Zarządzanie dostępem do środowiska współpracy z obsługą wiadomości przy użyciu aplikacji Outlook dla systemów iOS i Android oraz usługi Microsoft IntuneManage messaging collaboration access by using Outlook for iOS and Android with Microsoft Intune

Aplikacja Outlook dla systemów iOS i Android została zaprojektowana, aby umożliwić użytkownikom w organizacji wykonywanie większej liczby zadań na swoich urządzeniach przenośnych, łącząc w sobie pocztę e-mail, kalendarz, kontakty oraz inne pliki.The Outlook for iOS and Android app is designed to enable users in your organization to do more from their mobile devices, by bringing together email, calendar, contacts, and other files.

Najbogatsze i najszersze możliwości ochrony danych platformy Microsoft 365 są dostępne, jeśli subskrybujesz pakiet Enterprise Mobility + Security, który obejmuje funkcje usług Microsoft Intune i Azure Active Directory (wersja Premium) takie jak dostęp warunkowy.The richest and broadest protection capabilities for Microsoft 365 data are available when you subscribe to the Enterprise Mobility + Security suite, which includes Microsoft Intune and Azure Active Directory Premium features, such as conditional access. W wersji minimum należy wdrożyć zasady dostępu warunkowego, które umożliwiają łączność z aplikacją Outlook dla systemów iOS i Android przy użyciu urządzeń przenośnych i zasad ochrony aplikacji usługi Intune, które zapewniają bezpieczne środowisko współpracy.At a minimum, you will want to deploy a conditional access policy that allows connectivity to Outlook for iOS and Android from mobile devices and an Intune app protection policy that ensures the collaboration experience is protected.

Stosowanie dostępu warunkowegoApply Conditional Access

Organizacje mogą używać zasad dostępu warunkowego usługi Azure AD, aby zagwarantować, że użytkownicy uzyskują dostęp do zawartości służbowej tylko przy użyciu aplikacji Outlook dla systemów iOS i Android.Organizations can use use Azure AD Conditional Access policies to ensure that users can only access work or school content using Outlook for iOS and Android. W tym celu potrzebne są zasady dostępu warunkowego, które dotyczą wszystkich potencjalnych użytkowników.To do this, you will need a conditional access policy that targets all potential users. Szczegółowe informacje dotyczące tworzenia tych zasad można znaleźć w artykule Wymaganie zasad ochrony aplikacji dla dostępu do aplikacji w chmurze za pomocą dostępu warunkowego.Details on creating this policy can be found in Require app protection policy for cloud app access with Conditional Access.

  1. Postępuj zgodnie z instrukcjami w punkcie „Krok 1: Konfigurowanie zasad dostępu warunkowego usługi Azure AD dla usługi Office 365” w Scenariusz 1: Aplikacje usługi Office 365 wymagają zatwierdzonych aplikacji z zasadami ochrony aplikacji, które umożliwiają używanie aplikacji Outlook dla systemów iOS i Android, a blokują nawiązywanie połączeń z punktami końcowymi usługi Exchange Online przez klientów programu Exchange ActiveSync z obsługą autoryzacji OAuth.Follow "Step 1: Configure an Azure AD Conditional Access policy for Office 365" in Scenario 1: Office 365 apps require approved apps with app protection policies, which allows Outlook for iOS and Android, but blocks OAuth capable Exchange ActiveSync clients from connecting to Exchange Online.

    Uwaga

    Dzięki tym zasadom użytkownicy urządzeń przenośnych mogą uzyskiwać dostęp do wszystkich punktów końcowych pakietu Office przy użyciu odpowiednich aplikacji.This policy ensures mobile users can access all Office endpoints using the applicable apps.

  2. Postępuj zgodnie z instrukcjami w punkcie „Krok 2: Konfigurowanie zasad dostępu warunkowego usługi Azure AD dla usługi Exchange Online z programem ActiveSync (EAS)” w Scenariusz 1: Aplikacje usługi Office 365 wymagają zatwierdzonych aplikacji z zasadami ochrony aplikacji, które uniemożliwiają klientom programu Exchange ActiveSync korzystającym z uwierzytelniania podstawowego nawiązanie połączenia z usługą Exchange Online.Follow "Step 2: Configure an Azure AD Conditional Access policy for Exchange Online with ActiveSync (EAS)" in Scenario 1: Office 365 apps require approved apps with app protection policies, which prevents Exchange ActiveSync clients leveraging basic authentication from connecting to Exchange Online.

    Powyższe zasady wykorzystują kontrolkę przyznawania Wymagaj zasad ochrony aplikacji, która zapewnia, że zasady ochrony aplikacji w usłudze Intune są stosowane do powiązanego konta w aplikacji Outlook dla systemów iOS i Android przed udzieleniem dostępu.The above policies leverage the grant control Require app protection policy, which ensures that an Intune App Protection Policy is applied to the associated account within Outlook for iOS and Android prior to granting access. Jeśli użytkownik nie jest przypisany do zasad ochrony aplikacji w usłudze Intune, nie ma licencji na usługę Intune lub aplikacja nie jest uwzględniona w zasadach ochrony aplikacji w usłudze Intune, zasady uniemożliwiają użytkownikowi uzyskanie tokenu dostępu i uzyskanie dostępu do danych dotyczących wiadomości.If the user isn't assigned to an Intune App Protection Policy, isn't licensed for Intune, or the app isn't included in the Intune App Protection Policy, then the policy prevents the user from obtaining an access token and gaining access to messaging data.

  3. Na koniec postępuj zgodnie z instrukcjami w artykule Instrukcje: Blokowanie starszego uwierzytelniania w usłudze Azure AD przy użyciu dostępu warunkowego, aby zablokować starsze uwierzytelnianie dla innych protokołów programu Exchange na urządzeniach z systemami iOS i Android. Te zasady powinny dotyczyć tylko aplikacji w chmurze usługi Microsoft Exchange Online oraz platformy urządzeń z systemami iOS i Android.Finally, follow How to: Block legacy authentication to Azure AD with Conditional Access to block legacy authentication for other Exchange protocols on iOS and Android devices; this policy should target only Microsoft Exchange Online cloud app and iOS and Android device platforms. Dzięki temu aplikacje mobilne korzystające z protokołów usług internetowych Exchange, IMAP4 lub POP3 z uwierzytelnianiem podstawowym nie mogą łączyć się z usługą Exchange Online.This ensures mobile apps using Exchange Web Services, IMAP4, or POP3 protocols with basic authentication cannot connect to Exchange Online.

Tworzenie zasad ochrony aplikacji usługi IntuneCreate Intune app protection policies

Zasady ochrony aplikacji określają, które aplikacje są dozwolone i jakie działania mogą wykonać na danych Twojej organizacji.App Protection Policies (APP) define which apps are allowed and the actions they can take with your organization's data. Opcje dostępne w zasadach ochrony aplikacji umożliwiają organizacjom dostosowanie poziomu zabezpieczeń do swoich potrzeb.The choices available in APP enable organizations to tailor the protection to their specific needs. Dla niektórych może nie być oczywiste, które ustawienia zasad są wymagane w celu wdrożenia kompletnego scenariusza.For some, it may not be obvious which policy settings are required to implement a complete scenario. Aby pomóc organizacjom w ustalaniu priorytetów związanych z ograniczaniem funkcjonalności punktu końcowego dla klientów mobilnych, firma Microsoft wprowadziła taksonomię ochrony danych aplikacji na potrzeby zarządzania aplikacjami mobilnymi w systemach iOS i Android.To help organizations prioritize mobile client endpoint hardening, Microsoft has introduced taxonomy for its APP data protection framework for iOS and Android mobile app management.

Struktura ochrony danych w zasadach ochrony aplikacji obejmuje trzy różne poziomy konfiguracji, a każdy poziom stanowi rozbudowanie poprzedniego:The APP data protection framework is organized into three distinct configuration levels, with each level building off the previous level:

  • Podstawowa ochrona danych przedsiębiorstwa (poziom 1) gwarantuje, że aplikacje są chronione kodem PIN i szyfrowane oraz że wykonywane są selektywne operacje czyszczenia danych.Enterprise basic data protection (Level 1) ensures that apps are protected with a PIN and encrypted and performs selective wipe operations. W przypadku urządzeń z systemem Android ten poziom obejmuje sprawdzanie poprawności zaświadczenia dotyczącego urządzenia z systemem Android.For Android devices, this level validates Android device attestation. Jest to konfiguracja na poziomie podstawowym, która zapewnia podobną kontrolę ochrony danych, jak zasady skrzynki pocztowej usługi Exchange Online, i wprowadza dział IT i użytkowników do zasad ochrony aplikacji.This is an entry level configuration that provides similar data protection control in Exchange Online mailbox policies and introduces IT and the user population to APP.
  • Rozszerzona ochrona danych przedsiębiorstwa (poziom 2) uzupełnia zasady ochrony aplikacji o mechanizmy zapobiegania wyciekowi danych i minimalne wymagania dotyczące systemu operacyjnego.Enterprise enhanced data protection (Level 2) introduces APP data leakage prevention mechanisms and minimum OS requirements. Ta konfiguracja ma zastosowanie do większości użytkowników mobilnych uzyskujących dostęp do danych służbowych.This is the configuration that is applicable to most mobile users accessing work or school data.
  • Wysoka ochrona danych przedsiębiorstwa (poziom 3) wprowadza zaawansowane mechanizmy ochrony danych, zaawansowaną konfigurację kodu PIN i usługę Mobile Threat Defense w ramach zasad ochrony aplikacji.Enterprise high data protection (Level 3) introduces advanced data protection mechanisms, enhanced PIN configuration, and APP Mobile Threat Defense. Ta konfiguracja jest zalecana dla użytkowników, którzy uzyskują dostęp do danych wysokiego ryzyka.This configuration is desirable for users that are accessing high risk data.

Aby zapoznać się z konkretnymi zaleceniami dla każdego poziomu konfiguracji i minimalnym zakresem aplikacji, które muszą być chronione, zapoznaj się z artykułem Struktura ochrony danych przy użyciu zasad ochrony aplikacji.To see the specific recommendations for each configuration level and the minimum apps that must be protected, review Data protection framework using app protection policies.

Bez względu na to, czy urządzenie jest zarejestrowane w rozwiązaniu do ujednoliconego zarządzania punktami końcowymi, zasady ochrony aplikacji usługi Intune muszą zostać utworzone zarówno dla aplikacji systemu iOS, jak i Android, według instrukcji zawartych w artykule Jak utworzyć i przypisać zasady ochrony aplikacji.Regardless of whether the device is enrolled in a unified endpoint management (UEM) solution, an Intune app protection policy needs to be created for both iOS and Android apps, using the steps in How to create and assign app protection policies. Te zasady muszą spełniać co najmniej następujące warunki:These policies, at a minimum, must meet the following conditions:

  1. Muszą obejmować wszystkie aplikacje mobilne platformy Microsoft 365, takie jak Microsoft Edge, Outlook, OneDrive, Office i Teams, ponieważ gwarantuje to, że użytkownicy mogą bezpiecznie uzyskiwać dostęp do danych służbowych i używać ich w ramach dowolnej aplikacji firmy Microsoft.They include all Microsoft 365 mobile applications, such as Edge, Outlook, OneDrive, Office, or Teams, as this ensures that users can access and manipulate work or school data within any Microsoft app in a secure fashion.

  2. Muszą być przypisane do wszystkich użytkowników.They are assigned to all users. Gwarantuje to, że chronieni są wszyscy użytkownicy, bez względu na to, czy używają aplikacji Outlook dla systemu iOS, czy Android.This ensures that all users are protected, regardless of whether they use Outlook for iOS or Android.

  3. Należy ustalić, który poziom struktury spełnia Twoje wymagania.Determine which framework level meets your requirements. Większość organizacji powinna wdrożyć ustawienia określone na poziomie 2, czyli w ramach rozszerzonej ochrony danych przedsiębiorstwa, ponieważ umożliwia to korzystanie z kontrolek ochrony i wymagań dotyczących dostępu.Most organizations should implement the settings defined in Enterprise enhanced data protection (Level 2) as that enables data protection and access requirements controls.

Więcej informacji na temat dostępnych ustawień można znaleźć w tematach Ustawienia zasad ochrony aplikacji dla systemu Android oraz Ustawienia zasad ochrony aplikacji dla systemu iOS.For more information on the available settings, see Android app protection policy settings and iOS app protection policy settings.

Ważne

Aby zastosować zasady ochrony aplikacji usługi Intune do aplikacji na urządzeniach z systemem Android, które nie są zarejestrowane w usłudze Intune, użytkownik musi również zainstalować aplikację Intune — Portal firmy.To apply Intune app protection policies against apps on Android devices that are not enrolled in Intune, the user must also install the Intune Company Portal. Aby uzyskać więcej informacji, zobacz Czego można oczekiwać, gdy aplikacja dla systemu Android jest zarządzana przy użyciu zasad ochrony aplikacji.For more information, see What to expect when your Android app is managed by app protection policies.

Korzystanie z konfiguracji aplikacjiUtilize app configuration

Aplikacja Outlook dla systemów iOS i Android obsługuje ustawienia aplikacji, które umożliwiają administratorom rozwiązań do ujednoliconego zarządzania punktami końcowymi, na przykład Microsoft Endpoint Manager, dostosowywanie działania aplikacji.Outlook for iOS and Android supports app settings that allow unified endpoint management, like Microsoft Endpoint Manager, administrators to customize the behavior of the app.

Konfiguracja aplikacji może być dostarczana za pośrednictwem kanału zarządzania urządzeniami mobilnymi (MDM) w systemie operacyjnym na zarejestrowanych urządzeniach (kanał konfiguracja aplikacji zarządzanych dla systemu iOS lub kanał system Android w przedsiębiorstwie dla systemu Android) lub za pośrednictwem kanału zasad ochrony aplikacji w usłudze Intune.App configuration can be delivered either through the mobile device management (MDM) OS channel on enrolled devices (Managed App Configuration channel for iOS or the Android in the Enterprise channel for Android) or through the Intune App Protection Policy (APP) channel. Aplikacja Outlook dla systemów iOS i Android obsługuje następujące scenariusze konfiguracji:Outlook for iOS and Android supports the following configuration scenarios:

  • Zezwalaj tylko na konta służboweOnly allow work or school accounts
  • Ogólne ustawienia konfiguracji aplikacjiGeneral app configuration settings
  • Ustawienia S/MIMES/MIME settings
  • Ustawienia ochrony danychData protection settings

Aby zapoznać się z określonymi krokami procedur i szczegółową dokumentacją dotyczącą ustawień konfiguracji aplikacji obsługiwanych przez program Outlook dla systemów iOS i Android, zobacz Deploying Outlook for iOS and Android app configuration settings (Wdrażanie ustawień konfiguracji aplikacji w programie Outlook dla systemów iOS i Android).For specific procedural steps and detailed documentation on the app configuration settings Outlook for iOS and Android supports, see Deploying Outlook for iOS and Android app configuration settings.

Następne krokiNext steps