使用適用於 iOS 和 Android 的 Outlook 搭配 Microsoft Intune 來管理傳訊共同作業存取
iOS 版 Outlook 和 Android 應用程式的設計目的是要讓組織中的使用者透過將電子郵件、行事歷、連絡人和其他檔案結合在一起,從其行動裝置執行更多動作。
當您訂閱 Enterprise Mobility + Security 套件時,可以使用 Microsoft 365 資料最豐富且最廣泛的保護功能,其中包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能,例如條件式存取。 您至少會想要部署條件式存取原則,以允許從行動裝置連線到iOS和Android版 Outlook,以及可確保共同作業體驗受到保護的 Intune 應用程式保護原則。
套用條件式存取
組織可以使用 Microsoft Entra 條件式存取原則,以確保使用者只能使用iOS版和Android版 Outlook 存取公司或學校內容。 若要這樣做,您需要以所有潛在使用者為目標的條件式存取原則。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。
請遵循使用行動 裝置要求核准的用戶端應用程式或應用程式保護原則中的步驟。 此原則允許適用於 iOS 和 Android 的 Outlook,但會封鎖 Exchange ActiveSync 行動用戶端連線到 Exchange Online 的 OAuth 和基本身份驗證。
注意事項
此原則可確保行動裝置使用者可以使用適用的應用程式存取所有 Microsoft 365 端點。
請遵循封鎖所有裝置上的 Exchange ActiveSync 中的步驟,以防止 Exchange ActiveSync 在非行動裝置上使用基本身份驗證的用戶端連線到 Exchange Online。
上述原則會利用授與訪問控制需要應用程式保護原則,以確保在授與存取權之前,Intune 應用程式保護原則會套用至 iOS 和 Android 版 Outlook 內的相關聯帳戶。 如果未將使用者指派給 Intune 應用程式保護原則、未獲得 Intune 授權,或應用程式未包含在 Intune 應用程式保護原則中,則原則會防止使用者取得存取令牌並取得傳訊數據的存取權。
請遵循如何:封鎖舊版驗證以使用條件式存取 Microsoft Entra ID,以封鎖 iOS 和 Android 裝置上其他 Exchange 通訊協定的舊版驗證;此原則應僅以 Microsoft Exchange Online 雲端應用程式和 iOS 和 Android 裝置平臺為目標。 這可確保使用具有基本身份驗證之 Exchange Web 服務、IMAP4 或 POP3 通訊協定的行動應用程式無法連線到 Exchange Online。
注意事項
若要使用應用程式型條件式存取原則,必須在 iOS 裝置上安裝 Microsoft Authenticator 應用程式。 對於 Android 裝置,則會要求 Intune Company Portal 應用程式。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取。
建立 Inunte 應用程式防護原則
應用程式防護原則 (APP) 定義允許哪些應用程式,以及這些應用程式可以對組織資料執行什麼動作。 APP 中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動裝置用戶端端點強化的優先順序,Microsoft 為其 iOS 和 Android 版行動裝置應用程式管理的 APP 資料保護架構推出了分類法。
APP 資料保護架構會組織成三個不同的設定層級,其中每個層級會根據上一個層級來建置:
- 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 和使用者母體引入 APP。
- 企業增強的資料保護 (層級 2) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
- 企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定,以及 APP 行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。
若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構。
無論裝置是否已在整合端點管理 (UEM) 解決方案中註冊,都必須使用 如何建立和指派應用程式防護原則 中的步驟,為 iOS 和 Android 應用程式建立 Intune 應用程式防護原則。 這些原則至少必須符合下列條件:
它們包含所有 Microsoft 365 行動應用程式,例如 Edge、Outlook、OneDrive、Office 或 Teams,因為這可確保使用者可以安全的方式存取及操作任何 Microsoft 應用程式內的工作或學校資料。
這些應用程式已經指派給所有使用者。 這可確保所有使用者都受到保護,無論他們使用iOS版或Android版 Outlook。
判斷哪個架構層級符合您的需求。 大部分的組織都應該實作 企業增強型資料保護 (層級 2) 中定義的設定,以啟用資料保護和存取需求控制。
如需可用設定的詳細資訊,請參閱 Android 應用程式防護原則設定 和 iOS 應用程式防護原則設定。
重要事項
若要對 Intune 中已註冊 Android 裝置上的應用程式套用 Intune 應用程式防護原則,使用者也必須安裝 Intune Company Portal。
使用應用程式設定
iOS 和 Android 版 Outlook 支援可讓統一端點管理系統管理員自定義應用程式行為的應用程式設定。 Microsoft Intune 是統一的端點管理解決方案,通常用來設定應用程式並指派給組織使用者。
應用程式設定可以透過已註冊裝置上的行動裝置管理 (MDM) 作業系統通道 (適用于 iOS 的 受管理的應用程式設定 通道或適用于 Android 的 Android 企業版 通道) 或透過 Intune 應用程式防護原則 (APP) 通道傳遞。 iOS 和 Android 版 Outlook 支援下列設定案例:
- 只允許公司或學校帳戶
- 一般應用程式組態設定
- S/MIME 設定
- 資料保護設定
如需 iOS 和 Android 版 Outlook 支援的應用程式組態設定的特定程式步驟和詳細檔,請參閱 部署 iOS 版 Outlook 和 Android 應用程式組態設定。