Обеспечение безопасности Outlook для iOS и Android в Exchange OnlineSecuring Outlook for iOS and Android in Exchange Online

Сводка. Как безопасно включить Outlook для iOS и Android в среде Exchange Online.Summary: How to enable Outlook for iOS and Android in your Exchange Online environment in a secure manner.

Outlook для iOS и Android — это современное мобильное приложение, которое отличается быстрым и интуитивно понятным интерфейсом для работы с электронной почтой и календарями. Кроме того, это единственное приложение, обеспечивающее поддержку лучших функций Office 365.Outlook for iOS and Android provides users the fast, intuitive email and calendar experience that users expect from a modern mobile app, while being the only app to provide support for the best features of Office 365.

Очень важно защитить данные компании или организации на мобильных устройствах пользователей. Сначала ознакомьтесь с разделом Настройка Outlook для iOS и Android, чтобы убедиться в наличии у пользователей всех требуемых приложений. После этого выберите один из следующих вариантов, чтобы защитить свои устройства и данные своей организации:Protecting company or organizational data on users' mobile devices is extremely important. Begin by reviewing Setting up Outlook for iOS and Android, to ensure your users have all the required apps installed. After that, choose one of the following options to secure your devices and your organization's data:

  1. Рекомендуется: если ваша организация оформила подписку на Enterprise Mobility + Security или приобрела отдельные лицензии на Microsoft Intune и Azure Active Directory Premium, выполните действия, описанные в разделе Использование набора Enterprise Mobility + Security для защиты корпоративных данных с помощью Outlook для iOS и Android.Recommended: If your organization has an Enterprise Mobility + Security subscription, or has separately obtained licensing for Microsoft Intune and Azure Active Directory Premium, follow the steps in Leveraging Enterprise Mobility + Security suite to protect corporate data with Outlook for iOS and Android to protect corporate data with Outlook for iOS and Android.

  2. Если у вашей организации нет подписки на Enterprise Mobility + Security или лицензий на Microsoft Intune и Azure Active Directory Premium, выполните действия, приведенные в разделе Работа с Управлением мобильными устройствами для Office 365 и воспользуйтесь возможностями Управления мобильными устройствами (MDM) для Office 365, которые входят в подписку на Office 365.If your organization doesn't have an Enterprise Mobility + Security subscription or licensing for Microsoft Intune and Azure Active Directory Premium, follow the steps in Leveraging Mobile Device Management for Office 365, and use the Mobile Device Management (MDM) for Office 365 capabilities that are included in your Office 365 subscription.

  3. Следуя указаниям, приведенным в разделе Использование политик мобильных устройств Exchange Online, внедрите основные политики почтовых ящиков мобильных устройств и доступа к устройствам Exchange.Follow the steps in Leveraging Exchange Online mobile device policies to implement basic Exchange mobile device mailbox and device access policies.

С другой стороны, если вы не хотите использовать Outlook для iOS и Android в организации, см. раздел Блокировка Outlook для iOS и Android.If, on the other hand, you don't want to use Outlook for iOS and Android in your organization, see Blocking Outlook for iOS and Android.

Примечание

См. раздел Политики приложений веб-служб Exchange (EWS) далее в этой статье, если для управления доступом к мобильным устройствам в вашей организации вы хотите внедрить политику приложений EWS.See Exchange Web Services (EWS) application policies later in this article if you'd rather implement an EWS application policy to manage mobile device access in your organization.

Настройка Outlook для iOS и AndroidSetting up Outlook for iOS and Android

Если устройства зарегистрированы в решении для управления мобильными устройствами (MDM), например на Корпоративном портале Intune, такое решение будет использоваться для установки необходимых приложений: Outlook для iOS и Android, а также Microsoft Authenticator.For devices enrolled in a mobile device management (MDM) solution, users will utilize the MDM solution, like the Intune Company Portal, to install the required apps: Outlook for iOS and Android and Microsoft Authenticator.

Если устройства зарегистрированы в решении MDM, необходимо установить такие приложения:For devices that are not enrolled in an MDM solution, users need to install:

  • Outlook для iOS и Android через Apple App Store или Google Play Маркет;Outlook for iOS and Android via the Apple App Store or Google Play Store

  • Microsoft Authenticator через Apple App Store или Google Play Маркет;Microsoft Authenticator app via the Apple App Store or Google Play Store

  • Корпоративный портал Intune через Apple App Store или Google Play Маркет.Intune Company Portal app via Apple App Store or Google Play Store

Установив приложение, пользователи могут добавить свою корпоративную учетную запись электронной почты, а также настроить основные параметры приложения. Для этого необходимо выполнить действия, перечисленные в следующих статьях:Once the app is installed, users can follow these steps to add their corporate email account and configure basic app settings:

Важно!

Для использования политик условного доступа на основе приложений на устройствах с iOS необходимо установить приложение Microsoft Authenticator. Для устройств с Android используется приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. For Android devices, the Intune Company Portal app is leveraged. For more information, see App-based Conditional Access with Intune.

Использование набора Enterprise Mobility + Security для защиты корпоративных данных с помощью Outlook для iOS и AndroidLeveraging Enterprise Mobility + Security suite to protect corporate data with Outlook for iOS and Android

Оформив подписку на набор Enterprise Mobility + Security, которая включает компоненты Microsoft Intune и Azure Active Directory Premium, такие как условный доступ, вы обеспечиваете самую широкую и полнофункциональную защиту данных Office 365. По крайней мере необходимо развернуть политику условного доступа, которая разрешает подключаться к Outlook для iOS и Android только с мобильных устройств, и политику защиты приложений Intune, обеспечивающую защиту корпоративных данных.The richest and broadest protection capabilities for Office 365 data are available when you subscribe to the Enterprise Mobility + Security suite, which includes Microsoft Intune and Azure Active Directory Premium features, such as conditional access. At a minimum, you will want to deploy a conditional access policy that only allows connectivity to Outlook for iOS and Android from mobile devices and an Intune app protection policy that ensures the corporate data is protected.

Примечание

Хотя подписка на набор Enterprise Mobility + Security включает Microsoft Intune и Azure Active Directory Premium, вы можете отдельно приобрести лицензии на Microsoft Intune и Azure Active Directory Premium. Чтобы применялись политики условного доступа и защиты приложений Intune, которые рассматриваются в этой статье, все пользователи должны получить лицензии.While the Enterprise Mobility + Security suite subscription includes both Microsoft Intune and Azure Active Directory Premium, customers can purchase Microsoft Intune licenses and Azure Active Directory Premium licenses separately. All users must be licensed in order to leverage the conditional access and Intune app protection policies that are discussed in this article.

Блокировка всех почтовых приложений, кроме Outlook для iOS и Android, с помощью условного доступаBlock all email apps except Outlook for iOS and Android using conditional access

Чтобы стандартизировать доступ пользователей к данным Exchange, используя в качестве почтового приложения только Outlook для iOS и Android, можно настроить политику условного доступа, блокирующую другие способы доступа с мобильных устройств. Для этого необходимо две политики условного доступа, каждая из которых предназначена для всех потенциальных пользователей. Сведения о создании этих политик см. в статье Условный доступ на основе приложений Azure Active Directory.When an organization decides to standardize how users access Exchange data, using Outlook for iOS and Android as the only email app for end users, they can configure a conditional access policy that blocks other mobile access methods. To do this, you will need two conditional access policies, with each policy targeting all potential users. Details on creating these polices can be found in Azure Active Directory app-based conditional access.

  1. Первая политика разрешает использование Outlook для iOS и Android, а также запрещает клиентам Exchange ActiveSync с поддержкой OAuth подключаться к Exchange Online. См. раздел "Шаг 1. Настройка политики условного доступа Azure AD для Exchange Online".The first policy allows Outlook for iOS and Android, and it blocks OAuth capable Exchange ActiveSync clients from connecting to Exchange Online. See "Step 1 - Configure an Azure AD conditional access policy for Exchange Online."

  2. Вторая политика запрещает клиентам Exchange ActiveSync, использующим обычную проверку подлинности, подключаться к Exchange Online. См. раздел "Шаг 2. Настройка политики условного доступа Azure AD для Exchange Online c Active Sync (EAS)".The second policy prevents Exchange ActiveSync clients leveraging basic authentication from connecting to Exchange Online. See "Step 2 - Configure an Azure AD conditional access policy for Exchange Online with Active Sync (EAS)."

В этих политиках используется параметр Требовать утвержденное клиентское приложение, который гарантирует, что доступ предоставляется только тем приложениям Майкрософт, в которые интегрирован пакет SDK Intune.The policies leverage the grant control Require approved client app, which ensures only Microsoft apps that have integrated the Intune SDK are granted access.

Примечание

После включения политик условного доступа блокировка всех ранее подключенных мобильных устройств может занять до 6 часов. > Правила доступа с мобильных устройств (разрешение, блокировка или карантин) в Exchange Online пропускаются, если для управления доступом используется политика условного доступа, включающая параметр Требовать помечать устройство как соответствующее требованиям или Требовать утвержденное клиентское приложение. > Для использования политик условного доступа на основе приложений на устройствах с iOS необходимо установить приложение Microsoft Authenticator. Для устройств с Android используется приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.After the conditional access policies are enabled, it may take up to 6 hours for any previously connected mobile device to become blocked. > Mobile device access rules (allow, block, or quarantine) in Exchange Online are skipped when access is managed by a conditional access policy that includes either Require device to be marked as compliant or Require approved client app. > To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. For Android devices, the Intune Company Portal app is leveraged. For more information, see App-based Conditional Access with Intune.

Защита корпоративных данных в Outlook для iOS и Android с помощью политик защиты приложений IntuneProtect corporate data in Outlook for iOS and Android using Intune app protection policies

Вне зависимости от того, зарегистрировано ли устройство в решении MDM, политику защиты приложений Intune необходимо создать как для приложений iOS, так и для приложений Android. Для этого выполните действия, описанные в статье Как создать и назначить политики защиты приложений. Эти политики должны по крайней мере отвечать вот каким требованиям:Regardless of whether the device is enrolled in an MDM solution, an Intune app protection policy needs to be created for both iOS and Android apps, using the steps in How to create and assign app protection policies. These policies, at a minimum, must meet the following conditions:

  1. Они должны включать все мобильные приложения Майкрософт, такие как Word, Excel и PowerPoint. Это гарантирует, что пользователи могут безопасно получать доступ к корпоративным данным и управлять ими в любом приложении Майкрософт.They include all Microsoft mobile applications, such as Word, Excel, or PowerPoint, as this will ensure that users can access and manipulate corporate data within any Microsoft app in a secure fashion.

  2. В ней должны быть реализованы функции защиты, предоставляемые средой Exchange для мобильных устройств, в том числе:They mimic the security features that Exchange provides for mobile devices, including:

    • запрашивание ПИН-кода для доступа (предусматривает выбор типа, длину ПИН-кода, разрешение простого ПИН-кода и разрешение отпечатков);Requiring a PIN for access (which includes Select Type, PIN length, Allow Simple PIN, Allow fingerprint)

    • шифрование данных приложения;Encrypting app data

    • запрет запуска управляемых приложений на взломанных и рутованных устройствах.Blocking managed apps from running on "jailbroken" and rooted devices

  3. Она назначена всем пользователям. Это гарантирует защиту всех пользователей независимо от того, работают ли они с приложением Outlook для iOS и Android.They are assigned to all users. This ensures that all users are protected, regardless of whether they use Outlook for iOS and Android.

Помимо вышеописанных минимальных требований к политикам, рекомендуем развернуть дополнительные параметры политик защиты, например Ограничить вырезание, копирование и вставку из других приложений, чтобы обеспечить дополнительную защиту от утечки корпоративных данных. Дополнительные сведения о доступных параметрах см. в статьях Параметры политики защиты приложений Android в Microsoft Intune и Параметры политик для защиты приложений в iOS.In addition to the above minimum policy requirements, you should consider deploying advanced protection policy settings like Restrict cut, copy and paste with other apps to further prevent corporate data leakage. For more information on the available settings, see Android app protection policy settings in Microsoft Intune and iOS app protection policy settings.

Важно!

Чтобы применять политики защиты приложений с использованием Intune к приложениям на устройствах с Android, не зарегистрированных в Intune, пользователь также должен установить приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Что происходит при управлении приложением Android с помощью политик защиты приложений.To apply Intune app protection policies against apps on Android devices that are not enrolled in Intune, the user must also install the Intune Company Portal. For more information, see What to expect when your Android app is managed by app protection policies.

Работа с Управлением мобильными устройствами для Office 365Leveraging Mobile Device Management for Office 365

Если вы не собираетесь применять набор Enterprise Mobility + Security, можно использовать Управление мобильными устройствами (MDM) для Office 365. Это решение требует зарегистрировать мобильные устройства. Если вы попытаетесь получить доступ к Exchange Online с незарегистрированного устройства, вы не сможете получить доступ к ресурсу, пока не зарегистрируете устройство.If you don't plan to leverage the Enterprise Mobility + Security suite, you can use Mobile Device Management (MDM) for Office 365. This solution requires that mobile devices be enrolled. When a user attempts to access Exchange Online with a device that is not enrolled, the user is blocked from accessing the resource until they enroll the device.

Так как это решение для управления устройствами, в нем не предусмотрена возможность выбирать, какие приложения можно использовать, даже после регистрации устройства. Если вы хотите ограничить доступ к Outlook для iOS и Android, вам потребуется получить лицензии на Azure Active Directory Premium и использовать политики условного доступа, которые рассматриваются в разделе Блокировка всех почтовых приложений, кроме Outlook для iOS и Android, с помощью условного доступа.Because this is a device management solution, there is no native capability to control which apps can be used even after a device is enrolled. If you want to limit access to Outlook for iOS and Android, you will need to obtain Azure Active Directory Premium licenses and leverage the conditional access policies discussed in Block all email apps except Outlook for iOS and Android using conditional access.

Чтобы активировать и настроить решение MDM для Office 365, глобальному администратору Office 365 необходимо выполнить указанные ниже действия. Полное их описание см. в статье Настройка службы управления мобильными устройствами для Office 365. В общем, вам нужно сделать вот что:An Office 365 global admin must complete the following steps to activate and set up MDM for Office 365. See Set up Mobile Device Management (MDM) in Office 365 for complete steps. In summary, these steps include:

  1. Активация MDM для Office 365, выполнив следующие действия в безопасности & центре соответствия требованиям.Activating MDM for Office 365 by following steps in the Security & Compliance Center.

  2. настроить решение MDM для Office 365, например создав сертификат APNs для управления устройствами с iOS и добавив запись службы доменных имен (DNS) для вашего домена, чтобы обеспечить поддержку телефонов с Windows;Setting up MDM for Office 365 by, for example, creating an APNs certificate to manage iOS devices, and by adding a Domain Name System (DNS) record for your domain to support Windows phones.

  3. создать политики устройств и применить их к группам пользователей. Когда вы сделаете это, на устройства пользователей придет сообщение о регистрации. После завершения регистрации их устройства будут ограничены политиками, которые настроили вы.Creating device policies and apply them to groups of users. When you do this, your users will get an enrollment message on their device. And when they've completed enrollment, their devices will be restricted by the policies you've set up for them.

Примечание

Политики и правила доступа, созданные в решении MDM для Office 365, переопределяют политики почтовых ящиков мобильных устройств и правила доступа с устройств Exchange, созданные в Центре администрирования Exchange. Если устройство зарегистрировано в решении MDM для Office 365, все применимые к нему политики почтовых ящиков мобильных устройств и правила доступа с устройств Exchange не будут учитываться.Policies and access rules created in MDM for Office 365 will override both Exchange mobile device mailbox policies and device access rules created in the Exchange admin center. After a device is enrolled in MDM for Office 365, any Exchange mobile device mailbox policy or device access rule that is applied to that device will be ignored.

Использование политик мобильных устройств Exchange OnlineLeveraging Exchange Online mobile device policies

Если вы не планируете использовать набор Enterprise Mobility + Security или функции решения MDM для Office 365, вы можете внедрить политику почтовых ящиков мобильных устройств Exchange, чтобы защитить устройство, и правила доступа с устройств для ограничения возможностей их подключения.If you don't plan on leveraging either the Enterprise Mobility + Security suite or the MDM for Office 365 functionality, you can implement Exchange mobile device mailbox policy to secure the device, and device access rules to limit device connectivity.

Политика почтовых ящиков мобильных устройствMobile device mailbox policy

Outlook для iOS и Android поддерживает вот какие параметры политики почтовых ящиков мобильных устройств в Exchange Online:Outlook for iOS and Android supports the following mobile device mailbox policy settings in Exchange Online:

  • Шифрование устройства включеноDevice encryption enabled

  • Минимальная длина пароляMin password length

  • Пароль включенPassword enabled

Чтобы узнать, как создать или изменить имеющуюся политику почтовых ящиков мобильных устройств, см. статью Политики почтовых ящиков мобильных устройств в Exchange Online.For information on how to create or modify an existing mobile device mailbox policy, see Mobile device mailbox policies in Exchange Online.

Кроме того, Outlook для iOS и Android поддерживает доступную в Exchange Online функцию очистки устройства. При ее выполнении очищаются данные только с приложения, так как Exchange Online считает приложение Outlook для iOS и Android мобильным устройством. Дополнительные сведения об удаленной очистке см. в статье Очистка мобильного устройства в Office 365.In addition, Outlook for iOS and Android supports Exchange Online's device-wipe capability. When executed, only the app is wiped, because Exchange Online considers the Outlook for iOS and Android app as the mobile device. For more information on how to perform a remote wipe, see Wipe a mobile device in Office 365.

Примечание

Outlook для iOS и Android поддерживает только команду удаленной очистки "Очистка данных" и не поддерживает команду "Удаленная очистка устройства только в учетной записи".Outlook for iOS and Android only supports the "Wipe Data" remote wipe command and does not support "Account Only Remote Wipe Device."

Политика доступа с устройствDevice access policy

Обычно приложение Outlook для iOS и Android включено по умолчанию, но в некоторых средах Exchange Online оно может быть заблокировано по разным причинам. Чтобы стандартизировать доступ пользователей к данным Exchange и использовать Outlook для iOS и Android в качестве единственного почтового приложения, заблокируйте другие почтовые приложения на устройствах пользователей с iOS и Android. В Exchange Online вы можете заблокировать все почтовые приложения, кроме Outlook для iOS и Android, на всех устройствах или запретить отдельным устройствам использовать собственные приложения Exchange ActiveSync.Outlook for iOS and Android should be enabled by default, but in some existing Exchange Online environments the app may be blocked for a variety of reasons. Once an organization decides to standardize how users access Exchange data and use Outlook for iOS and Android as the only email app for end users, you can configure blocks for other email apps running on users' iOS and Android devices. You have two options for instituting these blocks within Exchange Online: the first option blocks all devices and only allows usage of Outlook for iOS and Android; the second option allows you to block individual devices from using the native Exchange ActiveSync apps.

Способ 1. Блокировка всех почтовых приложений, кроме Outlook для iOS и AndroidOption 1: Block all email apps except Outlook for iOS and Android

Вы можете определить стандартное правило блокировки, а затем настроить правило, разрешающее Outlook, для устройств с iOS, Android и Windows с помощью приведенных ниже команд в командной консоли Exchange. После этого все собственные приложения Exchange ActiveSync, кроме Outlook для iOS и Android, будут заблокированы.You can define a default block rule and then configure an allow rule for Outlook for iOS and Android, and for Windows devices, using the following Exchange Management Shell commands. This configuration will prevent any Exchange ActiveSync native app from connecting, and will only allow Outlook for iOS and Android.

  1. Создайте правило блокировки по умолчанию:Create the default block rule:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  2. Создайте правило, разрешающее Outlook для iOS и Android:Create an allow rule for Outlook for iOS and Android

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
    
  3. Необязательно. Создайте правила, разрешающие приложению Outlook на устройствах с Windows подключаться к серверу Exchange ActiveSync (WP означает Windows Phone, WP8 — Windows Phone 8 и более поздних версий, а WindowsMail — приложение "Почта" в Windows 10).Optional: Create rules that allow Outlook on Windows devices for Exchange ActiveSync connectivity (WP refers to Windows Phone, WP8 refers to Windows Phone 8 and later, and WindowsMail refers to the Mail app included in Windows 10):

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WP8" -AccessLevel Allow
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
    

    Способ 2. Блокировка собственных приложений Exchange ActiveSync на устройствах с Android и iOSOption 2: Block native Exchange ActiveSync apps on Android and iOS devices

Кроме того, вы можете заблокировать собственные приложения Exchange ActiveSync на определенных устройствах с Android и iOS или других устройствах.Alternatively, you can block native Exchange ActiveSync apps on specific Android and iOS devices or other types of devices.

  1. Убедитесь, что правила доступа к устройству Exchange ActiveSync не блокируют Outlook для iOS и Android:Confirm that there are no Exchange ActiveSync device access rules in place that block Outlook for iOS and Android:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto
    

    Если такие правила обнаружены, введите следующую команду, чтобы удалить их:If any device access rules that block Outlook for iOS and Android are found, type the following to remove them:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule
    
  2. Вы можете заблокировать большинство устройств с Android и iOS с помощью следующих команд:You can block most Android and iOS devices with the following commands:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
    
  3. Не все производители устройств Android указывают "Android" как тип устройства. Изготовители могут указывать уникальное значение для каждой версии. Чтобы найти другие устройства с Android, которые подключаются к вашей среде, выполните указанную ниже команду, чтобы создать отчет обо всех устройствах, активно взаимодействующих с Exchange ActiveSync.Not all Android device manufacturers specify "Android" as the DeviceType. Manufacturers may specify a unique value with each release. In order to find other Android devices that are accessing your environment, execute the following command to generate a report of all devices that have an active Exchange ActiveSync partnership:

    Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
    
  4. Создайте дополнительные правила блокировки, в зависимости от результатов, полученных на шаге 3. Например, если в вашей среде много устройств HTCOne с Android, вы можете создать правило доступа к устройству Exchange ActiveSync, чтобы пользователи могли применять только Outlook для iOS и Android на этих устройствах. В этом примере введите:Create additional block rules, depending on your results from Step 3. For example, if you find your environment has a high usage of HTCOne Android devices, you can create an Exchange ActiveSync device access rule that blocks that particular device, forcing the users to use Outlook for iOS and Android. In this example, you would type:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
    

    Примечание

    Параметр QueryString не принимает подстановочные знаки и частичные соответствия.The QueryString parameter does not accept wildcards or partial matches.

    Дополнительные ресурсы:Additional resources:

Блокировка Outlook для iOS и AndroidBlocking Outlook for iOS and Android

Если вы не хотите, чтобы пользователи в вашей организации получали доступ к данным Exchange с помощью Outlook для iOS и Android, действия, которые необходимо выполнить, зависят от того, что вы используете: политики условного доступа Azure Active Directory или политики доступа с устройств в Exchange Online.If you don't want users in your organization to access Exchange data with Outlook for iOS and Android, the approach you take depends on whether you are using Azure Active Directory conditional access policies or Exchange Online's device access policies.

Способ 1. Блокировка доступа с мобильных устройств с помощью политики условного доступаOption 1: Block mobile device access using a conditional access policy

Политика условного доступа Azure Active Directory не обеспечивает средств, с помощью которых вы можете заблокировать конкретно Outlook для iOS и Android, при этом разрешив использовать другие клиенты Exchange ActiveSync. Таким образом, политики условного доступа позволяют заблокировать доступ с мобильных устройств следующими двумя способами:Azure Active Directory conditional access does not provide a mechanism whereby you can specifically block Outlook for iOS and Android while allowing other Exchange ActiveSync clients. With that said, conditional access policies can be used to block mobile device access in two ways:

  • Способ А. Блокировка доступа с мобильных устройств на платформах iOS и AndroidOption A: Block mobile device access on both the iOS and Android platforms

  • Способ Б. Блокировка доступа с мобильных устройств на определенной платформе мобильных устройствOption B: Block mobile device access on a specific mobile device platform

    Способ А. Блокировка доступа с мобильных устройств на платформах iOS и AndroidOption A: Block mobile device access on both the iOS and Android platforms

Если вы хотите запретить доступ с мобильных устройств для всех или некоторых пользователей с помощью условного доступа, выполните указанные ниже действия.If you want to prevent mobile device access for all users, or a subset of users, using conditional access, follow these steps.

Создайте политики условного доступа, каждая из которых нацелена на всех или некоторых пользователей с использованием групп безопасности. Подробнее см. в статье Условный доступ на основе приложений Azure Active Directory.Create conditional access policies, with each policy either targeting all users or a subset of users via a security group. Details are in Azure Active Directory app-based conditional access.

  1. Первая политика запрещает приложению Outlook для iOS и Android, а также другим клиентам Exchange ActiveSync с поддержкой OAuth подключаться к Exchange Online. См. раздел "Шаг 1. Настройка политики условного доступа с использованием Azure AD для Exchange Online", но в шаге 5 выберите Заблокировать доступ.The first policy blocks Outlook for iOS and Android and other OAuth capable Exchange ActiveSync clients from connecting to Exchange Online. See "Step 1 - Configure an Azure AD conditional access policy for Exchange Online," but for the fifth step, choose Block access.

  2. Вторая политика запрещает клиентам Exchange ActiveSync, использующим обычную проверку подлинности, подключаться к Exchange Online. См. раздел "Шаг 2. Настройка политики условного доступа Azure AD для Exchange Online c Active Sync (EAS)".The second policy prevents Exchange ActiveSync clients leveraging basic authentication from connecting to Exchange Online. See "Step 2 - Configure an Azure AD conditional access policy for Exchange Online with Active Sync (EAS)."

    Способ Б. Блокировка доступа с мобильных устройств на определенной платформе мобильных устройствOption B: Block mobile device access on a specific mobile device platform

Если вы хотите запретить подключаться к Exchange Online с определенной платформы мобильных устройств, но при этом разрешить подключение с помощью Outlook для iOS и Android с использованием этой платформы, создайте приведенные ниже политики условного доступа, каждая из которых нацелена на всех пользователей. Подробнее см. в статье Условный доступ на основе приложений Azure Active Directory.If you want to prevent a specific mobile device platform from connecting to Exchange Online, while allowing Outlook for iOS and Android to connect using that platform, create the following conditional access policies, with each policy targeting all users. Details are in Azure Active Directory app-based conditional access.

  1. Первая политика разрешает подключаться к Exchange Online с помощью Outlook для iOS и Android на определенной платформе мобильных устройств, а также запрещает это делать другим клиентам Exchange ActiveSync с поддержкой OAuth. См. раздел "Шаг 1. Настройка политики условного доступа с использованием Azure AD для Exchange Online", но в шаге 4а выберите только необходимую платформу мобильных устройств (например, iOS), доступ с которой хотите разрешить.The first policy allows Outlook for iOS and Android on the specific mobile device platform and blocks other OAuth capable Exchange ActiveSync clients from connecting to Exchange Online. See "Step 1 - Configure an Azure AD conditional access policy for Exchange Online," but for step 4a, select only the desired mobile device platform (such as iOS) to which you want to allow access.

  2. Вторая политика запрещает подключаться к Exchange Online с помощью приложения на определенной платформе мобильных устройств, а также других клиентов Exchange ActiveSync с поддержкой OAuth. См. раздел "Шаг 1. Настройка политики условного доступа с использованием Azure AD для Exchange Online", но в шаге 4а выберите только необходимую платформу мобильных устройств (например, Android), доступ с которой хотите запретить. Кроме того, в шаге 5 выберите Заблокировать доступ.The second policy blocks the app on the specific mobile device platform and other OAuth capable Exchange ActiveSync clients from connecting to Exchange Online. See "Step 1 - Configure an Azure AD conditional access policy for Exchange Online," but for step 4a, select only the desired mobile device platform (such as Android) to which you want to block access, and for step 5, choose Block access.

  3. Третья политика запрещает клиентам Exchange ActiveSync, использующим обычную проверку подлинности, подключаться к Exchange Online. См. раздел "Шаг 2. Настройка политики условного доступа Azure AD для Exchange Online c Active Sync (EAS)".The third policy prevents Exchange ActiveSync clients leveraging basic authentication from connecting to Exchange Online. See "Step 2 - Configure an Azure AD conditional access policy for Exchange Online with Active Sync (EAS)."

Способ 2. Блокировка Outlook для iOS и Android с помощью правил доступа с мобильных устройств ExchangeOption 2: Block Outlook for iOS and Android using Exchange mobile device access rules

Есть два способа управлять доступом со своих мобильных устройств с помощью доступных в Exchange Online правил доступа с устройств:If you are managing your mobile device access via Exchange Online's device access rules, you have two options:

  • Способ А. Блокировка Outlook для iOS и Android на платформах iOS и AndroidOption A: Block Outlook for iOS and Android on both the iOS and Android platforms

  • Способ Б. Блокировка Outlook для iOS и Android на определенной платформе мобильных устройствOption B: Block Outlook for iOS and Android on a specific mobile device platform

В разных организациях Exchange действуют разные политики относительно безопасности и управления устройствами. Если приложение Outlook для iOS и Android не соответствует потребностям организации или не является оптимальным решением, администраторы могут заблокировать его. После этого пользователи мобильных устройств Exchange в организации смогут получать доступ к своим почтовым ящикам с помощью встроенных почтовых приложений на iOS и Android.Every Exchange organization has different policies regarding security and device management. If an organization decides that Outlook for iOS and Android doesn't meet their needs or is not the best solution for them, administrators have the ability to block the app. Once the app is blocked, mobile Exchange users in your organization can continue accessing their mailboxes by using the built-in mail applications on iOS and Android.

New-ActiveSyncDeviceAccessRule Командлету Characteristic параметр, и три Characteristic параметры, которые администраторы могут использовать для блокирования Outlook для операций ввода-вывода и приложения для Android. Возможные варианты: UserAgent, DeviceModel и DeviceType. В двух блокирующая вариантов, описанных в следующих разделах используется один или несколько из следующих характеристик для ограничения доступа к Outlook для iOS и Android имеет к почтовым ящикам в организации.The New-ActiveSyncDeviceAccessRule cmdlet has a Characteristic parameter, and there are three Characteristic options that administrators can use to block the Outlook for iOS and Android app. The options are UserAgent, DeviceModel, and DeviceType. In the two blocking options described in the following sections, you will use one or more of these characteristic values to restrict the access that Outlook for iOS and Android has to the mailboxes in your organization.

Значения характеристик представлены в таблице ниже.The values for each characteristic are displayed in the following table:

ХарактеристикаCharacteristic Строка для iOSString for iOS Строка для AndroidString for Android
DeviceModelDeviceModel
Outlook для iOS и AndroidOutlook for iOS and Android
Outlook для iOS и AndroidOutlook for iOS and Android
DeviceTypeDeviceType
OutlookOutlook
OutlookOutlook
UserAgentUserAgent
Outlook — операций ввода-вывода/2.0 (en)Outlook-iOS/2.0
Outlook — Android/2.0 (en)Outlook-Android/2.0

Способ А. Блокировка Outlook для iOS и Android на платформах iOS и AndroidOption A: Block Outlook for iOS and Android on both the iOS and Android platforms

Вы можете определить правило доступа к устройству с помощью командлета New-ActiveSyncDeviceAccessRule и характеристики DeviceModel или DeviceType. В обоих случаях правило блокирует доступ к почтовому ящику Exchange через приложение Outlook для iOS и Android с любого устройства на платформе iOS или Android.With the New-ActiveSyncDeviceAccessRule cmdlet, you can define a device access rule, using either the DeviceModel or DeviceType characteristic. In both cases, the access rule blocks Outlook for iOS and Android across all platforms, and will prevent any device, on both the iOS platform and Android platform, from accessing an Exchange mailbox via the app.

Ниже приведены два примера правила доступа к устройству. В первом примере используется характеристика DeviceModel, а во втором — характеристика DeviceType.The following are two examples of a device access rule. The first example uses the DeviceModel characteristic; the second example uses the DeviceType characteristic.

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Способ Б. Блокировка Outlook для iOS и Android на определенной платформе мобильных устройствOption B: Block Outlook for iOS and Android on a specific mobile device platform

С помощью характеристики UserAgent можно определить правило доступа к устройству, которое блокирует Outlook для iOS и Android на определенной платформе. После этого устройство на указанной платформе не сможет подключаться к почтовым ящикам с помощью Outlook для iOS и Android. В следующих примерах показано, как использовать характеристику UserAgent для определенного устройства.With the UserAgent characteristic, you can define a device access rule that blocks Outlook for iOS and Android across a specific platform. This rule will prevent a device from using Outlook for iOS and Android to connect on the platform you specify. The following examples show how to use the device-specific value for the UserAgent characteristic.

Чтобы заблокировать Android и разрешить iOS:To block Android and allow iOS:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

Чтобы заблокировать iOS и разрешить Android:To block iOS and allow Android:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

Политики приложений веб-служб Exchange (EWS)Exchange Web Services (EWS) application policies

Вы можете управлять доступом с мобильных устройств к информации, имеющейся в вашей организации, не только с помощью Microsoft Intune, решения MDM для Office 365 и политик мобильных устройств Exchange, но и с использованием политик приложений EWS. Политики приложений EWS определяют, могут ли приложения использовать API REST. Обратите внимание, что при настройке политики приложений EWS, которая разрешает доступ к среде обмена сообщениями только отдельным приложениям, в список разрешений EWS необходимо добавить строку user-agent для Outlook для iOS и Android.Beyond Microsoft Intune, MDM for Office 365, and Exchange mobile device policies, you can also manage the access that mobile devices have to information in your organization through EWS application policies. An EWS application policy can control whether or not applications are allowed to leverage the REST API. Note that when you configure an EWS application policy that only allows specific applications access to your messaging environment, you must add the user-agent string for Outlook for iOS and Android to the EWS allow list.

В следующем примере показано, как добавить строки user-agent в список разрешений EWS:The following example shows how to add the user-agent strings to the EWS allow list:

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}