Защита Outlook для iOS и Android в Exchange Online

Outlook для iOS и Android предоставляет пользователям быстрый и интуитивно понятный интерфейс электронной почты и календаря, который пользователи ожидают от современных мобильных приложений, в то же время являясь единственным приложением для поддержки лучших функций Microsoft 365 или Office 365.

Очень важно защитить данные компании или организации на мобильных устройствах пользователей. Сначала ознакомьтесь с разделом Настройка Outlook для iOS и Android, чтобы убедиться в наличии у пользователей всех требуемых приложений. После этого выберите один из следующих вариантов, чтобы защитить свои устройства и данные своей организации:

1. Рекомендуется. Если у вашей организации есть подписка на Enterprise Mobility + Security или вы получили отдельное лицензирование для Microsoft Intune и Microsoft Entra ID P1 или P2, выполните действия, описанные в разделе Использование лицензий. Enterprise Mobility + Security набор для защиты корпоративных данных с помощью Outlook для iOS и Android для защиты корпоративных данных с помощью Outlook для iOS и Android.

2. Если у вашей организации нет подписки на Enterprise Mobility + Security или лицензирования для Microsoft Intune и Microsoft Entra ID P1 или P2, выполните действия, описанные в статье Использование Базовая мобильность и безопасность для Microsoft 365 и используйте возможности Базовая мобильность и безопасность, включенные в подписку на Office 365 или Microsoft 365.

3. Следуя указаниям, приведенным в разделе Использование политик мобильных устройств Exchange Online, внедрите основные политики почтовых ящиков мобильных устройств и доступа к устройствам Exchange.

С другой стороны, если вы не хотите использовать Outlook для iOS и Android в организации, см. раздел Блокировка Outlook для iOS и Android.

Примечание.

См. раздел Политики приложений веб-служб Exchange (EWS) далее в этой статье, если для управления доступом к мобильным устройствам в вашей организации вы хотите внедрить политику приложений EWS.

Настройка Outlook для iOS и Android

Для устройств, зарегистрированных в решении единого управления конечными точками (UEM), пользователи будут использовать решение UEM, например Корпоративный портал Intune, для установки необходимых приложений: Outlook для iOS и Android и Microsoft Authenticator.

Для устройств, которые не зарегистрированы в решении UEM, пользователям необходимо установить:

• Outlook для iOS и Android через Apple App Store или Google Play Маркет;

• Microsoft Authenticator через Apple App Store или Google Play Маркет;

• Корпоративный портал Intune через Apple App Store или Google Play Маркет.

Установив приложение, пользователи могут добавить свою корпоративную учетную запись электронной почты, а также настроить основные параметры приложения. Для этого необходимо выполнить действия, перечисленные в следующих статьях:

• Настройка электронной почты в приложении Outlook для iOS на мобильном устройстве

• Настройка электронной почты в приложении Outlook для Android

• Оптимизация мобильного приложения Outlook для телефона с iOS или Android

Важно!

Чтобы можно было применять политики условного доступа для приложений на устройствах с iOS, должно быть установлено приложение Microsoft Authenticator. Для устройств с Android требуется приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.

Использование набора Enterprise Mobility + Security для защиты корпоративных данных с помощью Outlook для iOS и Android

Важно!

Список разрешений, блокировки и карантина (ABQ) не предоставляет никаких гарантий безопасности (если клиент подделал заголовок DeviceType, можно обойти блокировку для определенного типа устройства). Чтобы безопасно ограничить доступ определенными типами устройств, рекомендуется настроить политики условного доступа. Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.

Самые широкие возможности защиты microsoft 365 и Office 365 данных доступны при подписке на набор Enterprise Mobility + Security, который включает функции Microsoft Intune и Microsoft Entra ID P1 или P2, такие как условный доступ. По крайней мере необходимо развернуть политику условного доступа, которая разрешает подключаться к Outlook для iOS и Android только с мобильных устройств, и политику защиты приложений Intune, обеспечивающую защиту корпоративных данных.

Примечание.

Хотя подписка на набор Enterprise Mobility + Security включает как Microsoft Intune, так и Microsoft Entra ID P1 или P2, клиенты могут приобрести лицензии Microsoft Intune и Microsoft Entra ID Лицензии P1 или P2 отдельно. Чтобы применялись политики условного доступа и защиты приложений Intune, которые рассматриваются в этой статье, все пользователи должны получить лицензии.

Блокировка всех почтовых приложений, кроме Outlook для iOS и Android, с помощью условного доступа

Чтобы стандартизировать доступ пользователей к данным Exchange, используя в качестве почтового приложения только Outlook для iOS и Android, можно настроить политику условного доступа, блокирующую другие способы доступа с мобильных устройств. Для этого потребуется несколько политик условного доступа, каждая из которых ориентирована на всех потенциальных пользователей. Эти политики описаны в разделе Условный доступ: требовать утвержденные клиентские приложения или политику защиты приложений.

1. Выполните действия, описанные в разделе Требовать утвержденные клиентские приложения или политику защиты приложений с мобильных устройств. Эта политика разрешает Outlook для iOS и Android, но блокирует подключение OAuth и базовой проверки подлинности Exchange ActiveSync мобильных клиентов к Exchange Online.

   Примечание.

   Эта политика гарантирует, что мобильные пользователи могут получить доступ ко всем конечным точкам Microsoft 365 с помощью соответствующих приложений.

2. Выполните действия, описанные в разделе Блокировать Exchange ActiveSync на всех устройствах, чтобы клиенты Exchange ActiveSync, использующие обычную проверку подлинности, не подключались к Exchange Online.

   В приведенных выше политиках используется политика предоставления доступа Требовать защиту приложений, которая гарантирует, что политика защиты приложений Intune будет применена к связанной учетной записи в Outlook для iOS и Android перед предоставлением доступа. Если пользователю не назначена политика защиты приложений Intune, он не лицензирован для Intune или приложение не включено в политику защиты приложений Intune, политика запрещает пользователю получать маркер доступа и получать доступ к данным обмена сообщениями.

3. Выполните действия, описанные в разделе Блокировать устаревшую проверку подлинности с помощью Microsoft Entra условный доступ, чтобы заблокировать устаревшую проверку подлинности для других протоколов Exchange на устройствах iOS и Android. Эта политика должна быть ориентирована только на Office 365 Exchange Online облачных приложений, а также платформ устройств iOS и Android. Это гарантирует, что мобильные приложения, использующие веб-службы Exchange, протоколы IMAP4 или POP3 с базовой проверкой подлинности, не смогут подключаться к Exchange Online.

Примечание.

После включения политик условного доступа блокировка всех ранее подключенных мобильных устройств может занять до 6 часов.

Когда пользователь проходит проверку подлинности в Outlook для iOS и Android, Exchange Online правила доступа к мобильному устройству (разрешение, блокировка или карантин) пропускаются, если к пользователю применяются какие-либо Microsoft Entra политики условного доступа, в том числе:

• Условие облачного приложения: Exchange Online или Office 365
• Условие платформы устройства: iOS и (или) Android
• Условие клиентских приложений: мобильные приложения и классический клиент
• Один из следующих элементов управления предоставлением доступа: Требовать, чтобы устройство было помечено как соответствующее требованиям, Требовать утвержденное клиентское приложение или Требовать политику защиты приложений.

Чтобы можно было применять политики условного доступа для приложений на устройствах с iOS, должно быть установлено приложение Microsoft Authenticator. Для устройств с Android требуется приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.

Защита корпоративных данных в Outlook для iOS и Android с помощью политик защиты приложений Intune

Политики защиты приложений (APP) указывают, какие приложения разрешены и какие действия эти приложения могут выполнять над данными вашей организации. Доступные в APP параметры позволяют организациям адаптировать систему безопасности в соответствии с конкретными потребностями. Однако они могут затруднить выбор параметров политик, необходимых для реализации полного сценария. Чтобы помочь организациям расставить приоритеты в отношении защиты клиентских конечных точек, корпорация Майкрософт представила новую таксономию для платформы защиты данных с APP для управления мобильными приложениями iOS и Android.

Платформа защиты данных c APP разделена на три разных уровня конфигурации, где каждый следующий уровень строится на предыдущем.

• Базовая защита корпоративных данных (уровень 1) обеспечивает защиту приложений с помощью ПИН-кода и шифрования и выполняет операции выборочной очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Это минимальная конфигурация, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online и предлагает ИТ-специалистам и пользователям возможности APP.
• Расширенная защита корпоративных данных (уровень 2) предоставляет механизмы APP для защиты от утечки данных и поддерживает минимальные требования к ОС. Эта конфигурация подходит большинству пользователей мобильных устройств, обращающихся к рабочим или учебным данным.
• Высокий уровень защиты корпоративных данных (уровень 3) предоставляет механизмы для расширенной защиты данных, улучшенную конфигурацию ПИН-кодов и политики защиты от угроз на мобильных устройствах. Эта конфигурация является рекомендуемой для пользователей, работающих с данными с высоким уровнем риска.

Конкретные рекомендации для каждого уровня конфигурации и минимальный список приложений, защиту которых необходимо обеспечить, см. в статье Использование политик защиты приложений на платформе защиты данных.

Независимо от того, зарегистрировано ли устройство в решении UEM, необходимо создать политику защиты приложений Intune для приложений iOS и Android, выполнив действия, описанные в разделе Создание и назначение политик защиты приложений. Эти политики должны по крайней мере отвечать указанным ниже требованиям.

1. К ним относятся все мобильные приложения Майкрософт, такие как Edge, OneDrive, Office или Teams, так как это позволит пользователям безопасно получать доступ к рабочим или учебным данным в любом приложении Майкрософт и управлять ими.

2. Она назначена всем пользователям. Это гарантирует защиту всех пользователей, независимо от того, используют ли они Outlook для iOS или Android.

3. Определите, какой уровень платформы соответствует вашим требованиям. Большинству организаций следует реализовать параметры, определенные в разделе Корпоративная расширенная защита данных (уровень 2), так как это обеспечивает управление требованиями к защите данных и доступу.

Дополнительные сведения о доступных параметрах см. в разделе Параметры политики защиты приложений Android в Microsoft Intune и параметры политики защиты приложений iOS.

Важно!

Чтобы применять политики защиты приложений с использованием Intune к приложениям на устройствах с Android, не зарегистрированных в Intune, пользователь также должен установить приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Что следует ожидать, когда приложение Android управляется политиками защиты приложений.

Использование Базовая мобильность и безопасность для Microsoft 365

Если вы не планируете использовать набор Enterprise Mobility + Security, можно использовать Базовая мобильность и безопасность для Microsoft 365. Это решение требует зарегистрировать мобильные устройства. Если вы попытаетесь получить доступ к Exchange Online с незарегистрированного устройства, вы не сможете получить доступ к ресурсу, пока не зарегистрируете устройство.

Так как это решение для управления устройствами, в нем не предусмотрена возможность выбирать, какие приложения можно использовать, даже после регистрации устройства. Если вы хотите ограничить доступ к Outlook для iOS и Android, необходимо получить Microsoft Entra ID лицензий P1 или P2 и использовать политики условного доступа, которые описаны в разделе Блокировать все почтовые приложения, кроме Outlook для iOS и Android, используя условный доступ.

Глобальный администратор должен выполнить следующие действия, чтобы активировать и настроить регистрацию. Подробные инструкции см. в разделе Настройка Базовая мобильность и безопасность. В общем, вам нужно сделать вот что:

1. Активация Базовая мобильность и безопасность, выполнив действия в Центре безопасности Microsoft 365.

2. Настройка единого управления конечными точками путем, например, создания сертификата APNs для управления устройствами iOS.

3. создать политики устройств и применить их к группам пользователей. Когда вы сделаете это, на устройства пользователей придет сообщение о регистрации. После завершения регистрации их устройства будут ограничены политиками, которые настроили вы.

Примечание.

Политики и правила доступа, созданные в Базовая мобильность и безопасность, переопределяют политики почтовых ящиков мобильных устройств Exchange и правила доступа к устройствам, созданные в Центре администрирования Exchange. После регистрации устройства в Базовая мобильность и безопасность любая политика почтового ящика мобильных устройств Exchange или правило доступа к устройству, применяемые к нему, будут игнорироваться.

Использование политик мобильных устройств Exchange Online

Если вы не планируете использовать набор Enterprise Mobility + Security или функциональность Базовая мобильность и безопасность, вы можете реализовать политику почтовых ящиков мобильных устройств Exchange для защиты устройства и правила доступа к устройствам, чтобы ограничить подключение устройства.

Политика почтовых ящиков мобильных устройств

Outlook для iOS и Android поддерживает вот какие параметры политики почтовых ящиков мобильных устройств в Exchange Online:

• Шифрование устройства включено

• Минимальная длина пароля (только для Android)

• Пароль включен

• Разрешить Bluetooth (используется для управления носимым приложением Outlook для Android)

  • Если allowBluetooth включен (поведение по умолчанию) или настроено для HandsfreeOnly, синхронизация носимых устройств между Outlook на устройстве Android и Outlook на носимых устройствах разрешена для рабочей или учебной учетной записи.

  • Если параметр AllowBluetooth отключен, Outlook для Android отключит синхронизацию между Outlook на устройстве Android и Outlook на носимом устройстве для указанной рабочей или учебной учетной записи (и удалит все данные, синхронизированные ранее для учетной записи). Отключение синхронизации полностью контролируется в самом Outlook; Bluetooth не отключен на устройстве или носимом устройстве, а также не затрагивается любое другое носимое приложение.

Чтобы узнать, как создать или изменить имеющуюся политику почтовых ящиков мобильных устройств, см. статью Политики почтовых ящиков мобильных устройств в Exchange Online.

Кроме того, Outlook для iOS и Android поддерживает Exchange Online возможность очистки устройств. При использовании Outlook удаленная очистка очищает только данные в самом приложении Outlook и не активирует полную очистку устройства. Дополнительные сведения о выполнении удаленной очистки см. в статье Выполнение удаленной очистки на мобильном телефоне в Exchange Online.

Политика доступа с устройств

Обычно приложение Outlook для iOS и Android включено по умолчанию, но в некоторых средах Exchange Online оно может быть заблокировано по разным причинам. Чтобы стандартизировать доступ пользователей к данным Exchange и использовать Outlook для iOS и Android в качестве единственного почтового приложения, заблокируйте другие почтовые приложения на устройствах пользователей с iOS и Android. В Exchange Online вы можете заблокировать все почтовые приложения, кроме Outlook для iOS и Android, на всех устройствах или запретить отдельным устройствам использовать собственные приложения Exchange ActiveSync.

Примечание.

Так как идентификаторы устройств не зависят от идентификаторов физических устройств, они могут меняться без уведомления. Это может привести к неожиданным последствиям, например разрешенные устройства могут быть неожиданно заблокированы или помещены в карантин Exchange. Поэтому мы рекомендуем администраторам устанавливать только политики доступа к мобильным устройствам, которые разрешают или блокируют устройства в зависимости от типа или модели устройства.

Способ 1. Блокировка всех почтовых приложений, кроме Outlook для iOS и Android

Вы можете определить правило блока по умолчанию, а затем настроить правило разрешений для Outlook для iOS и Android, а также для устройств Windows, используя следующие Exchange Online команд PowerShell. После этого все собственные приложения Exchange ActiveSync, кроме Outlook для iOS и Android, будут заблокированы.

1. Создайте правило блокировки по умолчанию:

   Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
   

2. Создайте правило, разрешающее Outlook для iOS и Android:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
   

Способ 2. Блокировка собственных приложений Exchange ActiveSync на устройствах с Android и iOS

Кроме того, вы можете заблокировать собственные приложения Exchange ActiveSync на определенных устройствах с Android и iOS или других устройствах.

1. Убедитесь, что правила доступа к устройству Exchange ActiveSync не блокируют Outlook для iOS и Android:

   Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Format-Table Name, AccessLevel, QueryString -AutoSize
   

   Если такие правила обнаружены, введите следующую команду, чтобы удалить их:

   Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Remove-ActiveSyncDeviceAccessRule
   

2. Вы можете заблокировать большинство устройств с Android и iOS с помощью следующих команд:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
   

3. Не все производители устройств Android указывают "Android" как тип устройства. Изготовители могут указывать уникальное значение для каждой версии. Чтобы найти другие устройства с Android, которые подключаются к вашей среде, выполните указанную ниже команду, чтобы создать отчет обо всех устройствах, активно взаимодействующих с Exchange ActiveSync.

   Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
   

4. Создайте дополнительные правила блокировки, в зависимости от результатов, полученных на шаге 3. Например, если в вашей среде много устройств HTCOne с Android, вы можете создать правило доступа к устройству Exchange ActiveSync, чтобы пользователи могли применять только Outlook для iOS и Android на этих устройствах. В этом примере введите:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
   

   Примечание.

   Параметр -QueryString не принимает подстановочные знаки или частичные совпадения.

Дополнительные ресурсы:

• New-ActiveSyncDeviceAccessRule

• Get-MobileDevice

• Set-ActiveSyncOrganizationSettings

Блокировка Outlook для iOS и Android

Если вы не хотите, чтобы пользователи в вашей организации обращались к данным Exchange с помощью Outlook для iOS и Android, ваш подход зависит от того, используете ли вы политики условного доступа Microsoft Entra или политики доступа к устройствам Exchange Online.

Способ 1. Блокировка доступа с мобильных устройств с помощью политики условного доступа

Microsoft Entra условный доступ не предоставляет механизм, с помощью которого можно специально блокировать Outlook для iOS и Android, разрешая другим клиентам Exchange ActiveSync. Таким образом, политики условного доступа позволяют заблокировать доступ с мобильных устройств следующими двумя способами:

• Способ А. Блокировка доступа с мобильных устройств на платформах iOS и Android

• Способ Б. Блокировка доступа с мобильных устройств на определенной платформе мобильных устройств

Способ А. Блокировка доступа с мобильных устройств на платформах iOS и Android

Если вы хотите запретить доступ с мобильных устройств для всех или некоторых пользователей с помощью условного доступа, выполните указанные ниже действия.

Создайте политики условного доступа, каждая из которых нацелена на всех или некоторых пользователей с использованием групп безопасности. Подробные сведения см. в статье Общая политика условного доступа: требовать утвержденные клиентские приложения или политику защиты приложений.

1. Первая политика запрещает приложению Outlook для iOS и Android, а также другим клиентам Exchange ActiveSync с поддержкой OAuth подключаться к Exchange Online. См. раздел "Шаг 1. См. раздел Шаг 1. Настройка политики условного доступа Microsoft Entra для Exchange Online, а для пятого шага выберите Блокировать доступ.

2. Вторая политика запрещает клиентам Exchange ActiveSync, использующим обычную проверку подлинности, подключаться к Exchange Online. См. раздел "Шаг 2. См. раздел Шаг 2. Настройка политики условного доступа Microsoft Entra для Exchange Online с ActiveSync (EAS)".

Способ Б. Блокировка доступа с мобильных устройств на определенной платформе мобильных устройств

Если вы хотите запретить подключаться к Exchange Online с определенной платформы мобильных устройств, но при этом разрешить подключение с помощью Outlook для iOS и Android с использованием этой платформы, создайте приведенные ниже политики условного доступа, каждая из которых нацелена на всех пользователей. Подробные сведения см. в статье Общая политика условного доступа: требовать утвержденные клиентские приложения или политику защиты приложений.

1. Первая политика разрешает подключаться к Exchange Online с помощью Outlook для iOS и Android на определенной платформе мобильных устройств, а также запрещает это делать другим клиентам Exchange ActiveSync с поддержкой OAuth. См. раздел "Шаг 1. См. раздел "Шаг 1. Настройка политики условного доступа Microsoft Entra для Exchange Online", но на шаге 4a выберите только требуемую платформу мобильных устройств (например, iOS), доступ к которой требуется разрешить.

2. Вторая политика блокирует подключение приложения на определенной платформе мобильного устройства и других клиентов, поддерживающих OAuth Exchange ActiveSync, к Exchange Online. См. раздел Шаг 1. Настройка политики условного доступа Microsoft Entra для Exchange Online, но на шаге 4a выберите только нужную платформу мобильных устройств (например, Android), к которой требуется заблокировать доступ, а для шага 5 выберите Блокировать доступ.

3. Третья политика запрещает клиентам Exchange ActiveSync, использующим обычную проверку подлинности, подключаться к Exchange Online. См. раздел "Шаг 2. См. раздел Шаг 2. Настройка политики условного доступа Microsoft Entra для Exchange Online с ActiveSync (EAS)".

Способ 2. Блокировка Outlook для iOS и Android с помощью правил доступа с мобильных устройств Exchange

Есть два способа управлять доступом со своих мобильных устройств с помощью доступных в Exchange Online правил доступа с устройств:

• Способ А. Блокировка Outlook для iOS и Android на платформах iOS и Android

• Способ Б. Блокировка Outlook для iOS и Android на определенной платформе мобильных устройств

В разных организациях Exchange действуют разные политики относительно безопасности и управления устройствами. Если приложение Outlook для iOS и Android не соответствует потребностям организации или не является оптимальным решением, администраторы могут заблокировать его. После этого пользователи мобильных устройств Exchange в организации смогут получать доступ к своим почтовым ящикам с помощью встроенных почтовых приложений на iOS и Android.

Командлет New-ActiveSyncDeviceAccessRule имеет Characteristic параметр, и администраторы могут использовать три Characteristic параметра для блокировки приложения Outlook для iOS и Android. The options are UserAgent, DeviceModel, and DeviceType. In the two blocking options described in the following sections, you will use one or more of these characteristic values to restrict the access that Outlook for iOS and Android has to the mailboxes in your organization.

Значения характеристик представлены в таблице ниже.

Характерные	Строка для iOS	Строка для Android
DeviceModel	Outlook для iOS и Android	Outlook для iOS и Android
DeviceType	Outlook	Outlook
UserAgent	Outlook-iOS/2.0	Outlook-Android/2.0

Способ А. Блокировка Outlook для iOS и Android на платформах iOS и Android

С помощью командлета New-ActiveSyncDeviceAccessRule можно определить правило доступа к устройству с помощью DeviceModel характеристики или DeviceType . В обоих случаях правило блокирует доступ к почтовому ящику Exchange через приложение Outlook для iOS и Android с любого устройства на платформе iOS или Android.

Ниже приведены два примера правила доступа к устройству. В первом примере используется DeviceModel характеристика, во втором — DeviceType характеристика.

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Способ Б. Блокировка Outlook для iOS и Android на определенной платформе мобильных устройств

UserAgent С помощью характеристики можно определить правило доступа к устройству, которое блокирует Outlook для iOS и Android на определенной платформе. После этого устройство на указанной платформе не сможет подключаться к почтовым ящикам с помощью Outlook для iOS и Android. В следующих примерах показано, как использовать значение, относящееся к устройству, UserAgent для характеристики.

Чтобы заблокировать Android и разрешить iOS:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

Чтобы заблокировать iOS и разрешить Android:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

элементы управления Exchange Online

Помимо Microsoft Endpoint Manager, Базовая мобильность и безопасность для Microsoft 365 и политик мобильных устройств Exchange, вы можете управлять доступом мобильных устройств к информации в вашей организации с помощью различных элементов управления Exchange Online, а также разрешить пользователям доступ к надстройкам в Outlook для iOS и Android.

Политики приложений веб-служб Exchange (EWS)

Политики приложений EWS определяют, могут ли приложения использовать API REST. Обратите внимание, что при настройке политики приложений EWS, которая разрешает доступ к среде обмена сообщениями только отдельным приложениям, в список разрешений EWS необходимо добавить строку user-agent для Outlook для iOS и Android.

В следующем примере показано, как добавить строки user-agent в список разрешений EWS:

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}

Элементы управления Exchange User

С помощью собственной технологии синхронизации Майкрософт администраторы могут контролировать использование Outlook для iOS и Android на уровне почтового ящика. По умолчанию пользователям разрешен доступ к данным почтового ящика с помощью Outlook для iOS и Android. В следующем примере показано, как отключить доступ к почтовому ящику пользователя с помощью Outlook для iOS и Android:

Set-CASMailbox jane@contoso.com -OutlookMobileEnabled $false

Управление надстройками

Outlook для iOS и Android позволяет пользователям интегрировать популярные приложения и службы с почтовым клиентом. Надстройки для Outlook доступны в Интернете, Windows, Mac и мобильных устройствах. Так как надстройки управляются через Microsoft 365 или Office 365, пользователи могут обмениваться данными и сообщениями между Outlook для iOS и Android и неуправляемой надстройкой (даже если учетная запись управляется политикой Защиты приложений Intune), если надстройки не отключены для пользователя в Центр администрирования Microsoft 365.

Если вы хотите запретить конечным пользователям доступ к надстройкам Outlook и их установке (что влияет на все клиенты Outlook), выполните следующие изменения ролей в Центр администрирования Microsoft 365:

• Чтобы запретить пользователям устанавливать надстройки из Магазина Office, удалите роль My Marketplace.
• Чтобы запретить пользователям загружать надстройки на стороне, удалите из них роль "Мои пользовательские приложения".
• Чтобы запретить пользователям устанавливать все надстройки, удалите из них роли "Мои пользовательские приложения" и "Мой Marketplace".

Дополнительные сведения см. в разделах Надстройки для Outlook и Управление развертыванием надстроек в Центр администрирования Microsoft 365.