使用 Intune 向设备添加电子邮件设置

Microsoft Intune 包括各种电子邮件设置，可将这些设置部署到组织中的设备。 Email设备配置文件包括电子邮件应用用于访问组织电子邮件的连接设置。

大多数平台在设备上都有本机或内置的电子邮件应用。 使用 Intune，可以配置内置电子邮件应用或部署连接到电子邮件系统的其他电子邮件应用，例如 Microsoft Exchange。 然后，最终用户在其设备上连接、进行身份验证和同步其组织电子邮件帐户。

通过创建和部署电子邮件配置文件，可以确认设置跨多个设备是标准的。 而且，有助于减少不知道正确电子邮件设置的最终用户的求助致电 。

可以使用电子邮件配置文件为以下设备配置电子邮件设置：

• Samsung Knox Standard 5.0 和更高版本上的 Android 设备管理员
• Android Enterprise 个人拥有的工作配置文件设备
• iOS 11.0 及更高版本
• iPadOS 13.0 及更高版本
• Windows 11
• Windows 10

本文介绍如何在 Microsoft Intune 中创建电子邮件配置文件。 此外，还包括指向不同平台的链接，以获得更具体的设置。

重要

Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后，设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理，建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息，请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。

开始之前

• 电子邮件配置文件是为注册设备的用户部署的。 若要配置电子邮件配置文件，Intune在注册期间使用用户的电子邮件配置文件中的 Microsoft Entra 属性。 组织使用的电子邮件应用必须支持Microsoft Entra标识。

• 电子邮件基于标识和用户设置。 通常会将电子邮件配置文件分配给用户组而非设备组。 注意事项：

  • 如果电子邮件配置文件包括用户证书，则将电子邮件配置文件分配给用户组。 可以分配多个用户证书配置文件。 这些配置文件创建了一个配置文件部署链。 将此配置文件链部署到用户组。

    如果此链中的一个配置文件部署到设备组，系统可能会持续提示用户输入其密码。

  • 如果没有主要用户或不知道该用户是谁，通常使用设备组。 面向设备组 (非用户组) Email配置文件可能不会传递到设备。

    例如，你的电子邮件配置文件针对全部为 iOS/iPadOS 设备的组。 请确保所有这些设备都有用户。

    • 如果任何设备都没有用户，则可能不会部署电子邮件配置文件。 然后限制该配置文件，这可能会丢失某些设备。
    • 如果设备具有主要用户，则部署到设备组应正常工作。

    如需深入了解使用设备组时可能出现的问题，请参阅电子邮件配置文件的常见问题。

步骤 1 - 部署电子邮件应用

在用户设备上，你决定可以连接到和访问组织电子邮件的电子邮件应用。 还需要确定组织允许的电子邮件应用，然后将电子邮件应用部署到用户。

部署电子邮件应用后，可以根据需要创建和部署电子邮件设备配置文件。 根据所选的平台和电子邮件应用，可以使用应用配置策略 或 电子邮件设备配置文件使用组织设置来预配置电子邮件应用。

本部分介绍一些常用的电子邮件应用，以及可用于每个平台的策略或配置文件类型。

Android Enterprise

在Intune，可以使用组织拥有的设备和个人拥有的设备：

• Android Enterprise 组织拥有的设备：组织拥有这些设备，这些设备已注册Intune，并且完全由你管理。

  这些设备具有内置电子邮件应用，在设备注册Intune时通常会隐藏该应用。 此行为还取决于 OEM，因此在你的设备上可能会有所不同。

  内置电子邮件应用也被视为系统应用。 有关系统应用和Intune的详细信息，请转到在 Microsoft Intune 中管理 Android Enterprise 系统应用。

• 具有工作配置文件的 Android Enterprise 个人拥有的设备：最终用户拥有这些设备。 用户注册其设备并自动创建工作配置文件。 你管理工作配置文件，包括工作配置文件中的应用和数据。

  有关个人设备的注册选项的详细信息，请转到 部署指南：注册 Android 设备 - BYOD：具有工作配置文件的 Android Enterprise 个人拥有的设备。

  这些个人设备具有通常不用于组织电子邮件的内置电子邮件应用。 使用条件访问 (CA) 的组织可以创建 CA 策略来阻止本机邮件应用，或仅允许特定应用。

适用于 Android Enterprise 的Email应用选项

在两种类型的 Android Enterprise 设备上，可以添加和部署电子邮件应用。 选项包括：

Outlook

Microsoft Outlook 应用在托管 Play 商店中提供。 若要将 Outlook 用作电子邮件应用，请将 Outlook 应用添加到Intune，并将该应用分配给用户或用户组。 应用也会安装。

部署并安装应用后：

• 如果要自定义 Outlook 或使用组织设置对其进行预配置，则可以 创建应用配置策略 (打开另一篇Microsoft文章) 。 策略准备就绪后，将此应用配置策略部署到用户或用户组。 应用配置策略是可选的。

• 如果不想为用户自定义 Outlook 或对其进行预配置，则无需执行该操作。 安装 Outlook 后，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

Gmail

Gmail 应用在托管 Play 商店中可用。 若要将 Gmail 用作电子邮件应用，请将 Gmail 应用添加到Intune，并将该应用分配给用户或用户组。 应用也会安装。

提示

如果你的个人资料使用 Gmail 并且你想要使用新式身份验证，则可能需要将 Google Chrome 应用部署到工作配置文件。

部署并安装应用后：

• 在 Android Enterprise 组织拥有的设备上：

  • 如果要自定义 Gmail 或使用组织设置对其进行预配置，则可以 创建应用配置策略 ， (打开另一篇Microsoft文章) 。 策略准备就绪后，将此应用配置策略部署到用户或用户组。 应用配置策略是可选的。

  • 如果你不想为用户自定义 Gmail 或对其进行预配置，则无需执行该操作。 安装 Gmail 后，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

• 在 具有工作配置文件的 Android Enterprise 个人拥有的设备上：

  • 如果要自定义 Gmail 或使用组织设置对其进行预配置，可以 创建电子邮件设备配置文件 ， (本文) 。 配置文件准备就绪后，将此电子邮件设备配置文件部署到用户或用户组。 配置文件包括将 Gmail 应用连接到电子邮件系统的设置，例如 Microsoft Exchange。 Email设备配置文件是可选的。

  • 如果你不想为用户自定义 Gmail 或对其进行预配置，则无需执行该操作。 安装 Gmail 后，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

九工时

托管 Play 商店中提供了 Nine Work 应用。 若要使用 Nine Work 作为电子邮件应用，请将 Nine Work 应用添加到Intune，并将该应用分配给用户或用户组。 应用也会安装。

部署并安装应用后：

• 在 Android Enterprise 组织拥有的设备上：

  • 如果要自定义 Nine Work 或使用组织设置对其进行预配置，则可以 创建应用配置策略 ， (打开另一篇Microsoft文章) 。 策略准备就绪后，将此应用配置策略部署到用户或用户组。 应用配置策略是可选的。

  • 如果不想为用户自定义 Nine Work 或对其进行预配置，则无需执行该操作。 安装 Nine Work 后，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

• 在 具有工作配置文件的 Android Enterprise 个人拥有的设备上：

  • 如果要自定义 Nine Work 或使用组织设置对其进行预配置，可以 创建电子邮件设备配置文件 ， (本文) 。 配置文件准备就绪后，将此电子邮件设备配置文件部署到用户或用户组。 配置文件包括将 Nine Work 应用连接到电子邮件系统的设置，例如 Microsoft Exchange。 Email设备配置文件是可选的。

  • 如果不想为用户自定义 Nine Work 或对其进行预配置，则无需执行该操作。 安装 Nine Work 后，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

其他电子邮件应用

托管 Play 商店中提供了支持Microsoft Entra标识的其他电子邮件应用。 若要使用这些电子邮件应用，请将应用添加到Intune，并将该应用分配给用户或用户组。 应用也会安装。

部署并安装应用后：

• 如果要自定义应用或使用组织设置对其进行预配置，则可以 创建应用配置策略 ， (打开另一篇Microsoft文章) 。 策略准备就绪后，将此应用配置策略部署到用户或用户组。 应用配置策略是可选的。

• 如果不想为用户自定义或预配置应用，则无需执行该操作。 安装应用后，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

有关应用配置策略的详细信息，请转到：

• Microsoft Intune 中的应用配置策略
• 为托管 Android Enterprise 设备添加应用配置策略
• 使用 Outlook for iOS 和 Android 和 Microsoft Intune 管理消息协作访问
• 在 Exchange Online 中部署 Outlook for iOS 和 Android 应用配置设置

提示

创建应用配置策略时，选择注册类型 - 托管设备 或 托管应用。 请确保知道要选择的内容。

有关这些选项的详细信息，请转到Microsoft Intune的应用配置策略。

iOS/iPadOS

在Intune，可以使用组织拥有的设备和个人拥有的设备：

• 组织拥有的设备：组织拥有这些设备，这些设备在Intune中注册，并完全由你管理。

• 个人拥有的设备：最终用户拥有这些设备。 用户可以在 Intune 中注册其整个设备，以便完全由你管理。 或者，他们只能注册访问组织数据的应用。

  有关个人设备的注册选项的详细信息，请转到 部署指南：注册 iOS 和 iPadOS 设备 - BYOD 用户和设备注册。

  根据个人设备的注册方法，还建议对电子邮件 应用使用应用保护策略 。

适用于 iOS/iPadOS 的Email应用选项

在所有 iOS/iPadOS 设备上，可以添加和部署电子邮件应用。 选项包括：

Outlook

App Store中提供了Microsoft Outlook 应用。 若要将 Outlook 用作电子邮件应用，请将 Outlook 应用添加到Intune，并将该应用分配给用户或用户组。 应用也会安装。

部署并安装应用后：

• 如果要自定义 Outlook 或使用组织设置对其进行预配置，则可以 创建应用配置策略 (打开另一篇Microsoft文章) 。 策略准备就绪后，将此应用配置策略部署到用户或用户组。 应用配置策略是可选的。

• 如果不想为用户自定义 Outlook 或对其进行预配置，则无需执行该操作。 安装 Outlook 后，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

内置邮件应用

内置邮件应用预安装在 OS 中，可用于访问个人电子邮件和组织电子邮件。 如果不想使用内置邮件应用，则使用条件访问 (CA) 的组织可以创建 CA 策略来阻止本机邮件应用。 或者，使用 CA 仅允许特定应用。

• 如果要自定义邮件应用或使用组织设置对其进行预配置，可以 创建电子邮件设备配置文件 ， (本文) 。 配置文件准备就绪后，将此电子邮件设备配置文件部署到用户或用户组。 配置文件包括将邮件应用连接到电子邮件系统的设置，例如 Microsoft Exchange。 Email设备配置文件是可选的。

• 如果不想为用户自定义邮件应用或对其进行预配置，则无需执行该操作。 若要将邮件应用用于组织电子邮件，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

其他电子邮件应用

App Store中提供了支持Microsoft Entra标识的其他电子邮件应用。 若要使用这些电子邮件应用，请将应用添加到Intune，并将该应用分配给用户或用户组。 应用也会安装。

部署并安装应用后：

• 如果要自定义应用或使用组织设置对其进行预配置，则可以 创建应用配置策略 ， (打开另一篇Microsoft文章) 。 策略准备就绪后，将此应用配置策略部署到用户或用户组。 应用配置策略是可选的。

• 如果不想为用户自定义或预配置应用，则无需执行该操作。 安装应用后，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

有关应用配置策略的详细信息，请转到：

• Microsoft Intune 中的应用配置策略
• 为托管iOS/iPadOS 设备添加应用配置策略
• 在 Exchange Online 中部署 Outlook for iOS 和 Android 应用配置设置

提示

创建应用配置策略时，选择注册类型 - 托管设备 或 托管应用。 请确保知道要选择的内容。

有关这些选项的详细信息，请转到Microsoft Intune的应用配置策略。

Windows 客户端

在Intune，可以使用组织拥有的设备和个人拥有的设备：

• 组织拥有的设备：组织拥有这些设备，这些设备在Intune中注册，并完全由你管理。

• 个人拥有的设备：最终用户拥有这些设备。 用户可以在 Intune 中注册其整个设备，以便完全由你管理。

  有关个人设备的注册选项的详细信息，请转到 部署指南：注册 Windows 设备 - BYOD：用户注册。

适用于 Windows 客户端的Email应用选项

在所有 Windows 设备上，可以添加和部署电子邮件应用。 选项包括：

Outlook

Microsoft 365 应用版套件中提供了Microsoft Outlook 应用。 若要将 Outlook 用作电子邮件应用，请将 Outlook 应用添加到Intune，并将该应用分配给用户或用户组。 应用也会安装。

部署并安装应用后：

• 如果要自定义 Outlook 或使用组织设置对其进行预配置，则可以创建 电子邮件设备配置文件 ， (本文) 。 配置文件准备就绪后，将此电子邮件设备配置文件部署到用户或用户组。 配置文件包括将 Outlook 应用连接到电子邮件系统的设置，例如 Microsoft Exchange。 Email设备配置文件是可选的。

• 如果不想为用户自定义 Outlook 或对其进行预配置，则无需执行该操作。 安装 Outlook 后，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

内置邮件应用

内置邮件应用预安装在 OS 中，可用于访问个人电子邮件和组织电子邮件。 如果不想使用内置邮件应用，则使用条件访问 (CA) 的组织可以创建 CA 策略来阻止本机邮件应用。 或者，使用 CA 仅允许特定应用。

• 如果要自定义邮件应用或使用组织设置对其进行预配置，可以 创建电子邮件设备配置文件 ， (本文) 。 配置文件准备就绪后，将此电子邮件设备配置文件部署到用户或用户组。 配置文件包括将邮件应用连接到电子邮件系统的设置，例如 Microsoft Exchange。 Email设备配置文件是可选的。

• 如果不想为用户自定义邮件应用或对其进行预配置，则无需执行该操作。 若要将邮件应用用于组织电子邮件，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

其他电子邮件应用

Microsoft 应用商店中提供了支持Microsoft Entra标识的其他电子邮件应用。 若要使用这些电子邮件应用，请将应用添加到Intune，并将该应用分配给用户或用户组。 应用也会安装。

部署并安装应用后：

• 如果要自定义电子邮件应用或使用组织设置对其进行预配置，可以 创建电子邮件设备配置文件 ， (本文) 。 配置文件准备就绪后，将此电子邮件设备配置文件部署到用户或用户组。 配置文件包括将电子邮件应用连接到电子邮件系统的设置，例如 Microsoft Exchange。 Email设备配置文件是可选的。

• 如果不想为用户自定义或预配置应用，则无需执行该操作。 安装应用后，用户需要输入连接到其工作或学校帐户的信息，例如电子邮件服务器链接等。

步骤 2 - 创建配置文件

将电子邮件应用分配给设备后，下一步将创建配置电子邮件连接的设备配置策略。 如果电子邮件应用使用应用配置策略来配置应用，请跳过此步骤。

1. 登录到Microsoft Intune 管理中心。

2. 选择“设备”>“管理设备”>“配置”>“创建”>“新策略”。

3. 输入以下属性：

   • 平台：选择设备的平台。 选项包括：

     • Android 设备管理员（仅限 Samsung Android Knox Standard）
     • Android Enterprise 个人拥有的工作配置文件
     • iOS/iPadOS
     • Windows 10 及更高版本

   • 配置文件类型：选择“Email”。 或者，选择“模板”>“电子邮件”。

4. 选择“创建”。

5. 在“基本信息”中，输入以下属性：

   • 名称：输入策略的描述性名称。 为策略命名，以便稍后可以轻松地识别它们。 例如，一个好的策略名称是 Windows 10/11: 适用于所有 Windows 10/11 设备的电子邮件设置。
   • 说明：输入配置文件的说明。 此设置是可选的，但建议进行。

6. 选择 下一步。

7. 在“配置设置”中，根据所选择的平台，可配置的设置有所不同。 选择平台，进行详细设置：

   • Android 设备管理员 (Samsung Knox Standard)
   • Android Enterprise
   • iOS/iPadOS
   • Windows 10/11

8. 选择 下一步。

9. 在“作用域标记”（可选）中，分配一个标记以将配置文件筛选到特定 IT 组（如 US-NC IT Team 或 JohnGlenn_ITDepartment）。 有关范围标记的详细信息，请参阅将 RBAC 和范围标记用于分布式 IT。

   选择 下一步。

10. 在“分配”中，选择可以接收配置文件的用户或设备组。 有关分配 配置文件的详细信息， 请参阅本文中的开始 () 。 分配用户和设备配置文件也提供了一些指导。

    选择 下一步。

11. 在“查看并创建”中查看设置。 选择“创建”时，将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

删除电子邮件配置文件

可以通过不同的方式从设备删除电子邮件配置文件，即使设备上只有一个电子邮件配置文件：

• 选项 1：打开电子邮件配置文件 (“设备>管理设备>配置> ”选择配置文件) ，然后选择“ 分配”。 “包含”选项卡将显示已分配配置文件的组。 右键单击“删除”组>。 务必保存你的更改。

• 选项 2：擦除或停用设备。 这些操作可用于有选择地或完全删除数据和设置。

保护电子邮件访问

可以使用以下选项来帮助保护电子邮件配置文件：

• 证书：创建电子邮件配置文件时，选择以前在 Intune 中创建的证书配置文件。 该证书又称为标识证书。 它根据受信任的证书配置文件（或根证书）进行身份验证，以确定用户的设备可以连接。 受信任的证书会分配到对电子邮件连接进行身份验证的计算机。 通常，此计算机是本机邮件服务器。

  如果对电子邮件配置文件使用基于证书的身份验证，则将电子邮件配置文件、证书配置文件和受信任的根配置文件部署到相同的组。 此部署可确保每台设备都能识别证书颁发机构的合法性。

  有关如何在 Intune 中创建和使用证书配置文件的详细信息，请参阅如何使用 Intune 配置证书。

• 用户名和密码 - 最终用户通过输入用户名和密码向本机邮件服务器进行身份验证。 电子邮件配置文件中不存在密码。 因此，最终用户需要在连接到电子邮件时输入密码。

Intune 如何处理现有电子邮件帐户

如果用户已配置电子邮件帐户，则电子邮件配置文件的分配方式因平台而异。

• Android 设备管理员 Samsung Knox Standard：根据电子邮件地址检测到现有的重复电子邮件配置文件，并用 Intune 配置文件覆盖它。 Android 不使用主机名验证配置文件。 请勿在不同主机上使用相同的电子邮件地址创建多个电子邮件配置文件。 配置文件相互覆盖。

• Android Enterprise 个人拥有的工作配置文件：Intune 提供了两个可以配置的 Android 工作电子邮件应用：Gmail 和 Nine Work。 这些应用在 Google Play 商店中提供，并且安装在个人拥有的工作配置文件中。 这些应用不会重复创建配置文件。 要使用电子邮件连接，请将其中某个电子邮件应用部署到用户的设备上。 然后，创建并部署电子邮件配置文件。

  还可以使用 Gmail 和 Nine Work 中的证书配置文件。 你创建的任何 Gmail 或 Nine Work 设备配置策略都将继续应用于该设备。 无需将它们移至应用配置策略。 Email应用（例如 Nine Work）可能不是免费的。 若有任何问题，请查看应用的许可详细信息或与应用公司联系。

• iOS/iPadOS：基于主机名和电子邮件地址检测到现有的重复电子邮件配置文件。 重复的电子邮件配置文件会阻止分配 Intune 配置文件。 在这种情况下，公司门户应用通知用户它们不符合要求，并提示最终用户手动删除已配置的配置文件。 为了有助于防止这种情况发生，请告诉最终用户在安装电子邮件配置文件前先注册，这样一来 Intune 就可以设置配置文件了。

• Windows：基于主机名和电子邮件地址检测到现有的重复电子邮件配置文件。 Intune 覆盖最终用户创建的现有电子邮件配置文件。

对已分配的电子邮件配置文件的更改

如果对以前分配的电子邮件配置文件进行更改，最终用户可能会看到一条消息，要求他们批准重新配置其电子邮件设置。

后续步骤

配置文件已创建，但它尚未起到任何作用。 下一步，分配配置文件并监视其状态。