Управление доступом для совместной работы с сообщениями с помощью Outlook для iOS и Android с Microsoft Intune

Приложение Outlook для iOS и Android расширяет возможности мобильных устройств пользователей в организации, объединяя электронную почту, календарь, контакты и другие файлы.

Самые широкие возможности защиты данных Microsoft 365 доступны при подписке на набор Enterprise Mobility + Security, включающий функции Microsoft Intune и Microsoft Entra идентификатором P1 или P2, такие как условный доступ. Как минимум, вам потребуется развернуть политику условного доступа, которая позволяет подключаться к Outlook для iOS и Android с мобильных устройств, а также политику защиты приложений Intune, которая обеспечивает защиту совместной работы.

Применение условного доступа

Организации могут использовать политики условного доступа Microsoft Entra, чтобы пользователи могли получать доступ только к рабочему или учебному содержимому с помощью Outlook для iOS и Android. Для этого потребуется политика условного доступа, распространяющаяся на всех потенциальных пользователей. Эти политики описаны в разделе Условный доступ: требовать утвержденные клиентские приложения или политику защиты приложений.

1. Выполните действия, описанные в разделе Требовать утвержденные клиентские приложения или политику защиты приложений с мобильных устройств. Эта политика разрешает Outlook для iOS и Android, но блокирует подключение OAuth и базовой проверки подлинности Exchange ActiveSync мобильных клиентов к Exchange Online.

   Примечание.

   Эта политика гарантирует, что мобильные пользователи могут получить доступ ко всем конечным точкам Microsoft 365 с помощью соответствующих приложений.

2. Выполните действия, описанные в разделе Блокировать Exchange ActiveSync на всех устройствах, чтобы клиенты Exchange ActiveSync, использующие обычную проверку подлинности, не подключались к Exchange Online.

   Приведенные выше политики используют политику предоставления доступа Требовать защиту приложений, которая гарантирует, что политика защиты приложений Intune будет применена к связанной учетной записи в Outlook для iOS и Android перед предоставлением доступа. Если пользователю не назначена политика защиты приложений Intune, он не лицензирован для Intune или приложение не включено в политику защиты приложений Intune, политика запрещает пользователю получать маркер доступа и получать доступ к данным обмена сообщениями.

3. Выполните действия, описанные в разделе Практическое руководство. Блокировка устаревшей проверки подлинности, чтобы Microsoft Entra идентификатор с условным доступом, чтобы заблокировать устаревшую проверку подлинности для других протоколов Exchange на устройствах iOS и Android. Эта политика должна быть ориентирована только на Microsoft Exchange Online платформы облачных приложений, iOS и Android. Это гарантирует, что мобильные приложения, использующие веб-службы Exchange, протоколы IMAP4 или POP3 с базовой проверкой подлинности, не смогут подключаться к Exchange Online.

Примечание.

Чтобы можно было применять политики условного доступа для приложений на устройствах с iOS, должно быть установлено приложение Microsoft Authenticator. Для устройств с Android требуется приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.

Создание политик защиты приложений Intune

Политики защиты приложений (APP) указывают, какие приложения разрешены и какие действия эти приложения могут выполнять над данными вашей организации. Доступные в APP параметры позволяют организациям адаптировать систему безопасности в соответствии с конкретными потребностями. Однако они могут затруднить выбор параметров политик, необходимых для реализации полного сценария. Чтобы помочь организациям расставить приоритеты в отношении защиты клиентских конечных точек, корпорация Майкрософт представила новую таксономию для платформы защиты данных с APP для управления мобильными приложениями iOS и Android.

Платформа защиты данных c APP разделена на три разных уровня конфигурации, где каждый следующий уровень строится на предыдущем.

• Базовая защита корпоративных данных (уровень 1) обеспечивает защиту приложений с помощью ПИН-кода и шифрования и выполняет операции выборочной очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Это минимальная конфигурация, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online и предлагает ИТ-специалистам и пользователям возможности APP.
• Расширенная защита корпоративных данных (уровень 2) предоставляет механизмы APP для защиты от утечки данных и поддерживает минимальные требования к ОС. Эта конфигурация подходит большинству пользователей мобильных устройств, обращающихся к рабочим или учебным данным.
• Высокий уровень защиты корпоративных данных (уровень 3) предоставляет механизмы для расширенной защиты данных, улучшенную конфигурацию ПИН-кодов и политики защиты от угроз на мобильных устройствах. Эта конфигурация является рекомендуемой для пользователей, работающих с данными с высоким уровнем риска.

Конкретные рекомендации для каждого уровня конфигурации и минимальный список приложений, защиту которых необходимо обеспечить, см. в статье Использование политик защиты приложений на платформе защиты данных.

Вне зависимости от того, зарегистрировано ли устройство в решении единого управления конечными точками (UEM), политику защиты приложений Intune необходимо создать как для приложений iOS, так и для приложений Android. Для этого выполните действия, описанные в статье Как создать и назначить политики защиты приложений. Эти политики должны по крайней мере отвечать указанным ниже требованиям.

• Они должны включать все мобильные приложения Microsoft 365, например Microsoft Edge, Outlook, OneDrive, Office или Teams. Это гарантирует, что пользователи могут безопасно получать доступ к рабочим и учебным данным, а также управлять ими в любом приложении Майкрософт.

• Она назначена всем пользователям. Это гарантирует защиту всех пользователей, независимо от того, используют ли они Outlook для iOS или Android.

• Определите, какой уровень платформы соответствует вашим требованиям. Большинству организаций следует реализовать параметры, определенные в разделе Корпоративная расширенная защита данных (уровень 2), так как это обеспечивает управление требованиями к защите данных и доступу.

Дополнительные сведения о доступных параметрах см. в статьях Параметры политики защиты приложений Android и Параметры политик для защиты приложений в iOS.

Важно!

Чтобы применять политики защиты приложений с использованием Intune к приложениям на устройствах с Android, не зарегистрированных в Intune, пользователь также должен установить приложение "Корпоративный портал Intune".

Использование конфигурации приложения

Outlook для iOS и Android поддерживает параметры приложений, которые позволяют единым администраторам управления конечными точками настраивать поведение приложения. Microsoft Intune, которое представляет собой единое решение для управления конечными точками, обычно используется для настройки и назначения приложений конечным пользователям организации.

Конфигурация приложения может быть доставлена через канал ОС управления мобильными устройствами (MDM) на зарегистрированных устройствах (управляемый канал Конфигурация приложений для iOS или Android в канале Enterprise для Android) или через канал Политики защиты приложений Intune (APP). Outlook для iOS и Android поддерживает следующие сценарии конфигурации:

• Разрешение только для рабочих и учебных учетных записей
• Общие параметры конфигурации приложения
• Параметры S/MIME
• Параметры защиты данных

Конкретные процедурные шаги и подробную документацию по параметрам конфигурации приложений, поддерживаемым Outlook для iOS и Android, см. в статье Развертывание параметров конфигурации приложений Outlook для iOS и Android.

Дальнейшие действия

• Что такое политики защиты приложений?
• Политики конфигурации приложений в Microsoft Intune