Správa přístupu ke spolupráci na zasílání zpráv pomocí Outlooku pro iOS a Android s Microsoft Intune
Aplikace Outlook pro iOS a Android je navržená tak, aby uživatelům ve vaší organizaci umožňovala dělat na mobilních zařízeních více díky propojení e-mailů, kalendáře, kontaktů a dalších souborů.
Pokud si předplatíte sadu Enterprise Mobility + Security, která zahrnuje funkce Microsoft Intune a Microsoft Entra ID P1 nebo P2, jako je podmíněný přístup, jsou k dispozici ty nejrozsáhlejší a nejrozsáhlejší možnosti ochrany dat Microsoftu 365. Minimálně budete chtít nasadit zásady podmíněného přístupu, které umožňují připojení k Outlooku pro iOS a Android z mobilních zařízení, a zásady ochrany aplikací Intune, které zajistí ochranu prostředí pro spolupráci.
Použít podmíněný přístup
Organizace můžou pomocí Microsoft Entra zásad podmíněného přístupu zajistit, aby uživatelé měli přístup k pracovnímu nebo školnímu obsahu jenom pomocí Outlooku pro iOS a Android. K tomu budete potřebovat zásady podmíněného přístupu, které cílí na všechny potenciální uživatele. Tyto zásady jsou popsané v tématu Podmíněný přístup: Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací.
Postupujte podle kroků v tématu Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací u mobilních zařízení. Tato zásada umožňuje Outlooku pro iOS a Android, ale blokuje připojení mobilních klientů k Exchange Online pomocí OAuth a základního ověřování protokol Exchange ActiveSync.
Poznámka
Tato zásada zajišťuje, aby mobilní uživatelé mohli přistupovat ke všem koncovým bodům Microsoftu 365 pomocí příslušných aplikací.
Postupujte podle kroků v tématu Blokování protokol Exchange ActiveSync na všech zařízeních, které brání protokol Exchange ActiveSync klientům používajícím základní ověřování na jiných než mobilních zařízeních v připojení k Exchange Online.
Výše uvedené zásady využívají udělení řízení přístupu Vyžadovat zásadu ochrany aplikací, která zajišťuje, že se zásady ochrany aplikací Intune použijí na přidružený účet v Outlooku pro iOS a Android před udělením přístupu. Pokud uživatel není přiřazený k zásadám ochrany aplikací Intune, nemá licenci pro Intune nebo aplikace není zahrnutá v zásadách Intune App Protection, zabrání tato zásada uživateli v získání přístupového tokenu a získání přístupu k datům zasílání zpráv.
Postupujte podle kroků v tématu Postupy: Blokování starší verze ověřování pro Microsoft Entra ID pomocí podmíněného přístupu a zablokujte starší verze ověřování pro jiné protokoly Exchange na zařízeních s iOSem a Androidem. Tato zásada by měla cílit jenom na Microsoft Exchange Online cloudových aplikací a platforem zařízení s iOSem a Androidem. Tím se zajistí, aby se mobilní aplikace používající webové služby Exchange, IMAP4 nebo POP3 se základním ověřováním nemohly připojit k Exchange Online.
Poznámka
Pokud chcete využívat zásady podmíněného přístupu na základě aplikací, musí být na zařízeních s iOSem nainstalovaná aplikace Microsoft Authenticator. U zařízení s Androidem se vyžaduje aplikace Portál společnosti Intune. Další informace najdete v tématu Podmíněný přístup založený na aplikacích pro Intune.
Vytvoření zásad ochrany aplikací Intune
Zásady ochrany aplikací (APP) definují, které aplikace jsou povolené a jaké akce můžou s daty vaší organizace provádět. Možnosti dostupné v aplikaci APP umožňují organizacím přizpůsobit ochranu jejich konkrétním potřebám. U některých nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře. Microsoft zavedl taxonomii pro svoji architekturu ochrany dat APP pro správu mobilních aplikací pro správu mobilních aplikací pro iOS a Android, aby organizacím pomohl prioritizovat posílení zabezpečení koncových bodů mobilních klientů.
Architektura ochrany dat APP je uspořádaná do tří různých úrovní konfigurace, přičemž každá úroveň vychází z předchozí úrovně:
- Základní ochrana podnikových dat (úroveň 1) zajišťuje, že aplikace jsou chráněné kódem PIN a šifrované, a provádí operace selektivního vymazání. U zařízení s Androidem tato úroveň ověřuje ověření identity zařízení s Androidem. Jedná se o konfiguraci základní úrovně, která poskytuje podobné řízení ochrany dat v zásadách poštovních schránek Exchange Online a zavádí IT a populaci uživatelů do APP.
- Rozšířená ochrana podnikových dat (úroveň 2) zavádí mechanismy ochrany dat APP a minimální požadavky na operační systém. Toto je konfigurace, která se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
- Vysoká ochrana podnikových dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a ochranu před mobilními hrozbami pro APP. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k vysoce rizikovým datům.
Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální počet aplikací, které je potřeba chránit, přečtěte si téma Architektura ochrany dat pomocí zásad ochrany aplikací.
Bez ohledu na to, jestli je zařízení zaregistrované v řešení sjednocené správy koncových bodů (UEM), je potřeba vytvořit zásady ochrany aplikací Intune pro aplikace pro iOS i Android pomocí kroků v tématu Vytvoření a přiřazení zásad ochrany aplikací. Tyto zásady musí splňovat minimálně následující podmínky:
Zahrnují všechny mobilní aplikace Microsoft 365, jako je Edge, Outlook, OneDrive, Office nebo Teams, protože to zajišťuje, aby uživatelé mohli bezpečně přistupovat k pracovním nebo školním datům v libovolné aplikaci Microsoftu a manipulovat s nimi.
Jsou přiřazené všem uživatelům. Tím se zajistí, že všichni uživatelé budou chráněni bez ohledu na to, jestli používají Outlook pro iOS nebo Android.
Určete, která úroveň architektury splňuje vaše požadavky. Většina organizací by měla implementovat nastavení definovaná v části Rozšířená ochrana podnikových dat (úroveň 2), která umožňují řízení požadavků na ochranu dat a přístup.
Další informace o dostupných nastaveních najdete v tématu Nastavení zásad ochrany aplikací pro Android a Nastavení zásad ochrany aplikací pro iOS.
Důležité
Pokud chce uživatel použít zásady ochrany aplikací Intune u aplikací na zařízeních s Androidem, která nejsou zaregistrovaná v Intune, musí také nainstalovat Portál společnosti Intune.
Použití konfigurace aplikace
Outlook pro iOS a Android podporuje nastavení aplikací, které umožňuje jednotným správcům správy koncových bodů přizpůsobit chování aplikace. Microsoft Intune, což je jednotné řešení správy koncových bodů, se běžně používá ke konfiguraci a přiřazování aplikací koncovým uživatelům organizace.
Konfiguraci aplikace je možné doručovat buď prostřednictvím kanálu správy mobilních zařízení (MDM) operačního systému na zaregistrovaných zařízeních (spravovaný App Configuration kanál pro iOS nebo android v kanálu Enterprise pro Android), nebo prostřednictvím kanálu Intune App Protection Policy (APP). Outlook pro iOS a Android podporuje následující scénáře konfigurace:
- Povolit jenom pracovní nebo školní účty
- Obecná nastavení konfigurace aplikací
- Nastavení S/MIME
- Nastavení ochrany dat
Konkrétní procedurální kroky a podrobnou dokumentaci k nastavení konfigurace aplikací, které Outlook pro iOS a Android podporuje, najdete v tématu Nasazení nastavení konfigurace aplikací Outlook pro iOS a Android.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro