Managing devices for Outlook for iOS and Android for Exchange ServerManaging devices for Outlook for iOS and Android for Exchange Server

Résumé: cet article explique comment gérer les appareils mobiles avec Outlook pour iOS et Android dans Exchange locaux organisation lors de l’utilisation de l’authentification de base avec le protocole Exchange ActiveSync.Summary: This article describes how to manage mobile devices with Outlook for iOS and Android in your Exchange on-premises organization when using Basic authentication with the Exchange ActiveSync protocol.

Microsoft recommande l'utilisation d'Exchange ActiveSync pour gérer les appareils mobiles utilisés pour accéder aux boîtes aux lettres Exchange dans votre environnement local. Exchange ActiveSync est un protocole de synchronisation de Microsoft Exchange qui autorise les téléphones mobiles à accéder aux informations d'une organisation situées sur un serveur exécutant Microsoft Exchange.Microsoft recommends Exchange ActiveSync for managing the mobile devices that are used to access Exchange mailboxes in your on-premises environment. Exchange ActiveSync is a Microsoft Exchange synchronization protocol that lets mobile phones access an organization's information on a server that's running Microsoft Exchange.

Cet article se concentre sur spécifiques Exchange ActiveSync fonctionnalités et scénarios pour les appareils mobiles exécutant Outlook pour Android et iOS lors de l’authentification avec l’authentification de base. Obtenir des informations complètes sur le protocole de synchronisation de Microsoft Exchange sont disponibles dans Exchange ActiveSync. En outre, il est plus d’informations sur Le Blog Office détaillant les mots de passe et d’autres avantages de l’utilisation d’Exchange ActiveSync avec les appareils exécutant Outlook pour iOS et Android.This article focuses on specific Exchange ActiveSync features and scenarios for mobile devices running Outlook for Android and iOS when authenticating with Basic authentication. Complete information about the Microsoft Exchange synchronization protocol is available in Exchange ActiveSync. In addition, there is information on the Office Blog detailing password enforcement and other benefits of using Exchange ActiveSync with devices running Outlook for iOS and Android.

Code confidentiel et chiffrement de l'appareilPIN lock and device encryption

Si la stratégie Exchange ActiveSync de votre organisation exige que les utilisateurs entrent un mot de passe sur leur appareil mobile pour synchroniser des e-mails, Outlook applique cette stratégie au niveau de l'appareil. Cela fonctionne différemment sur les appareils iOS et Android, selon les contrôles fournis par Apple et Google.If your organization's Exchange ActiveSync policy requires a password on mobile devices in order for users to synchronize email, Outlook will enforce this policy at the device level. This works differently between iOS devices and Android devices, based on the available controls provided by Apple and Google.

Sur les appareils iOS, Outlook vérifie qu'un code secret ou un code confidentiel est correctement défini. Si aucun code secret n'est défini, Outlook invite les utilisateurs à créer un code secret dans les paramètres d'iOS. Tant que le code secret n'est pas défini, l'utilisateur ne peut pas accéder à Outlook pour iOS.On iOS devices, Outlook checks to make sure a passcode or PIN is properly set. In the event a passcode is not set, Outlook prompts users to create a passcode in iOS settings. Until the passcode is setup, the user will be unable to access Outlook for iOS.

Outlook pour iOS s’exécute uniquement sur iOS 10.0 ou version ultérieure. Ces périphériques sont livrés avec le chiffrement intégré, dont Outlook utilise une fois que le mot de passe est activé pour chiffrer toutes les données Qu'outlook stocke localement sur l’appareil iOS. Par conséquent, les appareils iOS avec un code confidentiel seront chiffrés si cela est requis par une stratégie ActiveSync ou non.Outlook for iOS only runs on iOS 10.0 or later. These devices are shipped with built-in encryption, which Outlook uses once the passcode is enabled to encrypt all the data Outlook stores locally on the iOS device. Therefore, iOS devices with a PIN will be encrypted whether or not this is required by an ActiveSync policy.

Sur les appareils Android, Outlook doit appliquer les règles de verrouillage de l'écran. De plus, Google fournit des contrôles qui permettent à Outlook pour Android de respecter les stratégies d'Exchange concernant la longueur et la complexité des mots de passe, ainsi que le nombre de tentatives de déverrouillage de l'écran autorisé avant de réinitialiser le téléphone. Outlook pour Android encourage également le chiffrement du stockage s'il n'est pas activé. Des instructions détaillées sont proposées aux utilisateurs pour l'activer.On Android devices, Outlook will enforce screen lock rules. In addition, Google provides controls that allow Outlook for Android to comply with Exchange policies regarding password length and complexity, and the number of allowable screen-unlock attempts before wiping the phone. Outlook for Android will also encourage storage encryption if it is not enabled, guiding users through this process with a step-by-step walkthrough.

Les appareils iOS et Android qui ne prennent pas en charge ces paramètres de sécurité des mots de passe ne pourront pas se connecter à une boîte aux lettres Exchange.iOS and Android devices that do not support these password security settings will not be able to connect to an Exchange mailbox.

Réinitialisation à distance avec Exchange ActiveSyncRemote wipe with Exchange ActiveSync

Exchange ActiveSync permet aux administrateurs de réinitialiser des appareils à distance, par exemple s'ils ne sont plus sécurisés. Avec Outlook pour iOS et Android, seule l'application Outlook est réinitialisée à distance, et non tout l'appareil.Exchange ActiveSync enables administrators to remotely wipe devices, such as if they become compromised. With Outlook for iOS and Android, a remote wipe is done on the Outlook app itself, and not a full device wipe.

Lorsque l'administrateur lance une réinitialisation à distance, celle-ci se produit lors de la prochaine connexion de l'application Outlook à Exchange, dans les secondes suivant la connexion. L'application Outlook se réinitialise et l'ensemble des e-mails, calendriers, contacts et données de fichiers Outlook est supprimé de l'appareil, ainsi que du service Outlook. La réinitialisation n'affecte pas les applications et les informations personnelles de l'utilisateur qui se trouvent en dehors d'Outlook.After the remote wipe command is requested by the administrator, the wipe happens within seconds of the Outlook app's next connection to Exchange. The Outlook app will reset and all Outlook email, calendar, contacts, and files data will be removed from the device, as well as from the Outlook service. The wipe will not affect any of the user's personal apps and information outside of Outlook.

Étant donné qu'Outlook pour iOS et Android s'affiche dans Exchange en tant qu'association d'appareil mobile unique dans la liste des appareils mobiles de l'utilisateur, une demande de réinitialisation à distance supprime les données et les relations de synchronisation de tous les appareils exécutant Outlook (iPhone, iPad, Android) associés à cet utilisateur.Since Outlook for iOS and Android appears as a single mobile device association under a user's mobile devices in Exchange, a remote wipe command will remove data and delete sync relationships from all devices running Outlook (iPhone, iPad, Android) associated with that user.

Note

En raison de l'architecture informatique qui supporte Outlook pour iOS et Android, le résultat de la réinitialisation à distance n'est pas envoyé à Exchange. Même lorsque la réinitialisation à distance est réussie, le statut affiché est En attente. Il s'agit d'un problème connu ; une solution est en cours de développement.Due to the cloud architecture behind Outlook for iOS and Android, the result of a remote device wipe is not reported back to Exchange. Even when the wipe is successful, the status will display as Pending. This is a known issue and a solution is being developed.

Identificateurs d'appareils et contrôle d'accèsDevice identifiers and access control

En raison de l'architecture informatique d'Outlook pour iOS et Android, les connexions Outlook apparaissent dans Exchange sous la forme d'un identificateur (ID) unique associé à l'appareil mobile de chaque utilisateur. Ainsi, les contrôles d'accès de l'appareil mobile de l'utilisateur s'appliquent à tous les appareils associés à l'ID de cet appareil. Cette implémentation crée deux conditions qui diffèrent du fonctionnement classique des contrôles d'accès des appareils dans Exchange ActiveSync.Due to the cloud-based architecture of Outlook for iOS and Android, Outlook connections appear as a single mobile device identifier (ID) for each user in Exchange. This means mobile device access controls for each user are applied to all devices associated with this device ID. This implementation creates two conditions that are different from how traditional Exchange ActiveSync device access controls work.

  • Bloquer: une règle de blocage bloque Outlook sur tous les appareils et tous les systèmes d'exploitation pris en charge. Vous ne pouvez pas bloquer des appareils ou des systèmes d'exploitation individuels.Block: a block rule blocks Outlook on all devices and supported operating systems. You cannot block individual devices or operating systems.

  • Mise en quarantaine: le processus de mise en quarantaine dépend de l'utilisateur, et non de l'appareil. Lorsque l'appareil d'un utilisateur est libéré de quarantaine, Outlook peut être installé et configuré sur autant d'appareils que vous le souhaitez. Dans la mesure où l'utilisateur a été libéré de quarantaine, tous les nouveaux appareils associés à cet utilisateur ne seront pas mis en quarantaine.Quarantine: the quarantine process works on a per-user basis, rather than a per-device basis. Once a user has a device released from quarantine, they can install and configure Outlook on as many additional devices as they like. Because the user has been released from quarantine, any new devices associated with that user will not be quarantined.

Dès leur mise en place, les stratégies de boîte aux lettres d'appareil mobile s'appliquent à tous les appareils associés. Par conséquent, si vous appliquez un code confidentiel pour une boîte aux lettres spécifique, tous les appareils qui se connecteront à cette boîte aux lettres nécessiteront un code confidentiel.When mobile device mailbox policies are in place, they apply to all associated devices. Therefore, if you enforce a PIN lock for a specific mailbox, all devices that connect to that mailbox will require a PIN.

Blocage d'Outlook pour iOS et AndroidBlocking Outlook for iOS and Android

Si vous ne voulez pas que les utilisateurs dans votre organisation Exchange sur site pour accéder aux données avec Outlook pour iOS et Android à l’aide de l’authentification de base, cette section explique comment bloquer l’application.If you don't want users in your Exchange on-premises organization to access data with Outlook for iOS and Android using Basic authentication, this section explains how to block the app.

Chaque organisation Exchange a différentes stratégies en matière de gestion de sécurité et des périphériques. Si une organisation décide que Outlook pour iOS et Android ne répond pas à leurs besoins ou ne sont pas la meilleure solution pour les pour une raison quelconque, les administrateurs peuvent bloquer l’application à l’aide de stratégies de gestion des périphériques Exchange ActiveSync. Pour plus d’informations sur la configuration d’Exchange ActiveSync, consultez Contrôler l’accès aux appareils . Écrans de gestion d’Exchange ActiveSync, l’application Outlook est identifiée en tant que DeviceModel : « Outlook pour iOS et Android » ou DeviceType : « Outlook ».Every Exchange organization has different policies regarding security and device management. If an organization decides that Outlook for iOS and Android doesn't meet their needs or is not the best solution for them for any reason, administrators can block the app using Exchange ActiveSync device management policies. See Controlling Device Access for complete information on configuring Exchange ActiveSync. In Exchange ActiveSync management screens, the Outlook app is identified as DeviceModel: 'Outlook for iOS and Android' or DeviceType: 'Outook'.

Note

Étant donné que les ID d’appareil ne sont pas régis par n’importe quel ID d’appareil physique, ils peuvent changer sans préavis. Lorsqu’une modification se produit, elle peut entraîner des conséquences inattendues si les ID d’appareil sont utilisés pour gérer les appareils des utilisateurs, car les appareils « autorisés » existants peuvent être inopinément bloqués ou mis en quarantaine par Exchange. Par conséquent, nous recommandons aux administrateurs de définir uniquement des stratégies d’appareil mobile qui autorisent/bloquent les appareils en fonction du type d’appareil ou du modèle d’appareil.Because device IDs are not governed by any physical device ID, they can change without notice. When this happens, it can cause unintended consequences when device IDs are used for managing user devices, as existing 'allowed' devices may be unexpectedly blocked or quarantined by Exchange. Therefore, we recommend administrators only set mobile device policies that allow/block devices based on device type or device model.

Les utilisateurs Exchange de votre organisation peuvent continuer d’utiliser les applications Outlook sur le web pour iPhone/iPad/Android ou les applications de messagerie intégrées sur iOS et Android pour accéder à leur boîte aux lettres Exchange.Exchange users in your organization can continue using Outlook on the web for iPhone/iPad/Android apps, or the built-in mail apps on iOS and Android, to access their Exchange mailboxes.

Voici un exemple de quoi ressemble une règle de périphériques dans PowerShell après sa création dans le centre d’administration Exchange.The following is an example of what a device rule looks like in PowerShell after it's created in the Exchange admin center.

Exemple de règle de périphérique dans PowerShell.

FAQ sur la gestion des appareils dans Exchange ActiveSyncDevice management with Exchange ActiveSync FAQ

Vous trouverez ci-dessous les questions fréquemment posées concernant les mots de passe, les codes confidentiels et les stratégies de chiffrement pour les appareils exécutant Outlook pour iOS et Android.The following are frequently asked questions about passwords, PINs, and encryption policies for devices running Outlook for iOS and Android.

L'application de messagerie native d'iOS applique les stratégies d'Exchange ActiveSync concernant les obligations de longueur et de complexité des mots de passe. Pourquoi Outlook ne les applique-t-il pas ?The native Mail application on iOS enforces Exchange ActiveSync policies for password length and complexity requirements. Why doesn't Outlook?

Outlook utilise les contrôles du développeur d’applications tiers destinés à Microsoft. Nous continuerons d’améliorer cette fonctionnalité dans la mesure où Apple met de plus en plus de contrôles à la disposition des développeurs.Outlook takes advantage of the third-party application developer controls that are available to Microsoft. We will continue to improve this capability as Apple makes more controls available to developers.

Pourquoi Outlook pour iOS et Android exige des codes confidentiels au niveau de l’appareil, et non au niveau de l’application ?Why does Outlook for iOS and Android enforce PINs at the device level, rather than the app level?

Après avoir évalué les fonctionnalités disponibles dans iOS et Android, Microsoft estime que l'application d'un code confidentiel au niveau de l'appareil offre la meilleure expérience aux clients, que ce soit au niveau du confort d'utilisation que de la sécurité. En mettant en place un code confidentiel au niveau de l'application, les utilisateurs devraient entrer deux codes confidentiels différents pour accéder à leurs e-mails, ce qui pourrait nuire à l'expérience de l'utilisateur. Par ailleurs, en mettant en place un code confidentiel au niveau de l'appareil, nous pouvons utiliser des fonctionnalités telles que le chiffrement natif de l'appareil, TouchID sur iOS et Smart Lock sur Android. La réinitialisation à distance est toujours activée au niveau de l'application, ce qui signifie que les applications et les données personnelles des utilisateurs ne sont pas affectées lors de la réinitialisation d'Outlook.After evaluating the capabilities available in iOS and Android, Microsoft believes a device-level PIN delivers the best experience for customers, in terms of both convenience and security. An app-level PIN means users have to enter two different PINs in order to access email, which may not be desirable. Further, a device- level PIN means we can take advantage of features like native device encryption, TouchID on iOS, and Smart Lock on Android. Remote wipe is still implemented at the app level, which means users' personal applications and data will not be affected when Outlook is wiped.

Est Outlook pour Android prise en charge le chiffrement ?Does Outlook for Android support device encryption?

Oui, Outlook pour Android prend en charge le chiffrement via des stratégies de boîte aux lettres Exchange appareil mobile. Cependant, avant 7.0 Android, la disponibilité et l’implémentation de ce processus varie selon le fabricant de matériel et du système d’exploitation Android, qui autorise l’utilisateur à annuler au cours du processus de chiffrement. Avec les modifications apportée par Google Android 7.0, Outlook pour Android est maintenant en mesure d’appliquer le chiffrement sur les appareils Android 7.0 ou version ultérieure. Les utilisateurs de périphériques qui exécutent ces systèmes d’exploitation ne sera pas en mesure d’annuler le processus de chiffrement.Yes, Outlook for Android supports device encryption via Exchange mobile device mailbox policies. However, prior to Android 7.0, the availability and implementation of this process varies by Android OS version and device manufacturer, which allow the user to cancel out during the encryption process. With changes that Google introduced to Android 7.0, Outlook for Android is now able to enforce encryption on devices running Android 7.0 or later. Users with devices running those operating systems will not be able to cancel out of the encryption process.

Même si l’appareil Android n’est pas chiffrée et une personne malveillante est en possession du périphérique, dans la mesure où un code confidentiel du périphérique est activé, la base de données Outlook reste inaccessible. Cela est vrai même avec débogage USB est activé et le Kit de développement Android installé. Si une personne malveillante tente de la racine de l’appareil pour contourner le code confidentiel pour accéder à ces informations, le processus racine efface le stockage des périphériques et supprime toutes les données Outlook. Si le périphérique est non chiffré et fait en sorte que par l’utilisateur avant le vol, il est possible pour une personne malveillante d’accéder à la base de données Outlook en activant USB débogage sur l’appareil et brancher le périphérique sur un ordinateur avec le Kit de développement Android installé.Even if the Android device is unencrypted and an attacker is in possession of the device, as long as a device PIN is enabled, the Outlook database remains inaccessible. This is true even with USB debugging enabled and the Android SDK installed. If an attacker attempts to root the device to bypass the PIN to gain access to this information, the rooting process wipes all device storage and removes all Outlook data. If the device is unencrypted and rooted by the user prior to being stolen, it is possible for an attacker to gain access to the Outlook database by enabling USB debugging on the device and plugging the device into a computer with the Android SDK installed.