通过

在 Exchange Online 中管理其上运行 Outlook for iOS 和 Outlook for Android 的设备

  • 项目

摘要:本文介绍在 Exchange Online 中使用 Outlook for iOS 和 Android 管理移动设备的最佳做法。

Outlook for iOS 和 Android 为用户提供快速、直观的电子邮件和日历体验,同时是唯一一款支持 Microsoft 365 和 Office 365 的最佳功能的应用。 此外,Microsoft还提供了许多实用工具,用于管理和保护Exchange Online组织中的移动设备上的公司数据。

用于管理设备和应用程序的选项

希望管理 Outlook for iOS 和 Android 的客户具有以下选项:

  1. 建议:企业移动性 + 安全性套件,其中包括Microsoft Intune和Microsoft Entra条件访问。

  2. Microsoft 365 的基本移动性和安全性。

  3. 第三方统一终结点管理解决方案。

  4. 移动设备访问和移动设备邮箱策略。

注意

有关这三个选项中的每一个选项的实现详细信息,请参阅在 Exchange Online 中保护 Outlook for iOS 和 Android

Microsoft建议客户使用企业移动性 + 安全性套件的功能来保护移动设备上的公司数据,因为这些服务提供了高级功能。

重要

当用户在 Outlook for iOS 和 Android 中进行身份验证时,如果向用户应用了任何Microsoft Entra条件访问策略,则会跳过Exchange Online移动设备访问规则 (允许、阻止或隔离) :

注意

使用移动设备 cmdlet(例如Get-MobileDevice)检查设备状态时,由 属性指示LastSyncTime的 Outlook for iOS 和 Android 同步时间戳可能最多落后实际同步时间 15 分钟。 虽然设备同步确实是实时发生的,但返回的时间戳可能会发生滞后。

使用 企业移动性 + 安全性

订阅 企业移动性 + 安全性 套件时,Microsoft 365 和Office 365数据提供最丰富、最广泛的保护功能。 此套件包括Microsoft Intune、Azure 信息保护以及Microsoft Entra ID P1 或 P2 功能,例如条件访问。

注意

虽然企业移动性 + 安全性套件订阅包括Microsoft Intune和Microsoft Entra ID的许可证,但客户可以单独购买Microsoft Intune许可证和Microsoft Entra ID P1 或 P2 许可证。 所有用户都必须获得许可才能利用本文中讨论的条件访问和Intune应用保护策略。

Intune提供移动应用程序管理 (MAM) 功能以及其他条件访问和设备管理功能。 使用Intune应用保护策略,可以限制Intune管理的应用与非托管应用之间的公司数据操作。 例如,剪切、复制、粘贴和“另存为”。有关详细信息,请参阅 如何创建和分配应用保护策略。 此外,Intune管理的 Outlook 应用包括新的多标识管理功能,使用户可以在同一 Outlook 应用中访问其个人和工作电子邮件帐户,同时仅将Intune应用保护策略应用于用户的工作帐户。 此功能提供更无缝的用户体验。

条件访问是Microsoft Entra ID的一项功能,使你能够根据特定条件集中强制实施应用访问控制。 通过使用条件访问策略,可以在所需的条件下应用正确的访问控制。 Microsoft Entra条件访问在需要此类安全性时提供额外的安全性,并且当它不是时,它不受用户限制。

企业移动性 + 安全性套件与 Outlook for iOS 和 Android 的主要功能:

  • 条件访问。 Microsoft Entra ID确保仅在满足条件访问要求时才能访问Exchange Online电子邮件。 有关设备注册的详细信息,请参阅 什么是条件访问?

  • Intune应用保护。 Outlook for iOS 和 Android 允许使用Intune应用保护策略来保护公司数据。 对于“自带设备” (BYOD,此方法是一个不错的选择,) 方案中,你希望在不管理用户设备的情况下保护公司数据的安全。 有关Intune应用保护策略的详细信息,请参阅使用移动应用管理策略Microsoft Intune保护应用数据

  • 设备注册。 Intune允许你管理员工设备和应用,以及他们访问公司数据的方式。 Outlook for iOS 和 Android 确保只能在托管且合规的手机和平板电脑上访问Exchange Online电子邮件。 当用户在非托管移动设备上登录到 Outlook 应用时,Outlook 会提示用户使用 Azure 条件访问策略在 Intune 中注册设备,然后验证设备是否符合组织的设备符合性标准。

  • 设备管理和报告。 注册过程允许组织设置和管理安全策略。 例如,强制实施设备级 PIN 锁定、要求数据加密和阻止泄露的设备,以防止不受信任的设备访问公司电子邮件和数据。 每个已注册的设备都显示在Microsoft 365 管理中心中,并且报告可用于提供有关访问公司数据的设备的详细信息。

  • 选择性擦除。 Microsoft Intune可以从 Outlook for iOS 和 Android 中删除电子邮件数据,同时使任何个人电子邮件帐户保持不变, (设备是否已注册) 。 随着越来越多的企业对手机和平板电脑采用“自带设备”方法,此功能越来越重要。

对 Microsoft 365 使用 基本移动性和安全性

Microsoft 365 的基本移动性和安全性免费提供设备管理功能。 Microsoft Intune为这些基本功能提供支持,在Microsoft 365 管理中心中为需要基础知识的组织提供一组核心控制。

即使注册了设备,也没有本机功能来控制可以使用哪些应用。 如果要限制对 Outlook for iOS 和 Android 的访问,则需要Microsoft Entra ID P1 或 P2 许可证才能使用条件访问策略。

Outlook for iOS 和 Android 完全支持 基本移动性和安全性 为 Microsoft 365 提供的功能。

有关详细信息,请参阅以下资源:

使用第三方统一终结点管理解决方案

第三方统一终结点管理提供商可以使用其现有工具部署任何 iOS 或 Android 应用的相同方式部署 Outlook for iOS 和 Android。 它们还可以应用重要的通用设备管理控制。 例如,设备 PIN、设备加密、设备擦除等。

第三方提供商还可以将某些应用配置设置(如帐户设置、组织允许的帐户模式和常规应用配置设置)部署到 Outlook for iOS 和 Android;有关详细信息,请参阅 部署 Outlook for iOS 和 Android 应用配置设置

例如,若要管理和保护应用中的公司数据 (例如,使用公司数据) 限制剪切、复制、粘贴和“另存为”操作,客户需要使用 Microsoft 的 企业移动性 + 安全性 套件。

使用移动设备访问和移动设备邮箱策略

Microsoft建议客户使用 企业移动性 + 安全性 套件或内置 基本移动性和安全性 Microsoft 365 来管理移动设备上的公司数据,因为这些服务提供了高级功能。 Outlook for iOS 和 Android 支持移动设备访问和移动设备邮箱策略, (以前称为 Exchange Active Sync 策略) ,这些策略可通过 Exchange 管理中心获取。

Outlook for iOS 和 Android 支持以下 Exchange 移动设备邮箱策略设置:

  • 启用设备加密

  • 仅在 Android) 上 (最小密码长度

  • 启用密码

  • Intune应用保护策略未使用时,允许蓝牙 (用于管理 Outlook for Android 可穿戴应用)

    • 如果启用此设置 (默认启用) 或配置了 HandsfreeOnly,则工作或学校帐户允许 Android 设备和可穿戴设备之间的 Outlook 同步。
    • 禁用此设置后,工作或学校帐户 (不允许 Android 设备和可穿戴设备之间的 Outlook 同步,) 删除该帐户的所有以前同步的数据。 禁用同步完全在 Outlook 内部进行控制。 蓝牙未在设备或可穿戴设备上禁用,任何其他可穿戴应用也不会受到影响。

有关如何创建或修改现有移动设备邮箱策略的信息,请参阅 Exchange Online 中的移动设备邮箱策略

Exchange 管理员还可以使用 Exchange 管理中心针对 Outlook for iOS 和 Android 启动远程设备擦除。 收到远程擦除请求后,应用会删除 Outlook 配置文件以及与它关联的所有数据。

注意

Outlook for iOS 和 Android 仅支持 擦除数据 远程擦除命令,不支持 Exchange 管理中心中定义的 仅帐户远程擦除设备 。 有关如何执行远程擦除的详细信息,请参阅 在移动电话上执行远程擦除

有关Microsoft Intune的详细信息,请参阅Microsoft Intune文档