Protezione di Outlook per iOS e Android in Exchange Online
Outlook per iOS e Android offre agli utenti l'esperienza di posta elettronica e calendario rapida e intuitiva che gli utenti si aspettano da un'app per dispositivi mobili moderna, pur essendo l'unica app a fornire supporto per le migliori funzionalità di Microsoft 365 o Office 365.
Proteggere l'azienda o i dati aziendali nei dispositivi mobili degli utenti è estremamente importante. Iniziare consultando Configurare Outlook per iOS e Android, per assicurarsi che gli utenti abbiano installato tutte le applicazioni necessarie. Successivamente, scegliere una delle opzioni seguenti per proteggere i dispositivi e i dati dell'organizzazione:
Consigliato: se l'organizzazione dispone di una sottoscrizione Enterprise Mobility + Security o ha ottenuto separatamente licenze per Microsoft Intune e Microsoft Entra ID P1 o P2, seguire la procedura descritta in Sfruttare Enterprise Mobility + Security suite per proteggere i dati aziendali con Outlook per iOS e Android per proteggere i dati aziendali con Outlook per iOS e Android.
Se l'organizzazione non dispone di una sottoscrizione Enterprise Mobility + Security o di licenze per Microsoft Intune e Microsoft Entra ID P1 o P2, seguire la procedura descritta in Sfruttare Mobilità e sicurezza di base per Microsoft 365 e usa le funzionalità di Mobilità e sicurezza di base incluse nell'abbonamento a Office 365 o Microsoft 365.
Seguire le istruzioni in Utilizzo dei criteri relativi ai dispositivi mobili di Exchange Online per l'implementazione dei criteri della cassetta postale di base del dispositivo mobile di Exchange e dei criteri di accesso al dispositivo.
Se, al contrario, non si desidera utilizzare Outlook per iOS e Android nella propria organizzazione, vedere Bloccare Outlook per iOS e Android.
Nota
Vedere Criteri di applicazione Exchange Web Services (EWS) più avanti in questo articolo se si preferisce implementare un criterio di applicazione EWS per gestire l'accesso ai dispositivi mobili nell'organizzazione.
Configurare Outlook per iOS e Android
Per i dispositivi registrati in una soluzione di gestione unificata degli endpoint (UEM), gli utenti useranno la soluzione UEM, come il Portale aziendale Intune, per installare le app necessarie: Outlook per iOS e Android e Microsoft Authenticator.
Per i dispositivi non registrati in una soluzione UEM, gli utenti devono installare:
Outlook per iOS e Android tramite l'App Store di Apple o Google Play Store
Microsoft Authenticator tramite l'App Store di Apple o Google Play Store
App del portale aziendale Intune tramite l'App Store di Apple o Google Play Store
Una volta installata l'app, seguire questi passaggi per aggiungere il proprio account di posta elettronica aziendale e configurare le impostazioni di base dell'app:
Configurare la posta elettronica nell'app Outlook per dispositivi mobili iOS
Configurare la posta elettronica nell'app Outlook per Android
Ottimizzare le app per dispositivi mobili di Outlook per iOS o telefono Android
Importante
Per sfruttare i criteri di accesso condizionale basati sulle app, è necessario installare l'app Microsoft Authenticator sui dispositivi iOS. Per i dispositivi Android è necessaria l'applicazione Intune Company Portal. Per ulteriori informazioni, vedere Accesso condizionale basato su app con Intune.
Utilizzo della famiglia di prodotti Enterprise Mobility + Security per proteggere i dati aziendali con Outlook per iOS e Android
Importante
L'elenco Consenti/Blocca/Quarantena (ABQ) non fornisce garanzie di sicurezza(se un client falsifia l'intestazione DeviceType, potrebbe essere possibile ignorare il blocco per un particolare tipo di dispositivo). Per limitare in modo sicuro l'accesso a tipi di dispositivo specifici, è consigliabile configurare i criteri di accesso condizionale. Per ulteriori informazioni, vedere Accesso condizionale basato su app con Intune.
Le funzionalità di protezione più avanzate e più ampie per i dati di Microsoft 365 e Office 365 sono disponibili quando si sottoscrive la suite Enterprise Mobility + Security, che include funzionalità di Microsoft Intune e Microsoft Entra ID P1 o P2, ad esempio l'accesso condizionale. È consigliabile implementare un criterio di accesso condizionale che consenta la connettività a Outlook per iOS e Android solo da dispositivi mobili e un criterio di protezione delle app di Intune che garantisca la protezione dei dati aziendali.
Nota
Anche se la sottoscrizione Enterprise Mobility + Security suite include sia Microsoft Intune che Microsoft Entra ID P1 o P2, i clienti possono acquistare licenze Microsoft Intune e Microsoft Entra ID Licenze P1 o P2 separatamente. È necessario che tutti gli utenti siano in possesso di una licenza per sfruttare i criteri di accesso condizionale e di protezione delle app di Intune discusse in questo articolo.
Bloccare tutte le app di posta elettronica ad eccezione di Outlook per iOS e Android utilizzando l'accesso condizionale
Quando un'organizzazione decide di standardizzare la modalità di accesso degli utenti ai dati di Exchange, utilizzando Outlook per iOS e Android come unica app di posta elettronica per gli utenti finali, è possibile configurare dei criteri di accesso condizionale in grado di bloccare altri metodi di accesso mobile. A tale scopo, sono necessari diversi criteri di accesso condizionale, con ogni criterio destinato a tutti i potenziali utenti. Questi criteri sono descritti in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app.
Seguire la procedura descritta in Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili. Questo criterio consente Outlook per iOS e Android, ma impedisce a OAuth e all'autenticazione di base Exchange ActiveSync client mobili di connettersi a Exchange Online.
Nota
Questo criterio garantisce che gli utenti mobili possano accedere a tutti gli endpoint di Microsoft 365 usando le app applicabili.
Seguire la procedura descritta in Blocca Exchange ActiveSync in tutti i dispositivi, impedendo la connessione a Exchange Online Exchange ActiveSync client che usano l'autenticazione di base nei dispositivi non mobili.
I criteri precedenti sfruttano il controllo di accesso di concessione Richiedi criteri di protezione delle app, che garantisce che un criterio di protezione delle app di Intune venga applicato all'account associato in Outlook per iOS e Android prima di concedere l'accesso. Se l'utente non è assegnato a un criterio di protezione delle app di Intune, non ha una licenza per Intune o l'app non è inclusa nei criteri di protezione delle app di Intune, il criterio impedisce all'utente di ottenere un token di accesso e ottenere l'accesso ai dati di messaggistica.
Seguire la procedura descritta in Bloccare l'autenticazione legacy con Microsoft Entra l'accesso condizionale per bloccare l'autenticazione legacy per altri protocolli di Exchange nei dispositivi iOS e Android. Questo criterio deve essere destinato solo Office 365 Exchange Online'app cloud e alle piattaforme per dispositivi iOS e Android. In questo modo le app per dispositivi mobili che usano i protocolli Exchange Web Services, IMAP4 o POP3 con autenticazione di base non possono connettersi a Exchange Online.
Nota
Dopo aver attivato i criteri di accesso condizionale, potrebbero essere necessarie fino a 6 ore per bloccare qualsiasi dispositivo mobile connesso in precedenza.
Quando l'utente esegue l'autenticazione in Outlook per iOS e Android, Exchange Online regole di accesso ai dispositivi mobili (consenti, blocca o quarantena) vengono ignorate se sono presenti criteri di accesso condizionale Microsoft Entra applicati all'utente che includono:
- Condizione dell'app cloud: Exchange Online o Office 365
- Condizione della piattaforma del dispositivo: iOS e/o Android
- Condizione delle app client: app per dispositivi mobili e client desktop
- Uno dei controlli di accesso concedi seguenti: Richiedi che il dispositivo sia contrassegnato come conforme, Richiedi app client approvata o Richiedi criteri di protezione delle app.
Per sfruttare i criteri di accesso condizionale basati sulle app, è necessario installare l'app Microsoft Authenticator sui dispositivi iOS. Per i dispositivi Android è necessaria l'applicazione Intune Company Portal. Per ulteriori informazioni, vedere Accesso condizionale basato su app con Intune.
Proteggere i dati aziendali in Outlook per iOS e Android usando i criteri di protezione delle app Intune
Le App Protection Policies (APP) definiscono quali app sono consentite e le azioni che possono compiere con i dati dell'organizzazione. Le scelte disponibili nella APP consentono alle organizzazioni di adattare la protezione alle loro esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo. Per aiutare le aziende a dare priorità alla protezione avanzata degli endpoint dei client per dispositivi mobili, Microsoft ha introdotto una tassonomia per il suo framework di protezione dei dati APP per la gestione delle app mobili iOS e Android.
Il framework di protezione dei dati APP è organizzato in tre livelli di configurazione distinti, ognuno dei quali si basa sul livello precedente:
- La protezione di base dei dati aziendali (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegue operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Si tratta di una configurazione di base che fornisce un controllo simile della protezione dei dati nei criteri delle caselle postali di Exchange Online e introduce l'IT e gli utenti all'APP.
- La protezione avanzata dei dati aziendali (livello 2) introduce i meccanismi di prevenzione delle perdite di dati dell'APP e i requisiti minimi del sistema operativo. Questa è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
- La protezione elevata dei dati aziendali (livello 3) introduce meccanismi avanzati di protezione dei dati, una migliore configurazione del PIN e l'APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.
Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.
Indipendentemente dal fatto che il dispositivo sia registrato in una soluzione UEM, è necessario creare criteri di protezione delle app di Intune per le app iOS e Android, seguendo la procedura descritta in Come creare e assegnare criteri di protezione delle app. È necessario che questi criteri soddisfino le seguenti condizioni:
Includono tutte le applicazioni per dispositivi mobili Microsoft, ad esempio Edge, OneDrive, Office o Teams, in quanto ciò garantisce che gli utenti possano accedere e modificare i dati aziendali o dell'istituto di istruzione all'interno di qualsiasi app Microsoft in modo sicuro.
Devono essere assegnati a tutti gli utenti. In questo modo tutti gli utenti vengono protetti, indipendentemente dal fatto che usino Outlook per iOS o Android.
Determinare quale livello di framework soddisfa i requisiti. La maggior parte delle organizzazioni dovrebbe implementare le impostazioni definite in Protezione avanzata dei dati aziendali (livello 2), in quanto consentono di controllare la protezione dei dati e i requisiti di accesso.
Per ulteriori informazioni sulle impostazioni disponibili, vedere Impostazioni dei criteri di protezione delle app di Android in Microsoft Intune e Impostazioni dei criteri di protezione delle app per iOS.
Importante
Per applicare i criteri di protezione delle app di Intune sulle app nei dispositivi Android non registrati in Intune, l'utente deve installare anche il Portale aziendale Intune. Per ulteriori informazioni, vedere Aspettative dalla gestione dell'app per Android con criteri di protezione delle app.
Sfruttare Mobilità e sicurezza di base per Microsoft 365
Se non si prevede di sfruttare la suite Enterprise Mobility + Security, è possibile usare Mobilità e sicurezza di base per Microsoft 365. Questa soluzione richiede che i dispositivi mobili siano registrati. Quando si tenta di accedere a Exchange Online con un dispositivo non registrato, all'utente viene impedito di accedere alla risorsa fino a quando non registra il dispositivo.
Poiché si tratta di una soluzione di gestione dei dispositivi, non esiste alcuna capacità nativa per controllare quali app possono essere utilizzate anche dopo la registrazione di un dispositivo. Se si vuole limitare l'accesso a Outlook per iOS e Android, è necessario ottenere Microsoft Entra ID licenze P1 o P2 e sfruttare i criteri di accesso condizionale illustrati in Bloccare tutte le app di posta elettronica ad eccezione di Outlook per iOS e Android usando l'accesso condizionale.
Un amministratore globale deve completare i passaggi seguenti per attivare e configurare la registrazione. Per i passaggi completi, vedere Configurare Mobilità e sicurezza di base. In breve, questi passaggi includono:
L'attivazione Mobilità e sicurezza di base seguendo la procedura descritta nel Centro sicurezza Microsoft 365.
Configurazione della gestione unificata degli endpoint tramite, ad esempio, la creazione di un certificato APN per gestire i dispositivi iOS.
La creazione di criteri per i dispositivi e la loro applicazione a gruppi di utenti. Quando si esegue questa operazione, gli utenti riceveranno un messaggio di registrazione sul dispositivo. Una volta completata la registrazione, i dispositivi saranno limitati in base ai criteri impostati.
Nota
I criteri e le regole di accesso creati in Mobilità e sicurezza di base sostituiscono sia i criteri cassetta postale dei dispositivi mobili di Exchange che le regole di accesso ai dispositivi creati nell'interfaccia di amministrazione di Exchange. Dopo la registrazione di un dispositivo in Mobilità e sicurezza di base, tutti i criteri cassetta postale del dispositivo mobile di Exchange o la regola di accesso al dispositivo applicata a tale dispositivo verranno ignorati.
Utilizzo dei criteri relativi ai dispositivi mobili di Exchange Online
Se non si prevede di sfruttare la famiglia di Enterprise Mobility + Security o la funzionalità Mobilità e sicurezza di base, è possibile implementare criteri cassetta postale per dispositivi mobili di Exchange per proteggere il dispositivo e regole di accesso al dispositivo per limitare la connettività del dispositivo.
Criteri cassetta postale per i dispositivi mobili
Outlook per iOS e Android supporta le seguenti impostazioni dei criteri cassetta postale per i dispositivi mobili in Exchange Online:
Crittografia del dispositivo abilitata
Lunghezza minima password (solo in Android)
Password abilitata
Consenti Bluetooth (usato per gestire l'app indossabile di Outlook per Android)
Quando AllowBluetooth è abilitato (comportamento predefinito) o configurato per HandsfreeOnly, la sincronizzazione indossabile tra Outlook nel dispositivo Android e Outlook sul dispositivo indossabile è consentita per l'account aziendale o dell'istituto di istruzione.
Quando AllowBluetooth è disabilitato, Outlook per Android disabiliterà la sincronizzazione tra Outlook nel dispositivo Android e Outlook sul dispositivo indossabile per l'account aziendale o dell'istituto di istruzione specificato (ed elimina tutti i dati sincronizzati in precedenza per l'account). La disabilitazione della sincronizzazione è controllata interamente all'interno di Outlook stesso; Il Bluetooth non è disabilitato sul dispositivo o indossabile né è interessata qualsiasi altra app indossabile.
Per informazioni su come creare o modificare un criterio cassetta postale esistente per dispositivi mobili, vedere Criteri cassetta postale di dispositivo mobile in Exchange Online.
Outlook per iOS e Android supporta inoltre le funzionalità di cancellazione dati nel dispositivo di Exchange Online. Con Outlook, una cancellazione remota cancella solo i dati all'interno dell'app Outlook stessa e non attiva una cancellazione completa del dispositivo. Per altre informazioni su come eseguire una cancellazione remota, vedere Eseguire una cancellazione remota su un telefono cellulare in Exchange Online.
Criteri di accesso al dispositivo
Outlook per iOS e Android dovrebbe essere abilitato per impostazione predefinita, ma in alcuni ambienti di Exchange Online esistenti l'app potrebbe essere bloccata per una serie di motivi. Una volta che un'organizzazione decide di standardizzare la modalità di accesso degli utenti ai dati di Exchange e la modalità di utilizzo di Outlook per iOS e Android come unica app di posta elettronica per gli utenti finali, è possibile configurare dei blocchi per altre app di posta elettronica in esecuzione sui dispositivi iOS e Android degli utenti. Sono disponibili due opzioni per istituire questi blocchi all'interno di Exchange Online: la prima consente di bloccare tutti i dispositivi e consente solo l'utilizzo di Outlook per iOS e Android; la seconda consente di impedire a singoli dispositivi di usare le app di Exchange ActiveSync native.
Nota
Poiché gli ID dispositivo non sono determinati da alcun ID di dispositivo fisico, possono cambiare senza preavviso. In questo caso, è possibile che le conseguenze impreviste quando gli ID dispositivo vengono utilizzati per la gestione di dispositivi utente, come dispositivi "consentiti" esistenti potrebbero essere bloccati o messi in quarantena da Exchange in modo imprevisto. Di conseguenza, è consigliabile che gli amministratori impostino solo criteri di accesso ai dispositivi mobili che consentono/bloccano i dispositivi in base al tipo di dispositivo o al modello di dispositivo.
Opzione 1: Bloccare tutte le app di posta elettronica ad eccezione di Outlook per iOS e Android utilizzando l'accesso condizionale
È possibile definire una regola di blocco predefinita e quindi configurare una regola di autorizzazione per Outlook per iOS e Android e per i dispositivi Windows usando i comandi di PowerShell Exchange Online seguenti. Questa configurazione impedisce a qualsiasi app nativa di Exchange ActiveSync di connettersi e consente solo Outlook per iOS e Android.
Creare la regola di blocco predefinita:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel BlockCreare una regola di assenso per Outlook per iOS e Android
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
Opzione 2: Bloccare le app di Exchange ActiveSync native su dispositivi Android e iOS
In alternativa, è possibile bloccare le app di Exchange ActiveSync native su specifici dispositivi Android e iOS o su altri tipi di dispositivi.
Verificare che non siano presenti regole di accesso ai dispositivi Exchange ActiveSync che bloccano Outlook per iOS e Android:
Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Format-Table Name, AccessLevel, QueryString -AutoSizeSe vengono rilevate eventuali regole di accesso ai dispositivi che bloccano Outlook per iOS e Android, digitare quanto segue per rimuoverle:
Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Remove-ActiveSyncDeviceAccessRuleÈ possibile bloccare la maggior parte dei dispositivi Android e iOS con i seguenti comandi:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel BlockNon tutti i produttori di dispositivi Android specificano "Android" come DeviceType. I produttori possono specificare un valore univoco con ogni versione. Per individuare altri dispositivi Android che accedono al proprio ambiente, eseguire il comando riportato di seguito per generare un report di tutti i dispositivi che hanno una relazione di Exchange ActiveSync attiva:
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csvCreare regole di blocco aggiuntive, a seconda dei risultati ottenuti con il passaggio 3. Se, ad esempio, si rileva che nel proprio ambiente vi è un utilizzo elevato di dispositivi Android HTCOne, è possibile creare una regola di accesso ai dispositivi Exchange ActiveSync che blocca tale dispositivo particolare, imponendo agli utenti di usare Outlook per iOS e Android. In questo esempio, digitare:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel BlockNota
Il parametro -QueryString non accetta caratteri jolly o corrispondenze parziali.
Risorse aggiuntive:
Bloccare Outlook per iOS e Android
Se non si vuole che gli utenti dell'organizzazione accervino i dati di Exchange con Outlook per iOS e Android, l'approccio da adottare dipende dall'uso di criteri di accesso condizionale Microsoft Entra o dei criteri di accesso ai dispositivi di Exchange Online.
Opzione 1: Bloccare l'accesso ai dispositivi mobili utilizzando un criterio di accesso condizionale
Microsoft Entra l'accesso condizionale non fornisce un meccanismo in base al quale è possibile bloccare in modo specifico Outlook per iOS e Android consentendo al contempo ad altri client Exchange ActiveSync. Detto questo, i criteri di accesso condizionale possono essere utilizzati per bloccare l'accesso ai dispositivi mobili in due modi:
Opzione A: bloccare l'accesso ai dispositivi mobili su entrambe le piattaforme iOS e Android
Opzione B: bloccare l'accesso ai dispositivi mobili su una piattaforma specifica per dispositivi mobili
Opzione A: bloccare l'accesso ai dispositivi mobili su entrambe le piattaforme iOS e Android
Per impedire l'accesso al dispositivo mobile per tutti gli utenti o un sottoinsieme di utenti utilizzando l'accesso condizionale, attenersi alla seguente procedura:
Creare criteri di accesso condizionale, con ogni criterio rivolto a tutti gli utenti o a un sottoinsieme di utenti tramite un gruppo di sicurezza. I dettagli sono in Criteri comuni di accesso condizionale: Richiedi app client approvate o criteri di protezione delle app.
Il primo criterio blocca l'accesso a Outlook per iOS e Android e la connessione a Exchange Online degli altri client di Exchange ActiveSync che supportano OAuth. Vedere "Passaggio 1 - Configurare un Microsoft Entra criteri di accesso condizionale per Exchange Online", ma per il quinto passaggio scegliere Blocca accesso.
Il secondo criterio impedisce ai client di Exchange ActiveSync che sfruttano l'autenticazione di base di connettersi a Exchange Online. Vedere "Passaggio 2 - Configurare un criterio di accesso condizionale Microsoft Entra per Exchange Online con ActiveSync (EAS)."
Opzione B: bloccare l'accesso ai dispositivi mobili su una piattaforma specifica per dispositivi mobili
Per impedire a una piattaforma specifica per dispositivi mobili di connettersi a Exchange Online, consentendo a Outlook per iOS e Android di collegarsi utilizzando tale piattaforma, creare i seguenti criteri di accesso condizionale, con ciascun criterio indirizzato a tutti gli utenti. I dettagli sono in Criteri comuni di accesso condizionale: Richiedi app client approvate o criteri di protezione delle app.
Il primo criterio consente l'accesso a Outlook per iOS e Android sulla piattaforma specifica per dispositivi mobili e blocca la connessione a Exchange Online dei client di Exchange ActiveSync che supportano OAuth. Vedere "Passaggio 1- Configurare un Microsoft Entra criteri di accesso condizionale per Exchange Online", ma per il passaggio 4a selezionare solo la piattaforma di dispositivi mobili desiderata ,ad esempio iOS, a cui si vuole consentire l'accesso.
Il secondo criterio blocca l'app sulla piattaforma specifica per dispositivi mobili e la connessione a Exchange Online dei client di Exchange ActiveSync che supportano OAuth. Vedere "Passaggio 1 - Configurare un Microsoft Entra criteri di accesso condizionale per Exchange Online", ma per il passaggio 4a selezionare solo la piattaforma di dispositivi mobili desiderata (ad esempio Android) a cui si vuole bloccare l'accesso e, per il passaggio 5, scegliere Blocca accesso.
Il terzo criterio impedisce ai client di Exchange ActiveSync che sfruttano l'autenticazione di base di connettersi a Exchange Online. Vedere "Passaggio 2 - Configurare un criterio di accesso condizionale Microsoft Entra per Exchange Online con ActiveSync (EAS)."
Opzione 2: Bloccare Outlook per iOS e Android utilizzando le regole di accesso ai dispositivi mobili di Exchange
Se si gestisce l'accesso del dispositivo mobile tramite le regole di accesso ai dispositivi di Exchange Online, sono disponibili due opzioni:
Opzione A: Bloccare Outlook per iOS e Android su entrambe le piattaforme iOS e Android
Opzione B: Bloccare Outlook per iOS e Android su una piattaforma specifica del dispositivo mobile
Ogni organizzazione di Exchange ha diversi criteri relativi alla sicurezza e un dispositivo di gestione. Se un'organizzazione decide che Outlook per iOS e Android non soddisfa le proprie esigenze o non è la soluzione migliore, gli amministratori possono bloccare l'app. Una volta bloccata l'app, gli utenti di dispositivi mobili Exchange nell'organizzazione possono continuare ad accedere alle proprie cassette postali utilizzando le applicazioni di posta elettronica integrate su iOS e Android.
Il New-ActiveSyncDeviceAccessRule cmdlet ha un Characteristic parametro e sono disponibili tre Characteristic opzioni che gli amministratori possono usare per bloccare l'app Outlook per iOS e Android. Le opzioni sono UserAgent, DeviceModel e DeviceType. Nelle due opzioni di blocco descritte nelle sezioni seguenti, si utilizza uno o più di questi valori caratteristica per limitare l'accesso di Outlook per iOS e Android alle cassette postali nell'organizzazione.
I valori per ogni caratteristica sono visualizzati nella tabella seguente:
| Caratteristica | Stringa per iOS | Stringa per Android |
|---|---|---|
| DeviceModel | Outlook per iOS e Android | Outlook per iOS e Android |
| Devicetype | Outlook | Outlook |
| UserAgent | Outlook-iOS/2.0 | Outlook-Android/2.0 |
Opzione A: bloccare Outlook per iOS e Android su entrambe le piattaforme iOS e Android
Con il New-ActiveSyncDeviceAccessRule cmdlet è possibile definire una regola di accesso al dispositivo, usando la DeviceModel caratteristica o DeviceType . In entrambi i casi, la regola di accesso consente di bloccare Outlook per iOS e Android in tutte le piattaforme e di impedire che un dispositivo, sulla piattaforma iOS e sulla piattaforma Android, acceda a una cassetta postale di Exchange tramite l'app.
Di seguito sono riportati due esempi di regola di accesso dei dispositivi. Il primo esempio usa la DeviceModel caratteristica . Il secondo esempio usa la DeviceType caratteristica .
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
Opzione B: Bloccare Outlook per iOS e Android su una piattaforma specifica del dispositivo mobile
Con la UserAgent caratteristica, è possibile definire una regola di accesso al dispositivo che blocca Outlook per iOS e Android in una piattaforma specifica. Questa regola impedisce che un dispositivo utilizzi Outlook per iOS e Android per connettersi sulla piattaforma specificata. Gli esempi seguenti illustrano come usare il valore specifico del dispositivo per la UserAgent caratteristica.
Per bloccare Android e consentire iOS:
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow
Per bloccare iOS e consentire Android:
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block
controlli Exchange Online
Oltre a Microsoft Endpoint Manager, Mobilità e sicurezza di base per Microsoft 365 ed Exchange, è possibile gestire l'accesso che i dispositivi mobili hanno alle informazioni nell'organizzazione tramite vari controlli Exchange Online, nonché se consentire agli utenti l'accesso ai componenti aggiuntivi all'interno di Outlook per iOS e Android.
Criteri di applicazione Exchange Web Services (EWS)
I criteri di applicazione EWS consentono di controllare se le applicazioni sono autorizzate a sfruttare l'API REST o meno. Si noti che quando si configurano i criteri di applicazione EWS che consentono solo l'accesso di applicazioni specifiche all'ambiente della messaggistica, è necessario aggiungere la stringa agente utente per Outlook per iOS e Android all'elenco Consenti di EWS.
Nell'esempio seguente viene mostrato come aggiungere le stringhe agente utente all'elenco Consenti di EWS:
Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}
Controlli utente di Exchange
Con la tecnologia di sincronizzazione Microsoft nativa, gli amministratori possono controllare l'utilizzo di Outlook per iOS e Android a livello di cassetta postale. Per impostazione predefinita, gli utenti possono accedere ai dati delle cassette postali usando Outlook per iOS e Android. L'esempio seguente illustra come disabilitare l'accesso alla cassetta postale di un utente con Outlook per iOS e Android:
Set-CASMailbox jane@contoso.com -OutlookMobileEnabled $false
Gestione dei componenti aggiuntivi
Outlook per iOS e Android consente agli utenti di integrare le app e i servizi più diffusi con il client di posta elettronica. I componenti aggiuntivi per Outlook sono disponibili sul Web, Windows, Mac e dispositivi mobili. Poiché i componenti aggiuntivi vengono gestiti tramite Microsoft 365 o Office 365, gli utenti possono condividere dati e messaggi tra Outlook per iOS e Android e il componente aggiuntivo non gestito (anche quando l'account è gestito da un criterio di Protezione app di Intune), a meno che i componenti aggiuntivi non siano disattivati per l'utente all'interno del interfaccia di amministrazione di Microsoft 365.
Se si vuole impedire agli utenti finali di accedere ai componenti aggiuntivi di Outlook e installarne uno (che interessa tutti i client Di Outlook), eseguire le modifiche seguenti ai ruoli nel interfaccia di amministrazione di Microsoft 365:
- Per impedire agli utenti di installare un componente aggiuntivo dell'Office Store, rimuovere il ruolo Marketplace di tali utenti.
- Per impedire agli utenti di caricare i componenti aggiuntivi, rimuovere il ruolo App personalizzate.
- Per impedire agli utenti di installare tutti i componenti aggiuntivi, rimuovere entrambi i ruoli App personalizzate e Marketplace personale.
Per altre informazioni, vedere Componenti aggiuntivi per Outlook e Come gestire la distribuzione dei componenti aggiuntivi nel interfaccia di amministrazione di Microsoft 365.