在 Exchange Online 中启用 Outlook for iOS和 Outlook for Android
Outlook for iOS 和 Android 为用户提供了用户对新式移动应用所期望的快速、直观的电子邮件和日历体验,同时是唯一一个支持 Microsoft 365 或 Office 365 最佳功能的应用。
请务必保护用户移动设备上的公司或组织数据。 首先查看 设置 Outlook for iOS 和 Android,以确保用户已安装所有必需的应用。 之后,选择以下选项之一来保护设备和组织的数据:
建议:如果你的组织具有企业移动性 + 安全性订阅,或者已单独获得Microsoft Intune和Microsoft Entra ID P1 或 P2 的许可,请按照利用 企业移动性 + 安全性 套件中的步骤使用 Outlook for iOS 保护公司数据和 Android,通过 Outlook for iOS 和 Android 保护公司数据。
如果你的组织没有Microsoft Intune和Microsoft Entra ID P1 或 P2 的企业移动性 + 安全性订阅或许可,请按照利用 Microsoft 365 基本移动性和安全性 中的步骤操作,并使用基本移动性和安全性Office 365或 Microsoft 365 订阅中包含的功能。
按照利用Exchange Online移动设备策略中的步骤实现基本的 Exchange 移动设备邮箱和设备访问策略。
另一方面,如果不想在组织中使用 Outlook for iOS 和 Android,请参阅 阻止 Outlook for iOS 和 Android。
注意
如果希望实施 EWS 应用程序策略来管理组织中的移动设备访问,请参阅本文后面的 Exchange Web Services (EWS) 应用程序 策略。
设置 Outlook for iOS 和 Android
对于在统一终结点管理 (UEM) 解决方案中注册的设备,用户将利用 UEM 解决方案(如Intune 公司门户)安装所需的应用:Outlook for iOS 和 Android 以及 Microsoft Authenticator。
对于未在 UEM 解决方案中注册的设备,用户需要安装:
Outlook for iOS 和 Android 通过 Apple App Store 或 Google Play Store
通过 Apple App Store 或 Google Play Store 的 Microsoft Authenticator 应用
通过 Apple App Store 或 Google Play 商店Intune 公司门户应用
安装应用后,用户可以按照以下步骤添加其公司电子邮件帐户并配置基本应用设置:
重要
To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. 对于 Android 设备,需要 Intune 公司门户应用。 有关详细信息,请参阅使用 Intune 进行基于应用的条件访问。
利用企业移动性 + 安全性套件通过 Outlook for iOS 和 Android 保护公司数据
重要
允许/阻止/隔离 (ABQ) 列表不提供任何安全保障 (如果客户端欺骗 DeviceType 标头,则可能会绕过特定设备类型的阻止) 。 若要安全地限制对特定设备类型的访问,建议配置条件访问策略。 For more information, see App-based conditional access with Intune.
订阅 企业移动性 + 安全性 套件时,Microsoft 365 和Office 365数据提供最丰富和最广泛的保护功能,其中包括Microsoft Intune和Microsoft Entra ID P1 或 P2 功能,例如条件访问。 至少,需要部署仅允许从移动设备连接到 Outlook for iOS 和 Android 的条件访问策略,以及确保公司数据受到保护的 Intune 应用保护策略。
注意
虽然 企业移动性 + 安全性 套件订阅包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2,但客户可以单独购买Microsoft Intune许可证和Microsoft Entra ID P1 或 P2 许可证。 所有用户都必须获得许可才能利用本文中所述的条件访问和 Intune 应用保护策略。
使用条件访问阻止除 Outlook for iOS 和 Android 以外的所有电子邮件应用
When an organization decides to standardize how users access Exchange data, using Outlook for iOS and Android as the only email app for end users, they can configure a conditional access policy that blocks other mobile access methods. 为此,需要多个条件访问策略,每个策略都面向所有潜在用户。 条件访问:需要批准的客户端应用或应用保护策略介绍了这些策略。
按照要求使用 移动设备的已批准的客户端应用或应用保护策略中的步骤操作。 此策略允许 Outlook for iOS 和 Android,但阻止支持 OAuth 和基本身份验证Exchange ActiveSync移动客户端连接到Exchange Online。
注意
此策略可确保移动用户使用适用的应用访问所有 Microsoft 365 终结点。
按照阻止所有设备上的Exchange ActiveSync中的步骤操作,这会阻止在非移动设备上使用基本身份验证的Exchange ActiveSync客户端连接到Exchange Online。
上述策略利用授予访问控制 要求应用保护策略,该策略确保在授予访问权限之前将 Intune 应用保护策略应用于 Outlook for iOS 和 Android 中的关联帐户。 如果用户未分配到 Intune 应用保护策略,未获得 Intune 的许可,或者该应用未包含在 Intune 应用保护策略中,则该策略将阻止用户获取访问令牌并获取对消息传递数据的访问权限。
按照使用Microsoft Entra条件访问阻止旧身份验证中的步骤,阻止 iOS 和 Android 设备上的其他 Exchange 协议的旧身份验证;此策略应仅面向Office 365 Exchange Online云应用和 iOS 和 Android 设备平台。 这可确保使用具有基本身份验证的 Exchange Web Services、IMAP4 或 POP3 协议的移动应用无法连接到Exchange Online。
注意
启用条件访问策略后,任何以前连接的移动设备最多可能需要 6 小时才能被阻止。
当用户在 Outlook for iOS 和 Android 中进行身份验证时,如果向用户应用了任何Microsoft Entra条件访问策略,则会跳过Exchange Online移动设备访问规则 (允许、阻止或隔离) :
- 云应用条件:Exchange Online或Office 365
- 设备平台条件:iOS 和/或 Android
- 客户端应用条件:移动应用和桌面客户端
- 以下授予访问控制之一: 要求设备标记为合规、 需要批准的客户端应用 或 需要应用保护策略。
To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. 对于 Android 设备,需要 Intune 公司门户应用。 有关详细信息,请参阅使用 Intune 进行基于应用的条件访问。
使用 Intune 应用保护策略保护 Outlook for iOS 和 Android 中的公司数据
应用保护政策 (APP) 定义允许哪些应用程序,以及它们可以使用组织数据执行哪些操作。 APP 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言,实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级,Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。
APP 数据保护框架分为三个不同的配置级别,每个级别基于上一个级别进行构建:
- 企业基本数据保护(级别 1)可确保应用受 PIN 保护和经过加密处理,并执行选择性擦除操作。 对于 Android 设备,此级别验证 Android 设备证明。 这是一个入门级配置,可在 Exchange Online 邮箱策略中提供类似的数据保护控制,并将 IT 和用户群引入 APP。
- 企业增强型数据保护(级别 2)引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
- 企业高级数据保护(级别 3)引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。
若要查看每个配置级别的具体建议以及必须受保护的核心应用,请查看使用应用保护策略的数据保护框架。
无论设备是否已在 UEM 解决方案中注册,都需要使用如何创建和分配应用保护策略中的步骤为 iOS 和 Android 应用创建 Intune 应用保护策略。 这些策略至少必须满足以下条件:
它们包括所有 Microsoft 移动应用程序,例如 Edge、OneDrive、Office 或 Teams,因为这将确保用户可以以安全的方式访问和操作任何 Microsoft 应用中的工作或学校数据。
They are assigned to all users. 这可确保所有用户都受到保护,无论他们是使用 Outlook for iOS 还是 Android。
确定满足要求的框架级别。 大多数组织都应实现在企业增强型数据保护(级别 2)中定义的设置,因为这可以启用数据保护和访问要求控制。
For more information on the available settings, see Android app protection policy settings in Microsoft Intune and iOS app protection policy settings.
重要
To apply Intune app protection policies against apps on Android devices that are not enrolled in Intune, the user must also install the Intune Company Portal. For more information, see What to expect when your Android app is managed by app protection policies.
利用 Microsoft 365 基本移动性和安全性
如果不打算利用 企业移动性 + 安全性 套件,可以使用 microsoft 365 基本移动性和安全性。 此解决方案要求注册移动设备。 当用户尝试使用未注册的设备访问Exchange Online时,将阻止用户访问资源,直到他们注册设备。
由于这是一种设备管理解决方案,因此即使注册设备,也没有本机功能来控制哪些应用可以使用。 如果要限制对 Outlook for iOS 和 Android 的访问,则需要获取Microsoft Entra ID P1 或 P2 许可证,并利用使用条件访问阻止除 Outlook for iOS 和 Android 之外的所有电子邮件应用中所述的条件访问策略。
全局管理员必须完成以下步骤才能激活和设置注册。 有关完整步骤,请参阅设置基本移动性和安全性。 总之,这些步骤包括:
按照 Microsoft 365 安全中心中的步骤激活基本移动性和安全性。
通过(例如,创建 APN 证书来管理 iOS 设备)来设置统一终结点管理。
创建设备策略并将其应用于用户组。 执行此操作时,用户将在其设备上收到注册消息。 完成注册后,他们的设备将受到你为其设置的策略的限制。
注意
在 基本移动性和安全性 中创建的策略和访问规则将覆盖 Exchange 移动设备邮箱策略和在 Exchange 管理中心中创建的设备访问规则。 在 基本移动性和安全性 中注册设备后,将忽略应用于该设备的任何 Exchange 移动设备邮箱策略或设备访问规则。
利用Exchange Online移动设备策略
如果不打算利用企业移动性 + 安全性套件或基本移动性和安全性功能,则可以实现 Exchange 移动设备邮箱策略来保护设备,并实施设备访问规则来限制设备连接。
移动设备邮箱策略
Outlook for iOS 和 Android 支持 Exchange Online 中的以下移动设备邮箱策略设置:
启用设备加密
仅在 Android) 上 (最小密码长度
启用密码
允许用于管理 Outlook for Android 可穿戴应用的蓝牙 ()
当启用 AllowBluetooth (默认行为) 或配置为 HandsfreeOnly 时,工作或学校帐户允许 Android 设备上的 Outlook 与可穿戴式 Outlook 之间的可穿戴同步。
禁用 AllowBluetooth 后,Android 版 Outlook 将禁用 Android 设备上的 Outlook 与可穿戴式 Outlook 之间的同步, (指定工作或学校帐户,并删除以前为帐户) 同步的所有数据。 禁用同步完全在 Outlook 内部控制;蓝牙未在设备或可穿戴设备上禁用,任何其他可穿戴应用也不会受到影响。
有关如何创建或修改现有移动设备邮箱策略的信息,请参阅 Exchange Online 中的移动设备邮箱策略。
此外,Outlook for iOS 和 Android 支持Exchange Online的设备擦除功能。 使用 Outlook 时,远程擦除仅擦除 Outlook 应用本身中的数据,不会触发完整的设备擦除。 有关如何执行远程擦除的详细信息,请参阅在 Exchange Online 中对移动电话执行远程擦除。
设备访问策略
应默认启用 Outlook for iOS 和 Outlook for Android,但在现有的某些 Exchange Online 环境中,该应用可能会由于各种原因而被阻止。 组织决定标准化用户如何访问 Exchange 数据,并将 Outlook for iOS 和 Outlook for Android 用作最终用户的唯一电子邮件应用程序后,你可以为运行于用户 iOS 和 Android 设备上的其他电子邮件应用配置阻止。 在Exchange Online内设置这些块有两个选项:第一个选项阻止所有设备,仅允许使用 Outlook for iOS 和 Android;第二个选项允许阻止单个设备使用本机Exchange ActiveSync应用。
注意
由于设备 ID 不受任何物理设备 ID 约束,设备 ID 可自行更改。 出现这种情况时,如果将设备 ID 用于管理用户设备,则会造成意想不到的后果,因为 Exchange 可能会意外地阻止或隔离现有的“允许”设备。 因此,我们建议管理员仅根据设备类型或设备型号设置允许/阻止设备的移动设备访问策略。
选项 1:阻止除 Outlook for iOS 和 Android 之外的所有电子邮件应用
可以使用以下 Exchange Online PowerShell 命令定义默认阻止规则,然后为 Outlook for iOS 和 Android 以及 Windows 设备配置允许规则。 此配置将阻止任何Exchange ActiveSync本机应用连接,并且仅允许 Outlook for iOS 和 Android。
创建默认阻止规则:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block为 Outlook for iOS 和 Outlook for Android 创建允许规则
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
选项 2:在 Android 和 iOS 设备上阻止本机 Exchange ActiveSync 应用
或者,可以在特定 Android 和 iOS 设备或其他类型的设备上阻止本机 Exchange ActiveSync 应用。
确认存在阻止 Outlook for iOS 和 Outlook for Android 的 Exchange ActiveSync 设备访问规则:
Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Format-Table Name, AccessLevel, QueryString -AutoSize如果找到任何阻止 Outlook for iOS 和 Outlook for Android 的设备访问规则,请键入以下内容以将其删除:
Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Remove-ActiveSyncDeviceAccessRule可以使用以下命令阻止大部分 Android 和 iOS 设备:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block并非所有 Android 设备制造商都将"Android"指定为 DeviceType。 制造商可以为每个版本指定唯一值。 要查找正在访问你的环境的其他 Android 设备,请执行以下命令,以生成具有活跃 Exchange ActiveSync 合作伙伴关系的所有设备报告:
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv根据步骤 3 中的结果创建其他阻止规则。 例如,如果发现环境对 HTCOne Android 设备的使用率较高,则可以创建阻止该特定设备的 Exchange ActiveSync 设备访问规则,强制用户使用 Outlook for iOS 和 Outlook for Android。 在此示例中,你可以键入:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block注意
-QueryString 参数不接受通配符或部分匹配。
其他资源:
阻止 Outlook for iOS 和 Outlook for Android
如果不希望组织中的用户使用 Outlook for iOS 和 Android 访问 Exchange 数据,则采用的方法取决于使用的是Microsoft Entra条件访问策略还是Exchange Online的设备访问策略。
选项 1:使用条件访问策略阻止移动设备访问
Microsoft Entra条件访问不提供一种机制,通过该机制可以专门阻止 Outlook for iOS 和 Android,同时允许其他Exchange ActiveSync客户端。 话又说,条件访问策略可用于以两种方式阻止移动设备访问:
选项 A:在 iOS 和 Android 平台上阻止移动设备访问
选项 B:阻止特定移动设备平台上的移动设备访问
选项 A:在 iOS 和 Android 平台上阻止移动设备访问
如果要使用条件访问阻止所有用户或部分用户的移动设备访问,请执行以下步骤。
创建条件访问策略,其中每个策略通过安全组面向所有用户或一部分用户。 常见 条件访问策略:需要批准的客户端应用或应用保护策略中提供了详细信息。
第一个策略阻止 Outlook for iOS、Android 和其他支持 OAuth 的Exchange ActiveSync客户端连接到Exchange Online。 请参阅“步骤 1 - 为Exchange Online配置Microsoft Entra条件访问策略”,但对于第五步,请选择“阻止访问”。
The second policy prevents Exchange ActiveSync clients leveraging basic authentication from connecting to Exchange Online. 请参阅“步骤 2 - 使用 ActiveSync (EAS) 为Exchange Online配置Microsoft Entra条件访问策略”。
选项 B:阻止特定移动设备平台上的移动设备访问
如果要阻止特定移动设备平台连接到Exchange Online,同时允许 Outlook for iOS 和 Android 使用该平台进行连接,请创建以下条件访问策略,其中每个策略都面向所有用户。 常见 条件访问策略:需要批准的客户端应用或应用保护策略中提供了详细信息。
第一个策略允许特定移动设备平台上的 Outlook for iOS 和 Android,并阻止其他支持 OAuth 的Exchange ActiveSync客户端连接到Exchange Online。 请参阅“步骤 1 - 为Exchange Online配置Microsoft Entra条件访问策略”,但对于步骤 4a,请仅选择要允许其访问的所需移动设备平台 (,例如 iOS) 。
第二个策略阻止特定移动设备平台上的应用和其他支持 OAuth 的Exchange ActiveSync客户端连接到Exchange Online。 请参阅“步骤 1 - 为Exchange Online配置Microsoft Entra条件访问策略”,但对于步骤 4a,请仅选择要阻止访问的所需移动设备平台 ((例如 Android) ),对于步骤 5,请选择“阻止访问”。
第三个策略阻止利用基本身份验证的Exchange ActiveSync客户端连接到Exchange Online。 请参阅“步骤 2 - 使用 ActiveSync (EAS) 为Exchange Online配置Microsoft Entra条件访问策略”。
选项 2:使用 Exchange 移动设备访问规则阻止 Outlook for iOS 和 Android
如果要通过Exchange Online的设备访问规则管理移动设备访问,则有两个选项:
选项 A:在 iOS 和 Android 平台上阻止适用于 iOS 和 Android 的 Outlook
选项 B:在特定移动设备平台上阻止适用于 iOS 和 Android 的 Outlook
每个 Exchange 组织都具有关于安全和设备管理的不同策略。 如果某个组织认为 Outlook for iOS 和 Outlook for Android 不能满足其需求,或不是其最佳解决方案,管理员可阻止该应用。 阻止应用后,组织内的移动 Exchange 用户可使用 iOS 和 Android 上的内置邮件应用程序继续访问自己的邮箱。
cmdlet New-ActiveSyncDeviceAccessRule 具有参数 Characteristic ,管理员可以使用三 Characteristic 个选项来阻止 Outlook for iOS 和 Android 应用。 选项分别为 UserAgent、DeviceModel 和 DeviceType。 在以下部分中描述的两个阻止选项中,你将使用一个或多个这些特征值来限制 Outlook for iOS 和 Outlook for Android 对组织中邮箱的访问权限。
每个特征的值均将显示在下表中:
| 特征 | 适用于 iOS 的字符串 | 适用于 Android 的字符串 |
|---|---|---|
| DeviceModel | IOS 和 Android 版 Outlook | IOS 和 Android 版 Outlook |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS/2.0 | Outlook-Android/2.0 |
选项 A:在 iOS 和 Android 平台上阻止适用于 iOS 和 Android 的 Outlook
New-ActiveSyncDeviceAccessRule使用 cmdlet,可以使用 或 DeviceType 特征定义设备访问规则DeviceModel。 在这两种情况下,访问规则会阻止所有平台上的 Outlook for iOS 和 Outlook for Android,并且会阻止 iOS 平台和 Android 平台上的任何设备通过该应用访问 Exchange 邮箱。
以下是设备访问规则的两个示例。 第一个示例使用 DeviceModel 特征;第二个示例使用 DeviceType 特征。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
选项 B:在特定移动设备平台上阻止适用于 iOS 和 Android 的 Outlook
借助 特征 UserAgent ,可以定义阻止 Outlook for iOS 和 Android 跨特定平台的设备访问规则。 此规则会阻止设备使用 Outlook for iOS 和 Outlook for Android 连接到你指定的平台。 以下示例演示如何将特定于设备的值用于 UserAgent 特征。
若要阻止 Android 且允许 iOS:
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow
若要阻止 iOS 且允许 Android:
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block
Exchange Online控件
除了 Microsoft Endpoint Manager、Microsoft 365 基本移动性和安全性和 Exchange 移动设备策略之外,还可以通过各种Exchange Online控件管理移动设备对组织中信息的访问权限,以及是否允许用户访问 Outlook for iOS 和 Android 版中的外接程序。
Exchange Web 服务 (EWS) 应用程序策略
EWS 应用程序策略可以控制是否允许应用程序使用 REST API。 请注意,配置仅允许特定应用程序访问邮件环境的 EWS 应用程序策略时,必须将适用于 Outlook for iOS 和 Outlook for Android 的 user-agent 字符串添加到 EWS 允许列表。
以下示例演示如何将 user-agent 字符串添加到 EWS 允许列表:
Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}
Exchange 用户控件
借助本机 Microsoft 同步技术,管理员可以在邮箱级别控制 Outlook for iOS 和 Android 的使用情况。 默认情况下,允许用户使用 Outlook for iOS 和 Android 访问邮箱数据。 以下示例演示如何使用 Outlook for iOS 和 Android 禁用用户的邮箱访问:
Set-CASMailbox jane@contoso.com -OutlookMobileEnabled $false
管理加载项
Outlook for iOS 和 Android 允许用户将常用应用和服务与电子邮件客户端集成。 适用于 Outlook 的加载项在 Web、Windows、Mac 和移动设备上可用。 由于加载项通过 Microsoft 365 或 Office 365 进行管理,因此即使帐户由 Intune 应用保护策略) 管理,用户也能在 Outlook for iOS 和 Android 和非托管外接程序 (之间共享数据和消息,除非Microsoft 365 管理中心中的用户关闭加载项。
如果要阻止最终用户访问和安装影响所有 Outlook 客户端) 的 Outlook 外接程序 (,请对Microsoft 365 管理中心中的角色执行以下更改:
- 若要阻止用户安装 Office 应用商店的外接程序,请删除他们的我的市场角色。
- 若要防止用户旁加载加载项,请从中删除“我的自定义应用”角色。
- 若要阻止用户安装所有加载项,请从中删除“我的自定义应用”和“我的市场”角色。
有关详细信息,请参阅 Outlook 加载项以及如何在Microsoft 365 管理中心中管理加载项部署。