Управление устройствами с Outlook для iOS и Android в Exchange OnlineManaging Outlook for iOS and Android in Exchange Online

Сводка. В этой статье представлены рекомендации по управлению мобильными устройствами с Outlook для iOS и Android в среде Exchange Online.Summary: This article describes best practices for managing mobile devices with Outlook for iOS and Android in Exchange Online.

Outlook для iOS и Android — это современное мобильное приложение, которое отличается быстрым и интуитивно понятным интерфейсом для работы с электронной почтой и календарями. Это также единственное приложение, обеспечивающее поддержку лучших функций Office 365. Кроме того, корпорация Майкрософт предлагает ряд служебных программ для защиты корпоративных данных и управления ими на мобильных устройствах в организации Exchange Online.Outlook for iOS and Android provides users the fast, intuitive email and calendar experience users expect from a modern mobile app, while being the only app to provide support for the best features of Office 365. In addition, Microsoft provides a number of utilities for managing and protecting company data on mobile devices in your Exchange Online organization.

Способы управления устройствами и приложениями в Office 365Options for managing devices and applications in Office 365

Управлять Outlook для iOS и Android можно с помощью следующих решений:Customers looking to manage Outlook for iOS and Android have the following options:

  1. Рекомендуется: набор Enterprise Mobility + Security, который включает Microsoft Intune и политики условного доступа Azure Active Directory;Recommended: The Enterprise Mobility + Security suite, which includes Microsoft Intune and Azure Active Directory conditional access.

  2. Управление мобильными устройствами (MDM) для Office 365;Mobile Device Management (MDM) for Office 365.

  3. политики доступа с мобильных устройств и политики почтовых ящиков мобильных устройств.Mobile Device Access and Mobile Device Mailbox Policies.

Примечание

Подробнее о внедрении каждого из этих трех решений см. в статье Securing Outlook for iOS and Android in Exchange Online.For implementation details on each of these three options, see Securing Outlook for iOS and Android in Exchange Online.

Корпорация Майкрософт рекомендует подписчикам Office 365 использовать возможности набора Enterprise Mobility + Security для защиты корпоративных данных на мобильных устройствах, так как эти службы поддерживают определенные расширенные возможности. Основные встроенные возможности MDM для Office 365 входят в состав подписки на Office 365, а для использования более широких возможностей набора Enterprise Mobility + Security необходимо приобрести дополнительную подписку.Microsoft recommends Office 365 customers use the features of the Enterprise Mobility + Security suite to protect corporate data on mobile devices, due to the advanced capabilities provided by these services. The core capabilities of the built-in MDM for Office 365 are included with an Office 365 subscription, while the broader capabilities of the Enterprise Mobility + Security require an additional subscription purchase.

Важно!

Правила доступа с мобильных устройств (разрешение, блокировка или карантин) в Exchange Online пропускаются, если для управления доступом используется политика условного доступа, включающая параметр Требовать помечать устройство как соответствующее требованиям или Требовать утвержденное клиентское приложение.Mobile device access rules (allow, block, or quarantine) in Exchange Online are skipped when access is managed by a conditional access policy that includes either Require device to be marked as compliant or Require approved client app.

Полное сравнение MDM и Intune доступно в статье Выбор между MDM для Office 365 и Microsoft Intune.A complete side-by-side comparison of MDM and Intune is available in Choose between MDM for Office 365 and Microsoft Intune.

Примечание

При проверке состояния устройства с помощью таких командлетов, как Get-MobileDevice, метка времени синхронизации Outlook для iOS и Android LastSyncTime может отставать от фактического времени синхронизации на 15 минут. Синхронизация устройства происходит в реальном времени, но возвращаемая метка времени может отставать.When using mobile device cmdlets such as Get-MobileDevice to check the status of a device, the timestamp for Outlook for iOS and Android synchronization, indicated by the LastSyncTime property, may be up to 15 minutes behind the actual time of synchronization. While device synchronization does occur in real time, the returned time stamp may lag behind.

Использование набора Enterprise Mobility + SecurityUsing Enterprise Mobility + Security

Оформив подписку на набор Enterprise Mobility + Security, которая включает компоненты Microsoft Intune, Azure Information Protection и Azure Active Directory Premium, такие как условный доступ, вы обеспечиваете самую широкую и полнофункциональную защиту данных Office 365.The richest and broadest protection capabilities for Office 365 data are available when you subscribe to the Enterprise Mobility + Security suite, which includes Microsoft Intune, Azure Information Protection, and Azure Active Directory Premium features, such as conditional access.

Примечание

Хотя подписка на набор Enterprise Mobility + Security включает лицензии на Microsoft Intune и Azure Active Directory, вы можете отдельно приобрести лицензии на Microsoft Intune и Azure Active Directory Premium. Все пользователи должны получить лицензии для применения политик условного доступа и защиты приложений Intune, которые обсуждаются в этой статье.While the Enterprise Mobility + Security suite subscription includes licenses for both Microsoft Intune and Azure Active Directory, customers can purchase Microsoft Intune licenses and Azure Active Directory Premium licenses separately. All users must be licensed to leverage the conditional access and Intune app protection policies discussed in this article.

Intune предоставляет возможности управления мобильными приложениями (MAM) и другие возможности условного доступа и управления устройствами. С помощью политик защиты приложений Intune можно запретить вырезание, копирование, вставку и сохранение корпоративных данных из приложений, управляемых Intune, в приложения, не управляемые Intune, и наоборот. Подробнее см. в статье Как создать и назначить политики защиты приложений. Кроме того, пользователи могут получать доступ к личным и рабочим учетным записям электронной почты в одном приложении Outlook, управляемом Intune. При этом политики защиты приложений Intune применяются только к рабочим учетным записям. Это делает работу пользователей намного удобнее.Intune provides mobile application management (MAM) capabilities, as well as other conditional access and device management capabilities. With Intune app protection policies, you can restrict actions such as cut, copy, paste, and "save as" of corporate data between Intune-managed apps and apps that are not managed by Intune. More information is available in How to create and assign app protection policies. Additionally, the Intune-managed Outlook apps include a new multi-identity management feature that enables users to access both their personal and work email accounts in the same Outlook app while only applying the Intune app protection policies to the user's work account. This provides a much more seamless user experience.

Условный доступ — это возможность Azure Active Directory, которая позволяет централизованно применять элементы управления при доступе к приложениям в вашей среде в зависимости от конкретных условий. Используя политики условного доступа, вы можете применять необходимые элементы управления доступом в зависимости от условий. Условный доступ в Azure Active Directory обеспечивает дополнительную безопасность, когда это требуется, и не применяется без необходимости.Conditional access is a capability of Azure Active Directory that enables you to enforce controls on the access to apps in your environment based on specific conditions from a central location. By using conditional access policies, you can apply the right access controls under the required conditions. Azure Active Directory conditional access provides you with added security when such security is needed, and it stays out of your users' way when it isn't.

Вот ключевые функции набора Enterprise Mobility + Security с Outlook для iOS и Android:Key features of the Enterprise Mobility + Security suite with Outlook for iOS and Android:

  • Условный доступ. Azure Active Directory гарантирует возможность доступа к электронной почте Exchange Online только при соблюдении требований, изложенных в политике условного доступа. Подробнее о регистрации устройств см. в статье Условный доступ в Azure Active Directory.Conditional access. Azure Active Directory ensures that Exchange Online email can be accessed only when the conditional access requirements are met. For more information on device enrollment, see Conditional access in Azure Active Directory.

  • Защита приложений Intune. Outlook для iOS и Android позволяет защитить корпоративные данные с помощью политик защиты приложений Intune. Это очень удобно, когда вы хотите защитить корпоративные данные на личных устройствах пользователей. Подробнее о политиках защиты приложений Intune см. в статье Защита данных приложений с помощью политик защиты приложений в Microsoft Intune.Intune app protection. Outlook for iOS and Android allows you to protect your corporate data with Intune app protection policies. This is a great option for "bring your own device" (BYOD) scenarios where you want to keep corporate data safe without managing a users' devices. For more information on Intune app protection policies, see Protect app data using mobile app management policies with Microsoft Intune.

  • Регистрация устройства. С помощью Intune вы можете управлять устройствами и приложениями своих сотрудников, а также тем, как они получают доступ к вашим корпоративным данным. В этой модели Outlook для iOS и Android обеспечивает доступ к электронной почте Exchange Online только с управляемых вашей компанией телефонов и планшетов, которые соответствуют требованиям политики вашей организации. Когда пользователи входят в приложение Outlook на неуправляемом мобильном устройстве, Outlook предлагает зарегистрировать устройство в Intune, используя политику условного доступа Azure, а затем проверяет, соответствует ли оно требованиям и стандартам, принятым в вашей организации.Device enrollment. Intune lets you manage your workforce's devices and apps, and how they access your company data. In this model, Outlook for iOS and Android ensures that Exchange Online email can be accessed only on phones and tablets that are managed by your company and are compliant with your organization's policy. When users log on to the Outlook app on an unmanaged mobile device, Outlook prompts users to enroll the device in Intune by leveraging the Azure conditional access policy, and then validates that the device meets organizational standards of device compliance.

  • Управление устройствами и создание отчетов о них. Регистрация позволяет организациям устанавливать политики безопасности, которые, например, обеспечивают блокировку устройств с помощью ПИН-кода, требуют шифрования данных и блокируют взломанные устройства, чтобы предотвратить доступ к корпоративной электронной почте и данным с недоверенных устройств, и управлять этими политиками. Все зарегистрированные устройства отображаются в Центре администрирования Office 365. В отчетах представлены подробные сведения об устройствах, которые получают доступ к корпоративным данным.Device management and reporting. The enrollment process allows organizations to set and manage security policies that, for example, enforce device-level PIN lock, require data encryption, and block compromised devices in order to prevent untrusted devices from accessing corporate email and data. Each enrolled device appears in the Office 365 admin center, and reporting is available to provide details on the devices that access your corporate data.

  • Выборочная очистка. Microsoft Intune может удалить данные электронной почты Office 365 из Outlook для iOS и Android, не затрагивая личные учетные записи электронной почты (вне зависимости от того, зарегистрировано ли устройство). Эта возможность приобретает особое значение, так как все больше сотрудников работают с личными телефонами и планшетами.Selective wipe. Microsoft Intune can remove Office 365 email data from Outlook for iOS and Android, while leaving any personal email accounts intact (whether the device is enrolled or not). This is an increasingly important requirement as more businesses adopt a "bring your own device" approach to phones and tablets.

    Дополнительные сведения о Microsoft Intune см. в документации по Microsoft Intune.For more about Microsoft Intune see Documentation for Microsoft Intune.

Использование встроенных возможностей управления мобильными устройствами (MDM) для Office 365Using built-in Mobile Device Management (MDM) for Office 365

MDM для Office 365 позволяет управлять устройствами бесплатно. Базовые параметры управления на платформе Microsoft Intune представлены в Центре администрирования Office 365.MDM for Office 365 provides device management capabilities at no additional cost. Microsoft Intune powers these basic capabilities, providing a core set of controls in the Office 365 admin center for organizations that need the basics.

Так как это решение для управления устройствами, в нем не предусмотрена возможность выбирать, какие приложения можно использовать, даже после регистрации устройства. Если вы хотите ограничить доступ к Outlook для iOS и Android, вам потребуется получить лицензии на Azure Active Directory Premium и использовать политики условного доступа.Because this is a device management solution, there is no native capability to control which apps can be used, even after a device is enrolled. If you want to limit access to Outlook for iOS and Android, you will need to obtain Azure Active Directory Premium licenses and leverage conditional access policies.

Outlook для iOS и Android полностью поддерживает возможности MDM для Office 365.Outlook for iOS and Android fully supports the capabilities provided by MDM for Office 365.

Дополнительные сведения о MDM см. в следующих статьях:For detailed information on MDM, see the following resources:

Использование политик доступа с мобильных устройств и политик почтовых ящиков мобильных устройствUsing Mobile Device Access and Mobile Device Mailbox Policies

Корпорация Майкрософт рекомендует пользователям Office 365 использовать набор Enterprise Mobility + Security или встроенные возможности MDM для Office 365 для управления корпоративными данными на мобильных устройствах, так как эти службы отличаются расширенными возможностями. Outlook для iOS и Android поддерживает политики доступа с мобильных устройств и политики почтовых ящиков мобильных устройств (предыдущее название — политики Exchange Active Sync), доступные через Центр администрирования Exchange.Microsoft recommends Office 365 customers use either the Enterprise Mobility + Security suite or the built-in MDM for Office 365 to manage company data on mobile devices, due to the advanced capabilities provided by those services. Outlook for iOS and Android does support mobile device access and mobile device mailbox policies (formerly known as Exchange Active Sync policies), which are available through the Exchange Admin Center.

Outlook для iOS и Android поддерживает такие параметры политики почтовых ящиков мобильных устройств в Exchange:Outlook for iOS and Android supports the following Exchange mobile device mailbox policy settings:

  • Шифрование устройства включеноDevice encryption enabled

  • Минимальная длина пароляMin password length

  • Пароль включенPassword enabled

Дополнительные сведения см. в статье Политики почтовых ящиков мобильных устройств в Exchange Online.See Mobile device mailbox policies in Exchange Online for more information.

Администраторы Exchange могут инициировать удаленную очистку устройства с Outlook для iOS и Android. Получив запрос на удаленную очистку, приложение удалит профиль и все связанные с ним данные.Exchange administrators can initiate a remote device wipe against Outlook for iOS and Android. Upon receiving the remote wipe request, the app will remove the profile and all data associated with it.