使用 Outlook for iOS 和 Android 和 Microsoft Intune 管理消息协作访问

Outlook for iOS 和 Android 应用旨在通过汇集电子邮件、日历、联系人和其他文件，使组织中的用户能够从其移动设备执行更多操作。

订阅 企业移动性 + 安全性 套件（包括Microsoft Intune和Microsoft Entra ID P1 或 P2 功能（如条件访问）时，Microsoft 365 数据最丰富、最广泛的保护功能可用。 至少需要部署一个条件访问策略，该策略允许从移动设备连接到 Outlook for iOS 和 Android，以及确保协作体验受到保护的 Intune 应用保护策略。

应用条件访问

组织可以使用Microsoft Entra条件访问策略来确保用户只能使用 Outlook for iOS 和 Android 访问工作或学校内容。 为此，你需要一个面向所有潜在用户的条件访问策略。 条件访问：需要批准的客户端应用或应用保护策略介绍了这些策略。

1. 按照要求使用 移动设备的已批准的客户端应用或应用保护策略中的步骤操作。 此策略允许 Outlook for iOS 和 Android，但阻止支持 OAuth 和基本身份验证Exchange ActiveSync移动客户端连接到Exchange Online。

   注意

   此策略可确保移动用户使用适用的应用访问所有 Microsoft 365 终结点。

2. 按照阻止所有设备上的Exchange ActiveSync中的步骤操作，这会阻止在非移动设备上使用基本身份验证的Exchange ActiveSync客户端连接到Exchange Online。

   上述策略利用授权访问控制 “需要应用保护策略”，该策略确保在授予访问权限之前将 Intune 应用保护策略应用于 Outlook for iOS 和 Android 中的关联帐户。 如果用户未分配到 Intune 应用保护策略，未获得 Intune 的许可，或者该应用未包含在 Intune 应用保护策略中，则该策略将阻止用户获取访问令牌并获取对消息传递数据的访问权限。

3. 按照如何：使用条件访问阻止对Microsoft Entra ID 进行旧身份验证中的步骤，阻止 iOS 和 Android 设备上的其他 Exchange 协议的旧身份验证;此策略应仅面向Microsoft Exchange Online云应用和 iOS 和 Android 设备平台。 这可确保使用具有基本身份验证的 Exchange Web Services、IMAP4 或 POP3 协议的移动应用无法连接到Exchange Online。

注意

To leverage app-based conditional access policies, the Microsoft Authenticator app must be installed on iOS devices. 对于 Android 设备，需要 Intune 公司门户应用。 有关详细信息，请参阅使用 Intune 进行基于应用的条件访问。

创建 Intune 应用保护策略

应用保护政策 (APP) 定义允许哪些应用程序，以及它们可以使用组织数据执行哪些操作。 APP 中可用的选项使组织能够根据特定需求调整保护。 对于某些组织而言，实现完整方案所需的策略设置可能并不明显。 为了帮助组织确定移动客户端终结点强化的优先级，Microsoft 为其面向 iOS 和 Android 移动应用管理的 APP 数据保护框架引入了分类法。

APP 数据保护框架分为三个不同的配置级别，每个级别基于上一个级别进行构建：

• 企业基本数据保护（级别 1）可确保应用受 PIN 保护和经过加密处理，并执行选择性擦除操作。 对于 Android 设备，此级别验证 Android 设备证明。 这是一个入门级配置，可在 Exchange Online 邮箱策略中提供类似的数据保护控制，并将 IT 和用户群引入 APP。
• 企业增强型数据保护（级别 2）引入了 APP 数据泄露预防机制和最低 OS 要求。 此配置适用于访问工作或学校数据的大多数移动用户。
• 企业高级数据保护（级别 3）引入了高级数据保护机制、增强的PIN 配置和 APP 移动威胁防御。 此配置适用于访问高风险数据的用户。

若要查看每个配置级别的具体建议以及必须受保护的核心应用，请查看使用应用保护策略的数据保护框架。

无论设备是否在统一的终结点管理 (UEM) 解决方案中注册，都需要使用如何创建和分配应用保护策略中的步骤，为 iOS 和 Android 应用创建 Intune 应用保护策略。 这些策略至少必须满足以下条件：

• 它们要包括所有 Microsoft 365 移动应用程序，如 Edge、Outlook、OneDrive、Office 或 Teams，因为这可确保用户能够安全地访问和操作任何 Microsoft 应用中的工作或学校数据。

• They are assigned to all users. 这可确保所有用户都受到保护，无论他们是使用 Outlook for iOS 还是 Android。

• 确定满足要求的框架级别。 大多数组织都应实现在企业增强型数据保护（级别 2）中定义的设置，因为这可以启用数据保护和访问要求控制。

有关可用设置的详细信息，请参阅 Android 应用保护策略设置和 iOS 应用保护策略设置。

重要

To apply Intune app protection policies against apps on Android devices that are not enrolled in Intune, the user must also install the Intune Company Portal.

使用应用配置

Outlook for iOS 和 Android 支持允许统一终结点管理管理员自定义应用行为的应用设置。 Microsoft Intune是一种统一的终结点管理解决方案，通常用于配置应用并将其分配给组织最终用户。

可以通过已注册设备上的移动设备管理 (MDM) OS 通道 (适用于 iOS 的托管应用程序配置通道或 Android) 企业通道中的 Android，或通过 Intune 应用保护策略 (应用) 通道传递应用配置。 Outlook for iOS 和 Android 支持以下配置方案：

• 仅允许工作或学校帐户
• 常规应用配置设置
• S/MIME 设置
• 数据保护设置

有关 Outlook for iOS 和 Android 支持的应用配置设置的特定过程步骤和详细文档，请参阅 部署 Outlook for iOS 和 Android 应用配置设置。

后续步骤

• 什么是 Intune 应用保护策略？
• Microsoft Intune 的应用配置策略