать Outlook для iOS и Android так же, как и любые приложения iOS или Android, используя имеющиеся средства. Они также могут применять важные универсальные элементы управления устройствами. Например, ПИН-код устройства, шифрование устройства, очистка устройства и многое другое.

Сторонние поставщики также могут развертывать в Outlook для iOS и Android определенные параметры конфигурации приложений, такие как настройка учетной записи, режим разрешенных организацией учетных записей и общие параметры конфигурации приложений. Дополнительные сведения см. в статье Развертывание параметров конфигурации приложений Outlook для iOS и Android.

Для управления корпоративными данными в приложении и их защиты (например, ограничить действия вырезанных, копировать, вставлять и сохранять как) с корпоративными данными клиенты должны использовать набор Enterprise Mobility + Security Майкрософт.

Использование политик доступа с мобильных устройств и политик почтовых ящиков мобильных устройств

Корпорация Майкрософт рекомендует клиентам использовать набор Enterprise Mobility + Security или встроенный Базовая мобильность и безопасность для Microsoft 365 для управления корпоративными данными на мобильных устройствах из-за расширенных возможностей, предоставляемых этими службами. Outlook для iOS и Android поддерживает политики доступа к мобильным устройствам и почтовых ящиков мобильных устройств (ранее известные как политики активной синхронизации Exchange), которые доступны в Центре администрирования Exchange.

Outlook для iOS и Android поддерживает такие параметры политики почтовых ящиков мобильных устройств в Exchange:

• Шифрование устройства включено

• Минимальная длина пароля (только для Android)

• Пароль включен

• Разрешить Bluetooth (используется для управления носимым приложением Outlook для Android, когда политики защиты приложений Intune не используются)

  • Если этот параметр включен (он включен по умолчанию) или настроен для handsfreeOnly, синхронизация Outlook между устройством Android и носимым устройством будет разрешена для рабочей или учебной учетной записи.
  • Если этот параметр отключен, синхронизация Outlook между устройством Android и носимым устройством не допускается для рабочей или учебной учетной записи (и все ранее синхронизированные данные для учетной записи удаляются). Отключение синхронизации полностью контролируется в самом Outlook. Bluetooth не отключен на устройстве или носимом устройстве, а также не затрагивается любое другое носимое приложение.

Чтобы узнать, как создать или изменить имеющуюся политику почтовых ящиков мобильных устройств, см. статью Политики почтовых ящиков мобильных устройств в Exchange Online.

Администраторы Exchange также могут инициировать удаленную очистку устройств в Outlook для iOS и Android с помощью Центра администрирования Exchange. После получения запроса удаленной очистки приложение удаляет профиль Outlook и все связанные с ним данные.

Примечание.

Outlook для iOS и Android поддерживает только команду удаленной очистки данных и не поддерживает устройство удаленной очистки только для учетных записей , как определено в Центре администрирования Exchange. Дополнительные сведения о выполнении удаленной очистки см. в разделе Выполнение удаленной очистки на мобильном телефоне.

Дополнительные сведения о Microsoft Intune см. в документации по Microsoft Intune.