Habilitar Outlook para iOS y Android en Exchange Online

Outlook para iOS y Android proporciona a los usuarios la experiencia rápida e intuitiva de correo electrónico y calendario que los usuarios esperan de una aplicación móvil moderna, mientras que es la única aplicación que proporciona soporte técnico para las mejores características de Microsoft 365 o Office 365.

Es muy importante proteger los datos de la empresa u organización en los dispositivos móviles de los usuarios. Empiece por revisar Configuración de Outlook para iOS y Android para asegurarse de que los usuarios tienen instaladas todas las aplicaciones necesarias. Después, elija una de las siguientes opciones para proteger los dispositivos y los datos de su organización:

1. Recomendado: si su organización tiene una suscripción Enterprise Mobility + Security o ha obtenido licencias por separado para Microsoft Intune y Microsoft Entra ID P1 o P2, siga los pasos descritos en Aprovechamiento Enterprise Mobility + Security conjunto de aplicaciones para proteger los datos corporativos con Outlook para iOS y Android para proteger los datos corporativos con Outlook para iOS y Android.

2. Si su organización no tiene una suscripción o licencia de Enterprise Mobility + Security para Microsoft Intune y Microsoft Entra ID P1 o P2, siga los pasos descritos en Aprovechamiento de Movilidad básica y seguridad para Microsoft 365 y usar las funcionalidades de Movilidad básica y seguridad que se incluyen en la suscripción de Office 365 o Microsoft 365.

3. Siga los pasos descritos en Aprovechamiento de Exchange Online directivas de dispositivos móviles para implementar directivas básicas de acceso a dispositivos y buzones de dispositivos móviles de Exchange.

Si, por otro lado, no desea usar Outlook para iOS y Android en su organización, consulte Bloqueo de Outlook para iOS y Android.

Nota:

Vea Directivas de aplicaciones de Exchange Web Services (EWS) más adelante en este artículo si prefiere implementar una directiva de aplicación EWS para administrar el acceso a dispositivos móviles en su organización.

Configuración de Outlook para iOS y Android

Para los dispositivos inscritos en una solución unificada de administración de puntos de conexión (UEM), los usuarios usarán la solución UEM, como el Portal de empresa de Intune, para instalar las aplicaciones necesarias: Outlook para iOS y Android y Microsoft Authenticator.

Para los dispositivos que no están inscritos en una solución UEM, los usuarios deben instalar:

• Outlook para iOS y Android a través de apple App Store o Google Play Store

• Aplicación Microsoft Authenticator a través de apple App Store o Google Play Store

• Portal de empresa de Intune aplicación a través de Apple App Store o Google Play Store

Una vez instalada la aplicación, los usuarios pueden seguir estos pasos para agregar su cuenta de correo electrónico corporativa y configurar la configuración básica de la aplicación:

• Configuración de una cuenta de correo electrónico en Outlook para la aplicación móvil iOS

• Configuración del correo electrónico en la aplicación Outlook para Android

• Optimización de la aplicación móvil de Outlook para su teléfono iOS o Android

Importante

Para aprovechar las directivas de acceso condicional basadas en aplicaciones, la aplicación Microsoft Authenticator debe instalarse en los dispositivos iOS. En el caso de los dispositivos Android, se requiere la aplicación Portal de empresa de Intune. Para obtener más información, consulte Acceso condicional basado en aplicaciones con Intune.

Aprovechar Enterprise Mobility + Security conjunto de aplicaciones para proteger los datos corporativos con Outlook para iOS y Android

Importante

La lista Allow/Block/Quarantine (ABQ) no proporciona ninguna garantía de seguridad (si un cliente suplanta el encabezado DeviceType, podría ser posible omitir el bloqueo para un tipo de dispositivo determinado). Para restringir de forma segura el acceso a tipos de dispositivo específicos, se recomienda configurar directivas de acceso condicional. Para obtener más información, consulte Acceso condicional basado en aplicaciones con Intune.

Las funcionalidades de protección más completas y amplias para microsoft 365 y datos de Office 365 están disponibles al suscribirse al conjunto de Enterprise Mobility + Security, que incluye características de Microsoft Intune y Microsoft Entra ID P1 o P2, como el acceso condicional. Como mínimo, querrá implementar una directiva de acceso condicional que solo permita la conectividad a Outlook para iOS y Android desde dispositivos móviles y una directiva de protección de aplicaciones de Intune que garantice que los datos corporativos están protegidos.

Nota:

Aunque la suscripción del conjunto de Enterprise Mobility + Security incluye Microsoft Intune y Microsoft Entra ID P1 o P2, los clientes pueden comprar licencias de Microsoft Intune y Microsoft Entra ID Licencias P1 o P2 por separado. Todos los usuarios deben tener licencia para poder aprovechar el acceso condicional y las directivas de protección de aplicaciones de Intune que se describen en este artículo.

Bloquear todas las aplicaciones de correo electrónico excepto Outlook para iOS y Android mediante el acceso condicional

Cuando una organización decide estandarizar el acceso de los usuarios a los datos de Exchange, con Outlook para iOS y Android como única aplicación de correo electrónico para los usuarios finales, pueden configurar una directiva de acceso condicional que bloquee otros métodos de acceso móvil. Para ello, necesitará varias directivas de acceso condicional, con cada directiva destinada a todos los usuarios potenciales. Estas directivas se describen en Acceso condicional: requerir aplicaciones cliente aprobadas o una directiva de protección de aplicaciones.

1. Siga los pasos descritos en Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones con dispositivos móviles. Esta directiva permite que Outlook para iOS y Android, pero impide que OAuth y la autenticación básica compatibles Exchange ActiveSync clientes móviles se conecten a Exchange Online.

   Nota:

   Esta directiva garantiza que los usuarios móviles puedan acceder a todos los puntos de conexión de Microsoft 365 mediante las aplicaciones aplicables.

2. Siga los pasos descritos en Bloquear Exchange ActiveSync en todos los dispositivos, lo que impide que Exchange ActiveSync clientes que usan la autenticación básica en dispositivos no móviles se conecten a Exchange Online.

   Las directivas anteriores aprovechan el control de acceso de concesión Requerir directiva de protección de aplicaciones, que garantiza que se aplique una directiva de Protección de aplicaciones de Intune a la cuenta asociada en Outlook para iOS y Android antes de conceder acceso. Si el usuario no está asignado a una directiva de Protección de aplicaciones de Intune, no tiene licencia para Intune o la aplicación no está incluida en la directiva de Protección de aplicaciones de Intune, la directiva impide que el usuario obtenga un token de acceso y obtenga acceso a los datos de mensajería.

3. Siga los pasos descritos en Bloquear la autenticación heredada con Microsoft Entra acceso condicional para bloquear la autenticación heredada para otros protocolos de Exchange en dispositivos iOS y Android; esta directiva solo debe tener como destino Office 365 Exchange Online aplicaciones en la nube y plataformas de dispositivos iOS y Android. Esto garantiza que las aplicaciones móviles que usan los protocolos Exchange Web Services, IMAP4 o POP3 con autenticación básica no se puedan conectar a Exchange Online.

Nota:

Una vez habilitadas las directivas de acceso condicional, cualquier dispositivo móvil conectado anteriormente puede tardar hasta 6 horas en bloquearse.

Cuando el usuario se autentica en Outlook para iOS y Android, Exchange Online reglas de acceso a dispositivos móviles (permitir, bloquear o poner en cuarentena) se omiten si hay alguna directiva de acceso condicional Microsoft Entra aplicada al usuario que incluya:

• Condición de aplicación en la nube: Exchange Online o Office 365
• Condición de la plataforma del dispositivo: iOS o Android
• Condición de aplicaciones cliente: aplicaciones móviles y cliente de escritorio
• Uno de los siguientes controles de concesión de acceso: Requerir que el dispositivo se marque como compatible, Requerir aplicación cliente aprobada o Requerir directiva de protección de aplicaciones.

Para aprovechar las directivas de acceso condicional basadas en aplicaciones, la aplicación Microsoft Authenticator debe instalarse en los dispositivos iOS. En el caso de los dispositivos Android, se requiere la aplicación Portal de empresa de Intune. Para obtener más información, consulte Acceso condicional basado en aplicaciones con Intune.

Protección de datos corporativos en Outlook para iOS y Android mediante directivas de protección de aplicaciones de Intune

Las directivas de protección de aplicaciones (APP) definen qué aplicaciones se permiten y las acciones que se pueden realizar con los datos de la organización. Las opciones disponibles en las APP permiten a las organizaciones adaptar la protección a sus necesidades concretas. Para algunas de ellas, puede que no sea obvio qué configuración de directivas es necesaria para implementar un escenario completo. Para ayudar a las organizaciones a priorizar la protección del punto de conexión del cliente móvil, Microsoft ha introducido la taxonomía para su marco de protección de datos de APP para la administración de aplicaciones móviles de iOS y Android.

El marco de protección de datos de APP se organiza en tres niveles de configuración distintos, cada uno de ellos basado en el nivel anterior:

• La protección de datos empresariales básica (nivel 1) garantiza que las aplicaciones estén protegidas con un PIN y cifradas, y realiza operaciones de borrado selectivo. En el caso de los dispositivos Android, este nivel valida la certificación de dispositivos Android. Se trata de una configuración de nivel de entrada que proporciona un control de protección de datos similar en las directivas de buzón de Exchange Online y que introduce tecnologías informáticas y el rellenado de usuarios en APP.
• La protección de datos empresariales mejorada (nivel 2) incorpora mecanismos para la prevención de la pérdida de datos de APP y requisitos mínimos para el sistema operativo. Esta es la configuración aplicable a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos.
• La protección de datos empresariales alta (nivel 3) incorpora mecanismos avanzados para la protección de datos, configuración de PIN mejorada y defensa contra amenazas móviles de APP. Esta configuración es conveniente para los usuarios que acceden a datos de alto riesgo.

A fin de ver las recomendaciones específicas para cada nivel de configuración y las aplicaciones mínimas que se deben proteger, revise Marco de protección de datos mediante directivas de protección de aplicaciones.

Independientemente de si el dispositivo está inscrito en una solución UEM, es necesario crear una directiva de protección de aplicaciones de Intune para aplicaciones iOS y Android, siguiendo los pasos descritos en Creación y asignación de directivas de protección de aplicaciones. Estas directivas, como mínimo, deben cumplir las siguientes condiciones:

1. Incluyen todas las aplicaciones móviles de Microsoft, como Edge, OneDrive, Office o Teams, ya que esto garantizará que los usuarios puedan acceder y manipular datos profesionales o educativos dentro de cualquier aplicación de Microsoft de forma segura.

2. Se asignan a todos los usuarios. Esto garantiza que todos los usuarios estén protegidos, independientemente de si usan Outlook para iOS o Android.

3. Determine qué nivel de marco cumple sus requisitos. La mayoría de las organizaciones deben implementar la configuración definida en Protección de datos mejorada para la empresa (nivel 2), ya que permite controles de requisitos de acceso y protección de datos.

Para obtener más información sobre la configuración disponible, consulte Configuración de directivas de protección de aplicaciones Android en Microsoft Intune y configuración de directivas de protección de aplicaciones de iOS.

Importante

Para aplicar directivas de protección de aplicaciones Intune en aplicaciones en dispositivos Android que no están inscritos en Intune, el usuario también debe instalar el Portal de empresa de Intune. Para obtener más información, consulte Qué esperar cuando las directivas de protección de aplicaciones administran la aplicación Android.

Aprovechar Movilidad básica y seguridad para Microsoft 365

Si no tiene previsto aprovechar el conjunto de Enterprise Mobility + Security, puede usar Movilidad básica y seguridad para Microsoft 365. Esta solución requiere que se inscriban dispositivos móviles. Cuando un usuario intenta acceder a Exchange Online con un dispositivo que no está inscrito, se impide que el usuario acceda al recurso hasta que inscriba el dispositivo.

Dado que se trata de una solución de administración de dispositivos, no hay ninguna funcionalidad nativa para controlar qué aplicaciones se pueden usar incluso después de inscribir un dispositivo. Si desea limitar el acceso a Outlook para iOS y Android, deberá obtener licencias de Microsoft Entra ID P1 o P2 y aprovechar las directivas de acceso condicional que se describen en Bloquear todas las aplicaciones de correo electrónico excepto Outlook para iOS y Android mediante el acceso condicional.

Un administrador global debe completar los pasos siguientes para activar y configurar la inscripción. Consulte Configuración de Movilidad básica y seguridad para ver los pasos completos. En resumen, estos pasos incluyen:

1. Para activar Movilidad básica y seguridad, siga los pasos descritos en Microsoft 365 Security Center.

2. Configuración de la administración unificada de puntos de conexión mediante, por ejemplo, la creación de un certificado APNs para administrar dispositivos iOS.

3. Crear directivas de dispositivo y aplicarlas a grupos de usuarios. Al hacerlo, los usuarios recibirán un mensaje de inscripción en su dispositivo. Y cuando hayan completado la inscripción, sus dispositivos estarán restringidos por las directivas que haya configurado para ellos.

Nota:

Las directivas y las reglas de acceso creadas en Movilidad básica y seguridad invalidarán tanto las directivas de buzón de dispositivo móvil de Exchange como las reglas de acceso a dispositivos creadas en el Centro de administración de Exchange. Después de inscribir un dispositivo en Movilidad básica y seguridad, se omitirá cualquier directiva de buzón de dispositivo móvil de Exchange o regla de acceso de dispositivo que se aplique a ese dispositivo.

Aprovechar Exchange Online directivas de dispositivos móviles

Si no tiene previsto aprovechar el conjunto de Enterprise Mobility + Security o la funcionalidad de Movilidad básica y seguridad, puede implementar una directiva de buzón de dispositivo móvil de Exchange para proteger el dispositivo y reglas de acceso del dispositivo para limitar la conectividad del dispositivo.

Directiva de buzón de dispositivo móvil

Outlook para iOS y Android admite la siguiente configuración de directiva de buzón de dispositivo móvil en Exchange Online:

• Cifrado de dispositivos habilitado

• Longitud mínima de la contraseña (solo en Android)

• Contraseña habilitada

• Permitir Bluetooth (se usa para administrar la aplicación portátil de Outlook para Android)

  • Cuando AllowBluetooth está habilitado (comportamiento predeterminado) o configurado para HandsfreeOnly, se permite la sincronización wearable entre Outlook en el dispositivo Android y Outlook en el wearable para la cuenta profesional o educativa.

  • Cuando AllowBluetooth está deshabilitado, Outlook para Android deshabilitará la sincronización entre Outlook en el dispositivo Android y Outlook en el portátil para la cuenta profesional o educativa especificada (y eliminará los datos previamente sincronizados para la cuenta). La deshabilitación de la sincronización se controla completamente dentro del propio Outlook; Bluetooth no está deshabilitado en el dispositivo ni wearable ni se ve afectada ninguna otra aplicación portátil.

Para obtener información sobre cómo crear o modificar una directiva de buzón de dispositivo móvil existente, consulte Directivas de buzón de dispositivo móvil en Exchange Online.

Además, Outlook para iOS y Android admite la funcionalidad de borrado de dispositivos de Exchange Online. Con Outlook, un borrado remoto solo borra los datos dentro de la propia aplicación de Outlook y no desencadena un borrado completo del dispositivo. Para obtener más información sobre cómo realizar un borrado remoto, consulte Realizar un borrado remoto en un teléfono móvil en Exchange Online.

Directiva de acceso a dispositivos

Outlook para iOS y Android debería estar habilitada de manera predeterminada, pero en algunos entornos de Exchange Online existentes, es posible que la aplicación esté bloqueada por varios motivos. Una vez que una organización decide estandarizar cómo acceden los usuarios a los datos de Exchange y usar Outlook para iOS y Android como la única aplicación de correo electrónico para los usuarios finales, puede configurar bloqueos para otras aplicaciones de correo que se ejecutan en los dispositivos iOS y Android de los usuarios. Tiene dos opciones para instituir estos bloques dentro de Exchange Online: la primera bloquea todos los dispositivos y solo permite el uso de Outlook para iOS y Android; la segunda opción le permite impedir que los dispositivos individuales usen las aplicaciones nativas de Exchange ActiveSync.

Nota:

Como los identificadores de dispositivo no se rigen por ningún identificador de dispositivo físico, pueden cambiarse sin previo aviso. Cuando esto suceda, puede provocar consecuencias no deseadas cuando los identificadores de dispositivo se usan para administrar dispositivos de usuario, ya que Exchange puede bloquear o poner en cuarentena de manera inesperada los dispositivos "permitidos" existentes. Por lo tanto, se recomienda a los administradores establecer solo directivas de acceso a dispositivos móviles que permitan o bloqueen dispositivos en función del tipo de dispositivo o modelo de dispositivo.

Opción 1: Bloquear todas las aplicaciones de correo electrónico excepto Outlook para iOS y Android

Puede definir una regla de bloque predeterminada y, a continuación, configurar una regla de permiso para Outlook para iOS y Android, y para dispositivos Windows, mediante los siguientes Exchange Online comandos de PowerShell. Esta configuración impedirá que cualquier Exchange ActiveSync aplicación nativa se conecte y solo permitirá Outlook para iOS y Android.

1. Cree la regla de bloqueo predeterminada:

   Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
   

2. Cree una regla de permiso para Outlook para iOS y Android:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
   

Opción 2: Bloquear las aplicaciones nativas de Exchange ActiveSync en dispositivos iOS y Android

Como alternativa, puede bloquear las aplicaciones nativas de Exchange ActiveSync en dispositivos específicos de iOS y Android o en otros tipos de dispositivos.

1. Confirme que no hay activada ninguna regla de acceso de dispositivo de Exchange ActiveSync que bloquee Outlook para iOS y Android:

   Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Format-Table Name, AccessLevel, QueryString -AutoSize
   

   Si se encuentra alguna regla de acceso de dispositivo que bloquea Outlook para iOS y Android, escriba lo siguiente para eliminarla:

   Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Remove-ActiveSyncDeviceAccessRule
   

2. Puede bloquear la mayoría de los dispositivos iOS y Android con los siguientes comandos:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
   

3. No todos los fabricantes de dispositivos Android especifican "Android" como DeviceType. Los fabricantes pueden especificar un valor único con cada versión. Para buscar otros dispositivos Android que acceden a su entorno, ejecute el comando siguiente para generar un informe de todos los dispositivos que tienen una asociación activa de Exchange ActiveSync:

   Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
   

4. Cree reglas de bloqueo adicionales, dependiendo de los resultados del paso 3. Por ejemplo, si detecta que su entorno tiene un uso elevado de dispositivos Android HTCOne, puede crear una regla de acceso de dispositivo de Exchange ActiveSync que bloquee ese dispositivo en particular, obligando a los usuarios a usar Outlook para iOS y Android. En este ejemplo, escribiría:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
   

   Nota:

   El parámetro -QueryString no acepta caracteres comodín ni coincidencias parciales.

Recursos adicionales:

• New-ActiveSyncDeviceAccessRule

• Get-MobileDevice

• Set-ActiveSyncOrganizationSettings

Bloquear Outlook para iOS y Android

Si no desea que los usuarios de su organización accedan a los datos de Exchange con Outlook para iOS y Android, el enfoque que adopte dependerá de si usa directivas de acceso condicional de Microsoft Entra o las directivas de acceso a dispositivos de Exchange Online.

Opción 1: Bloquear el acceso a dispositivos móviles mediante una directiva de acceso condicional

Microsoft Entra acceso condicional no proporciona un mecanismo por el que puede bloquear específicamente Outlook para iOS y Android, a la vez que permite otros clientes de Exchange ActiveSync. Dicho esto, las directivas de acceso condicional se pueden usar para bloquear el acceso a dispositivos móviles de dos maneras:

• Opción A: Bloquear el acceso a dispositivos móviles en las plataformas iOS y Android

• Opción B: Bloquear el acceso a dispositivos móviles en una plataforma de dispositivo móvil específica

Opción A: Bloquear el acceso a dispositivos móviles en las plataformas iOS y Android

Si desea impedir el acceso a dispositivos móviles para todos los usuarios o un subconjunto de usuarios, use el acceso condicional, siga estos pasos.

Cree directivas de acceso condicional, con cada directiva destinada a todos los usuarios o a un subconjunto de usuarios a través de un grupo de seguridad. Los detalles se encuentran en Directiva de acceso condicional común: Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones.

1. La primera directiva impide que Outlook para iOS y Android y otros clientes Exchange ActiveSync compatibles con OAuth se conecten a Exchange Online. Consulte "Paso 1: Configurar una directiva de acceso condicional de Microsoft Entra para Exchange Online", pero para el quinto paso, elija Bloquear acceso.

2. La segunda directiva impide que Exchange ActiveSync clientes que aprovechan la autenticación básica se conecten a Exchange Online. Consulte "Paso 2: Configurar una directiva de acceso condicional de Microsoft Entra para Exchange Online con ActiveSync (EAS)."

Opción B: Bloquear el acceso a dispositivos móviles en una plataforma de dispositivo móvil específica

Si desea evitar que una plataforma de dispositivo móvil específica se conecte a Exchange Online, al tiempo que permite que Outlook para iOS y Android se conecten mediante esa plataforma, cree las siguientes directivas de acceso condicional, con cada directiva destinada a todos los usuarios. Los detalles se encuentran en Directiva de acceso condicional común: Requerir aplicaciones cliente aprobadas o directiva de protección de aplicaciones.

1. La primera directiva permite que Outlook para iOS y Android se conecte a la plataforma de dispositivos móviles específica y impide que otros clientes de Exchange ActiveSync compatibles con OAuth se conecten a Exchange Online. Consulte "Paso 1: Configurar una directiva de acceso condicional de Microsoft Entra para Exchange Online", pero para el paso 4a, seleccione solo la plataforma de dispositivos móviles deseada (como iOS) a la que desea permitir el acceso.

2. La segunda directiva impide que la aplicación en la plataforma de dispositivos móviles específica y otros clientes de Exchange ActiveSync compatibles con OAuth se conecten a Exchange Online. Consulte "Paso 1: Configurar una directiva de acceso condicional de Microsoft Entra para Exchange Online", pero para el paso 4a, seleccione solo la plataforma de dispositivos móviles deseada (como Android) a la que desea bloquear el acceso y, para el paso 5, elija Bloquear acceso.

3. La tercera directiva impide que Exchange ActiveSync clientes que aprovechan la autenticación básica se conecten a Exchange Online. Consulte "Paso 2: Configurar una directiva de acceso condicional de Microsoft Entra para Exchange Online con ActiveSync (EAS)."

Opción 2: Bloquear Outlook para iOS y Android mediante reglas de acceso a dispositivos móviles de Exchange

Si va a administrar el acceso a su dispositivo móvil a través de las reglas de acceso a dispositivos de Exchange Online, tiene dos opciones:

• Opción A: Bloquear Outlook para iOS y Android en las plataformas iOS y Android

• Opción B: Bloquear Outlook para iOS y Android en una plataforma de dispositivo móvil específica

Cada organización de Exchange tiene diferentes directivas sobre administración de dispositivos y seguridad. Si una organización decide que Outlook para iOS y Android no cumple sus necesidades o no es la mejor solución para ella, los administradores pueden bloquear la aplicación. Una vez que la aplicación se bloquea, los usuarios móviles de Exchange de su organización pueden seguir accediendo a sus buzones mediante las aplicaciones de correo integradas en iOS y Android.

El New-ActiveSyncDeviceAccessRule cmdlet tiene un Characteristic parámetro y hay tres Characteristic opciones que los administradores pueden usar para bloquear la aplicación outlook para iOS y Android. Las opciones son UserAgent, DeviceModel y DeviceType. En las dos opciones de bloqueo que se describen en las secciones siguientes, usará uno o varios de estos valores de característica para restringir el acceso que Outlook para iOS y Android tiene a los buzones de la organización.

Los valores de cada característica se muestran en la tabla siguiente:

Característica	Cadena para iOS	Cadena para Android
DeviceModel	Outlook para iOS y Android	Outlook para iOS y Android
DeviceType	Outlook	Outlook
UserAgent	Outlook-iOS/2.0	Outlook-Android/2.0

Opción A: Bloquear Outlook para iOS y Android en las plataformas iOS y Android

Con el New-ActiveSyncDeviceAccessRule cmdlet , puede definir una regla de acceso de dispositivo, con la DeviceModel característica o DeviceType . En ambos casos, la regla de acceso bloquea Outlook para iOS y Android en todas las plataformas e impedirá que cualquier dispositivo, en las plataformas iOS y Android, tenga acceso a un buzón de Exchange a través de la aplicación.

A continuación, se muestran dos ejemplos de una regla de acceso de dispositivo. En el primer ejemplo se usa la DeviceModel característica ; en el segundo ejemplo se usa la DeviceType característica .

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Opción B: Bloquear Outlook para iOS y Android en una plataforma de dispositivo móvil específica

Con la UserAgent característica , puede definir una regla de acceso a dispositivos que bloquee Outlook para iOS y Android en una plataforma específica. Esta regla impedirá que un dispositivo use Outlook para iOS y Android para conectarse en la plataforma que especifique. En los ejemplos siguientes se muestra cómo usar el valor específico del dispositivo para la UserAgent característica.

Para bloquear Android y permitir iOS:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

Para bloquear iOS y permitir Android:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

controles de Exchange Online

Más allá de Microsoft Endpoint Manager, Movilidad básica y seguridad para Microsoft 365 y las directivas de dispositivos móviles de Exchange, puede administrar el acceso que los dispositivos móviles tienen a la información de su organización a través de diversos controles de Exchange Online, así como si se permite a los usuarios acceder a los complementos dentro de Outlook para iOS y Android.

Directivas de aplicación de servicios Web Exchange (EWS)

Una directiva de aplicación de EWS puede controlar si las aplicaciones pueden sacar provecho de la API de REST. Tenga en cuenta que, al configurar una directiva de aplicación de EWS que solo permite el acceso a aplicaciones específicas para su entorno de mensajería, debe agregar la cadena de agente de usuario de Outlook para iOS y Android a la lista de permitidos de EWS.

En el ejemplo siguiente, se muestra cómo agregar las cadenas de agente de usuario a la lista de permitidos de EWS:

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}

Controles de usuario de Exchange

Con la tecnología nativa de sincronización de Microsoft, los administradores pueden controlar el uso de Outlook para iOS y Android en el nivel de buzón. De forma predeterminada, los usuarios pueden acceder a los datos del buzón mediante Outlook para iOS y Android. En el ejemplo siguiente se muestra cómo deshabilitar el acceso al buzón de un usuario con Outlook para iOS y Android:

Set-CASMailbox jane@contoso.com -OutlookMobileEnabled $false

Administración de complementos

Outlook para iOS y Android permite a los usuarios integrar aplicaciones y servicios populares con el cliente de correo electrónico. Los complementos para Outlook están disponibles en la web, Windows, Mac y móvil. Dado que los complementos se administran a través de Microsoft 365 o Office 365, los usuarios pueden compartir datos y mensajes entre Outlook para iOS y Android y el complemento no administrado (incluso cuando la cuenta se administra mediante una directiva de Intune App Protection), a menos que los complementos estén desactivados para el usuario dentro de la Centro de administración de Microsoft 365.

Si desea impedir que los usuarios finales accedan e instalen complementos de Outlook (lo que afecta a todos los clientes de Outlook), ejecute los siguientes cambios en los roles de la Centro de administración de Microsoft 365:

• Para evitar que los usuarios instalen complementos de la Tienda Office, quite el rol Mi Marketplace de ellos.
• Para evitar que los usuarios carguen complementos en paralelo, quite el rol Mis aplicaciones personalizadas.
• Para evitar que los usuarios instalen todos los complementos, quite de ellos los roles Mis aplicaciones personalizadas y Mi Marketplace.

Para obtener más información, vea Complementos para Outlook y cómo administrar la implementación de complementos en el Centro de administración de Microsoft 365.