Sécurisation d'Outlook pour iOS et Android dans Exchange Online
Outlook pour iOS et Android offre aux utilisateurs l’expérience de messagerie et de calendrier rapide et intuitive que les utilisateurs attendent d’une application mobile moderne, tout en étant la seule application à prendre en charge les meilleures fonctionnalités de Microsoft 365 ou Office 365.
La protection des données organisationnelles ou d'entreprise sur les appareils mobiles des utilisateurs est essentielle. Commencez par consulter la section Configuration d'Outlook pour iOS et Android pour vérifier que toutes les applications requises ont été installées. Ensuite, choisissez l'une des options suivantes pour sécuriser vos appareils et les données de votre organisation :
Recommandé : si votre organization a un abonnement Enterprise Mobility + Security ou a obtenu séparément des licences pour Microsoft Intune et Microsoft Entra ID P1 ou P2, suivez les étapes décrites dans Exploitation Enterprise Mobility + Security suite pour protéger les données d’entreprise avec Outlook pour iOS et Android afin de protéger les données d’entreprise avec Outlook pour iOS et Android.
Si votre organization n’a pas d’abonnement ou de licence Enterprise Mobility + Security pour Microsoft Intune et Microsoft Entra ID P1 ou P2, suivez les étapes décrites dans Exploitation Mobilité et sécurité de base microsoft 365 et utilisez les fonctionnalités Mobilité et sécurité de base incluses dans votre abonnement Office 365 ou Microsoft 365.
Suivez les étapes expliquées dans la section Exploitation des stratégies des appareils mobiles Exchange Online pour implémenter des stratégies simples d'accès et de boîte aux lettres d'appareils mobiles Exchange.
Si, en revanche, vous ne souhaitez pas utiliser Outlook pour iOS et Android dans votre organisation, reportez-vous à la section Blocage d'Outlook pour iOS et Android.
Remarque
Consultez la section Stratégies d’application des services web Exchange à la fin de cet article pour implémenter une stratégie d’application des services web Exchange pour gérer l’accès des appareils mobiles dans votre organisation.
Configuration d’Outlook pour iOS et Android
Pour les appareils inscrits dans une solution de gestion unifiée des points de terminaison (UEM), les utilisateurs utilisent la solution UEM, comme le Portail d'entreprise Intune, pour installer les applications requises : Outlook pour iOS et Android et Microsoft Authenticator.
Pour les appareils qui ne sont pas inscrits dans une solution UEM, les utilisateurs doivent installer :
Outlook pour iOS et Android via l'App Store d'Apple ou le Google Play Store ;
l'application Microsoft Authenticator via l'App Store d'Apple ou le Google Play Store ;
l'application du portail d'entreprise Intune via l'App Store d'Apple ou le Google Play Store.
Une fois ces applications installées, les utilisateurs peuvent suivre les étapes suivantes pour ajouter leur compte de messagerie d'entreprise et configurer les paramètres de base de l'application :
Configurer le courrier électronique dans l'application mobile Outlook pour iOS
Configurer le courrier électronique à l'aide de l'application Outlook pour Android
Optimiser l'application mobile Outlook pour votre téléphone Android ou iOS
Importante
Pour recourir à des stratégies d'accès conditionnel basées sur l'application, l'application Microsoft Authenticator doit être installée sur les appareils iOS. Pour les appareils Android, l’application Portail d'entreprise Intune est obligatoire. Pour en savoir plus, consultez l'article Accès conditionnel basé sur l'application avec Intune.
Protection des données d’entreprise avec Outlook pour iOS et Android en utilisant la suite Enterprise Mobility + Security
Importante
La liste Allow/Block/Quarantine (ABQ) ne fournit aucune garantie de sécurité (si un client usurpe l’en-tête DeviceType, il peut être possible de contourner le blocage pour un type d’appareil particulier). Pour restreindre en toute sécurité l’accès à des types d’appareils spécifiques, nous vous recommandons de configurer des stratégies d’accès conditionnel. Pour en savoir plus, consultez l'article Accès conditionnel basé sur l'application avec Intune.
Les fonctionnalités de protection les plus riches et les plus étendues pour les données Microsoft 365 et Office 365 sont disponibles lorsque vous vous abonnez à la suite Enterprise Mobility + Security, qui inclut des fonctionnalités Microsoft Intune et Microsoft Entra ID P1 ou P2, telles que l’accès conditionnel. Nous vous conseillons de déployer au minimum une stratégie d'accès conditionnel qui autorise uniquement l'accès à Outlook pour iOS et Android depuis les appareils mobiles, et une stratégie Intune Protection App qui garantit la protection des données d'entreprise.
Remarque
Bien que l’abonnement Enterprise Mobility + Security suite inclut à la fois Microsoft Intune et Microsoft Entra ID P1 ou P2, les clients peuvent acheter des licences Microsoft Intune et des Microsoft Entra ID Licences P1 ou P2 séparément. Tous les utilisateurs doivent disposer de ces licences pour utiliser les stratégies d’accès conditionnel et Intune App Protection décrites dans cet article.
Bloquer toutes les applications de messagerie à l’exception d’Outlook pour iOS et Android à l’aide de l’accès conditionnel
Quand une organisation décide de standardiser les méthodes d'accès aux données Exchange (avec Outlook pour iOS et Android comme seule application de messagerie utilisée par les utilisateurs finaux), les administrateurs peuvent configurer une stratégie d'accès conditionnel qui bloque les autres méthodes d'accès mobile. Pour ce faire, vous aurez besoin de plusieurs stratégies d’accès conditionnel, chacune ciblant tous les utilisateurs potentiels. Ces stratégies sont décrites dans Accès conditionnel : exiger des applications clientes approuvées ou une stratégie de protection des applications.
Suivez les étapes décrites dans Exiger des applications clientes approuvées ou une stratégie de protection des applications avec des appareils mobiles. Cette stratégie autorise Outlook pour iOS et Android, mais empêche OAuth et l’authentification de base Exchange ActiveSync clients mobiles de se connecter à Exchange Online.
Remarque
Cette stratégie garantit que les utilisateurs mobiles peuvent accéder à tous les points de terminaison Microsoft 365 à l’aide des applications applicables.
Suivez les étapes décrites dans Bloquer l’Exchange ActiveSync sur tous les appareils, ce qui empêche les clients Exchange ActiveSync utilisant l’authentification de base sur des appareils non mobiles de se connecter à Exchange Online.
Les stratégies ci-dessus tirent parti de la stratégie d’octroi de contrôle d’accès Exiger la protection des applications, qui garantit qu’une stratégie De protection des applications Intune est appliquée au compte associé dans Outlook pour iOS et Android avant d’accorder l’accès. Si l’utilisateur n’est pas affecté à une stratégie Intune App Protection, n’a pas de licence pour Intune ou si l’application n’est pas incluse dans la stratégie De protection des applications Intune, la stratégie empêche l’utilisateur d’obtenir un jeton d’accès et d’accéder aux données de messagerie.
Suivez les étapes décrites dans Bloquer l’authentification héritée avec Microsoft Entra l’accès conditionnel pour bloquer l’authentification héritée pour d’autres protocoles Exchange sur les appareils iOS et Android. Cette stratégie doit cibler uniquement Office 365 Exchange Online application cloud et les plateformes d’appareils iOS et Android. Cela garantit que les applications mobiles utilisant les services web Exchange, IMAP4 ou LES protocoles POP3 avec l’authentification de base ne peuvent pas se connecter à Exchange Online.
Remarque
Une fois les stratégies d'accès conditionnel activées, le blocage des appareils mobiles préalablement connectés peut prendre jusqu'à 6 heures.
Lorsque l’utilisateur s’authentifie dans Outlook pour iOS et Android, Exchange Online règles d’accès aux appareils mobiles (autoriser, bloquer ou mettre en quarantaine) sont ignorées si des stratégies d’accès conditionnel Microsoft Entra sont appliquées à l’utilisateur, notamment :
- Condition de l’application cloud : Exchange Online ou Office 365
- Condition de plateforme de l’appareil : iOS et/ou Android
- Condition des applications clientes : Applications mobiles et client de bureau
- L’un des contrôles d’accès accordés suivants : Exiger que l’appareil soit marqué comme conforme, Exiger une application cliente approuvée ou Exiger une stratégie de protection des applications.
Pour recourir à des stratégies d'accès conditionnel basées sur l'application, l'application Microsoft Authenticator doit être installée sur les appareils iOS. Pour les appareils Android, l’application Portail d'entreprise Intune est obligatoire. Pour en savoir plus, consultez l'article Accès conditionnel basé sur l'application avec Intune.
Protéger les données d’entreprise dans Outlook pour iOS et Android avec les stratégies Intune App Protection
Les stratégies de protection des applications (SPA) définissent les applications autorisées et les actions qu’elles peuvent effectuer avec les données de votre organisation. Les choix disponibles dans SPA permettent aux organisations d’adapter la protection à leurs besoins spécifiques. Pour certaines, il peut être difficile d’identifier les paramètres de stratégie nécessaires pour implémenter un scénario complet. Pour aider les organisations à hiérarchiser le renforcement de la sécurité des points de terminaison des clients mobiles, Microsoft a introduit une taxonomie pour son framework de protection des données des stratégies de protection des applications pour la gestion des applications mobiles iOS et Android.
Le framework de protection des données des stratégies de protection des applications est organisé en trois niveaux de configuration distincts, chaque niveau s’appuyant sur le niveau précédent :
- La protection de base des données d’entreprise (niveau 1) garantit que les applications sont protégées par un code PIN et chiffrées, et effectue des opérations de réinitialisation sélective. Pour les appareils Android, ce niveau valide l’attestation des appareils Android. Il s’agit d’une configuration de niveau d’entrée qui fournit un contrôle de protection des données similaire dans les stratégies de boîte aux lettres Exchange Online et présente l’informatique ainsi que le nombre des utilisateurs aux stratégies de protection des applications.
- La protection améliorée des données d’entreprise (niveau 2) présente les mécanismes de prévention des fuites de données des stratégies de protection des applications et les exigences minimales du système d’exploitation. Il s’agit de la configuration qui s’applique à la plupart des utilisateurs mobiles accédant à des données professionnelles ou scolaires.
- La protection élevée des données d’entreprise (niveau 3) présente les mécanismes avancés de protection des données, une configuration de code PIN améliorée et une protection contre les menaces mobiles pour les stratégies de protection des applications. Cette configuration est souhaitable pour les utilisateurs qui accèdent à des données à risque élevé.
Pour afficher les recommandations spécifiques pour chaque niveau de configuration et les applications minimales à protéger, consultez Framework de protection des données à l’aide de stratégies de protection des applications.
Que l’appareil soit inscrit ou non dans une solution UEM, une stratégie de protection des applications Intune doit être créée pour les applications iOS et Android, en suivant les étapes décrites dans Création et affectation de stratégies de protection des applications. Ces stratégies doivent au minimum remplir les conditions suivantes :
Elles incluent toutes les applications mobiles Microsoft, telles que Edge, OneDrive, Office ou Teams, car cela permet aux utilisateurs d’accéder aux données professionnelles ou scolaires et de les manipuler de manière sécurisée au sein de n’importe quelle application Microsoft.
Elles doivent être affectées à tous les utilisateurs. Cela garantit que tous les utilisateurs sont protégés, qu’ils utilisent Outlook pour iOS ou Android.
Déterminez le niveau d’infrastructure qui répond à vos besoins. La plupart des organisations doivent implémenter les paramètres définis dans la protection améliorée des données d’entreprise (niveau 2), car cela permet de contrôler la protection des données et les exigences d’accès.
Pour en savoir plus sur les paramètres disponibles, consultez les articles Paramètres de la stratégie de protection des applications Android dans Microsoft Intune et Paramètres de stratégie de protection d'application iOS.
Importante
Pour appliquer les stratégies de protection des applications Intune pour les applications des appareils Android non inscrits dans Intune, l'utilisateur doit également installer le portail d'entreprise Intune. Pour en savoir plus, consultez l'article Ce qui se passe quand votre application Android est gérée par des stratégies de protection d'application.
Tirer parti de Mobilité et sécurité de base pour Microsoft 365
Si vous ne prévoyez pas de tirer parti de la suite Enterprise Mobility + Security, vous pouvez utiliser Mobilité et sécurité de base pour Microsoft 365. En revanche, les appareils mobiles doivent être inscrits. Quand un utilisateur tente d'accéder à Exchange Online avec un appareil qui n'est pas inscrit, l'utilisateur ne peut pas accéder à la ressource tant que l'appareil n'est pas inscrit.
Comme il s'agit d'une solution de gestion des appareils, il n'existe pas de fonctionnalité native pour contrôler les applications pouvant être utilisées, même après l'inscription d'un appareil. Si vous souhaitez limiter l’accès à Outlook pour iOS et Android, vous devez obtenir Microsoft Entra ID licences P1 ou P2 et tirer parti des stratégies d’accès conditionnel décrites dans Bloquer toutes les applications de messagerie à l’exception d’Outlook pour iOS et Android à l’aide de l’accès conditionnel.
Un administrateur général doit effectuer les étapes suivantes pour activer et configurer l’inscription. Pour connaître les étapes à suivre, consultez Configurer Mobilité et sécurité de base. Pour résumer :
L’activation de Mobilité et sécurité de base en suivant les étapes décrites dans Microsoft 365 Security Center.
Configuration de la gestion unifiée des points de terminaison en créant, par exemple, un certificat APNs pour gérer les appareils iOS.
Créez des stratégies d'appareil et appliquez-les à des groupes d'utilisateurs. Quand vous aurez réalisé cette étape, vos utilisateurs recevront un message d'inscription sur leur appareil. Une fois l'inscription terminée, leurs appareils seront limités par les stratégies définies spécialement pour eux.
Remarque
Les stratégies et les règles d’accès créées dans Mobilité et sécurité de base remplacent les stratégies de boîte aux lettres des appareils mobiles Exchange et les règles d’accès aux appareils créées dans le Centre d’administration Exchange. Une fois qu’un appareil est inscrit dans Mobilité et sécurité de base, toute stratégie de boîte aux lettres d’appareil mobile Exchange ou règle d’accès à l’appareil appliquée à cet appareil est ignorée.
Exploitation des stratégies des appareils mobiles Exchange Online
Si vous ne prévoyez pas de tirer parti de la suite Enterprise Mobility + Security ou de la fonctionnalité Mobilité et sécurité de base, vous pouvez implémenter une stratégie de boîte aux lettres d’appareil mobile Exchange pour sécuriser l’appareil et des règles d’accès aux appareils pour limiter la connectivité de l’appareil.
Stratégie de boîte aux lettres d’appareil mobile
Outlook pour iOS et Android prend en charge les paramètres de stratégie de boîte aux lettres d’appareil mobile suivants dans Exchange Online :
Chiffrement de périphérique activé
Longueur minimale du mot de passe (uniquement sur Android)
Mot de passe activé
Autoriser le Bluetooth (utilisé pour gérer l’application portable Outlook pour Android)
Lorsque AllowBluetooth est activé (comportement par défaut) ou configuré pour HandsfreeOnly, la synchronisation portable entre Outlook sur l’appareil Android et Outlook sur le portable est autorisée pour le compte professionnel ou scolaire.
Lorsque AllowBluetooth est désactivé, Outlook pour Android désactive la synchronisation entre Outlook sur l’appareil Android et Outlook sur le portable pour le compte professionnel ou scolaire spécifié (et supprime toutes les données précédemment synchronisées pour le compte). La désactivation de la synchronisation est entièrement contrôlée dans Outlook lui-même ; Bluetooth n’est pas désactivé sur l’appareil ou portable, ni aucune autre application portable n’est affectée.
Pour savoir comment créer ou modifier une stratégie de boîte aux lettres d'appareil mobile existante, consultez la rubrique Stratégies de boîte aux lettres d'appareils mobiles dans Exchange Online.
De plus, Outlook pour iOS et Android prend en charge la fonction de réinitialisation à distance d'Exchange Online. Avec Outlook, une réinitialisation à distance réinitialise uniquement les données au sein de l’application Outlook elle-même et ne déclenche pas de réinitialisation complète de l’appareil. Pour plus d’informations sur la façon d’effectuer une réinitialisation à distance, consultez Effectuer une réinitialisation à distance sur un téléphone mobile dans Exchange Online.
Stratégie d’accès aux appareils
Outlook pour iOS et Android doit être activé par défaut, mais dans certains environnements Exchange Online existants, l’application peut être bloquée pour diverses raisons. Une fois qu’un organization décide de normaliser la façon dont les utilisateurs accèdent aux données Exchange et utilisent Outlook pour iOS et Android comme seule application de messagerie pour les utilisateurs finaux, vous pouvez configurer des blocs pour d’autres applications de messagerie s’exécutant sur les appareils iOS et Android des utilisateurs. Vous avez deux options pour créer ces blocs dans Exchange Online : la première option bloque tous les appareils et autorise uniquement l’utilisation d’Outlook pour iOS et Android ; la deuxième option vous permet d’empêcher les appareils individuels d’utiliser les applications Exchange ActiveSync natives.
Remarque
Étant donné que les ID d’appareil ne sont pas régis par n’importe quel ID d’appareil physique, ils peuvent changer sans préavis. Lorsqu'une modification se produit, elle peut entraîner des conséquences inattendues si les ID d'appareil sont utilisés pour gérer les appareils des utilisateurs, car les appareils « autorisés » existants peuvent être inopinément bloqués ou mis en quarantaine par Exchange. Par conséquent, nous recommandons aux administrateurs de définir uniquement des stratégies d’accès aux appareils mobiles qui autorisent/bloquent les appareils en fonction du type d’appareil ou du modèle d’appareil.
Option 1 : blocage de toutes les applications de messagerie à l’exception d’Outlook pour iOS et Android
Vous pouvez définir une règle de blocage par défaut, puis configurer une règle d’autorisation pour Outlook pour iOS et Android, et pour les appareils Windows, à l’aide des commandes PowerShell Exchange Online suivantes. Cette configuration empêche la connexion des applications Exchange ActiveSync natives et autorise uniquement Outlook pour iOS et Android.
Créez la règle de blocage par défaut :
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel BlockCréer une règle d'autorisation pour Outlook pour iOS et Android :
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
Option 2 : blocage des applications Exchange ActiveSync natives sur les appareils iOS et Android
Vous pouvez également bloquer les applications Exchange ActiveSync natives sur des appareils iOS et Android spécifiques ou sur d’autres types d’appareils.
Vérifiez qu'aucune règle d'accès d'appareil Exchange ActiveSync ne bloque Outlook pour iOS et Android :
Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Format-Table Name, AccessLevel, QueryString -AutoSizeS'il existe des règles d'accès d'appareil qui bloquent Outlook pour iOS et Android, tapez ce qui suit pour les supprimer :
Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Remove-ActiveSyncDeviceAccessRuleVous pouvez bloquer la plupart des appareils iOS et Android avec les commandes suivantes :
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel BlockTous les fabricants d'appareils Android ne spécifient pas « Android » en tant que type d'appareil. Les fabricants peuvent spécifier une valeur unique à chaque version. Pour rechercher d'autres appareils Android qui accèdent à votre environnement, exécutez la commande suivante pour générer un rapport de tous les appareils qui ont un partenariat Exchange ActiveSync actif :
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csvCréez des règles de blocage supplémentaires, en fonction des résultats de l'étape 3. Par exemple, si vous trouvez que votre environnement utilise les appareils Android HTC One de manière intensive, vous pouvez créer une règle d'accès d'appareil Exchange ActiveSync qui bloque cet appareil en particulier, obligeant les utilisateurs à utiliser Outlook pour iOS et Android. Dans cet exemple, vous devriez taper :
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel BlockRemarque
Le paramètre -QueryString n’accepte pas les caractères génériques ou les correspondances partielles.
Ressources supplémentaires :
Blocage d’Outlook pour iOS et Android
Si vous ne souhaitez pas que les utilisateurs de votre organization accèdent aux données Exchange avec Outlook pour iOS et Android, l’approche que vous adopterez varie selon que vous utilisez des stratégies d’accès conditionnel Microsoft Entra ou des stratégies d’accès aux appareils de Exchange Online.
Option 1 : blocage de l’accès des appareils mobiles à l’aide d’une stratégie d’accès conditionnel
Microsoft Entra l’accès conditionnel ne fournit pas de mécanisme permettant de bloquer spécifiquement Outlook pour iOS et Android tout en autorisant d’autres clients Exchange ActiveSync. Cela étant, les stratégies d'accès conditionnel peuvent servir à bloquer l'accès aux appareils mobiles de deux façons :
Option A : bloquer l'accès aux appareils mobiles sur les plateformes iOS et Android
Option B : bloquer l’accès aux appareils mobiles sur une plateforme d’appareil mobile spécifique
Option A : bloquer l’accès aux appareils mobiles sur les plateformes iOS et Android
Pour empêcher tous les utilisateurs ou un sous-ensemble d’utilisateurs d’accéder aux appareils mobiles en utilisant l’accès conditionnel, suivez les étapes suivantes.
Créez des stratégies d'accès conditionnel qui ciblent tous les utilisateurs ou un sous-ensemble d'utilisateurs via un groupe de sécurité. Les détails se trouvent dans Stratégie d’accès conditionnel commun : Exiger des applications clientes approuvées ou une stratégie de protection des applications.
La première stratégie empêche Outlook pour iOS et Android de se connecter à Exchange Online ainsi que les autres clients Exchange ActiveSync compatibles OAuth. Consultez « Étape 1 : Configurer une stratégie d’accès conditionnel Microsoft Entra pour Exchange Online », mais pour la cinquième étape, choisissez Bloquer l’accès.
La deuxième stratégie empêche les clients Exchange ActiveSync qui utilisent l'authentification de base de se connecter à Exchange Online. Consultez « Étape 2 : Configurer une stratégie d’accès conditionnel Microsoft Entra pour Exchange Online avec ActiveSync (EAS) ».
Option B : bloquer l’accès aux appareils mobiles sur une plateforme d’appareil mobile spécifique
Pour empêcher une plateforme d’appareil mobile spécifique de se connecter à Exchange Online, tout en autorisant Outlook pour iOS et Android à s’y connecter via cette plateforme, créez les stratégies d’accès conditionnel suivantes (chaque stratégie doit cibler tous les utilisateurs). Les détails se trouvent dans Stratégie d’accès conditionnel commun : Exiger des applications clientes approuvées ou une stratégie de protection des applications.
La première stratégie autorise Outlook pour iOS et Android sur la plateforme d’appareil mobile spécifique et empêche d’autres clients compatibles Exchange ActiveSync OAuth de se connecter à Exchange Online. Consultez « Étape 1 : Configurer une stratégie d’accès conditionnel Microsoft Entra pour Exchange Online », mais pour l’étape 4a, sélectionnez uniquement la plateforme d’appareil mobile souhaitée (par exemple, iOS) à laquelle vous souhaitez autoriser l’accès.
La deuxième stratégie empêche l’application sur la plateforme d’appareil mobile spécifique et d’autres clients compatibles OAuth Exchange ActiveSync de se connecter à Exchange Online. Consultez « Étape 1 : Configurer une stratégie d’accès conditionnel Microsoft Entra pour Exchange Online », mais pour l’étape 4a, sélectionnez uniquement la plateforme d’appareil mobile souhaitée (telle qu’Android) à laquelle vous souhaitez bloquer l’accès et, pour l’étape 5, choisissez Bloquer l’accès.
La troisième stratégie empêche les clients Exchange ActiveSync qui utilisent l'authentification de base de se connecter à Exchange Online. Consultez « Étape 2 : Configurer une stratégie d’accès conditionnel Microsoft Entra pour Exchange Online avec ActiveSync (EAS) ».
Option 2 : bloquer Outlook pour iOS et Android à l’aide des règles d’accès des appareils mobiles Exchange
Si vous gérez votre accès aux appareils mobiles via les règles d'accès des appareils Exchange Online, deux options s'offrent à vous :
Option A : bloquer Outlook pour iOS et Android sur les plateformes iOS et Android
Option B : bloquer Outlook pour iOS et Android sur une plateforme d'appareil mobile spécifique
Chaque organisation Exchange dispose de stratégies différentes en matière de sécurité et de gestion des périphériques. Si une organisation décide qu'Outlook pour iOS et Android ne répond pas à ses besoins ou n'est pas la meilleure solution pour elle, les administrateurs ont la possibilité de bloquer l'application. Une fois que l'application est bloquée, les utilisateurs mobiles Exchange de votre organisation peuvent continuer à accéder à leurs boîtes aux lettres à l'aide des applications de messagerie intégrées sur iOS et Android.
L’applet New-ActiveSyncDeviceAccessRule de commande a un Characteristic paramètre et il existe trois Characteristic options que les administrateurs peuvent utiliser pour bloquer l’application Outlook pour iOS et Android. Les options sont UserAgent, DeviceModel et DeviceType. Pour les deux options de blocage décrites dans les sections suivantes, vous allez utiliser une ou plusieurs de ces valeurs de caractéristiques pour restreindre l'accès d'Outlook pour iOS et Android aux boîtes aux lettres de votre organisation.
Les valeurs pour chaque caractéristique sont affichées dans le tableau suivant :
| Caractéristique | Chaîne pour iOS | Chaîne pour Android |
|---|---|---|
| DeviceModel | Outlook pour iOS et Android | Outlook pour iOS et Android |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS/2.0 | Outlook-Android/2.0 |
Option A : bloquer Outlook pour iOS et Android sur les plateformes iOS et Android
Avec l’applet de New-ActiveSyncDeviceAccessRule commande , vous pouvez définir une règle d’accès aux appareils, à l’aide de la DeviceModel caractéristique ou DeviceType . Dans les deux cas, la règle d'accès bloque Outlook pour iOS et Android sur toutes les plateformes et empêche l'accès de tous les appareils à une boîte aux lettres Exchange par le biais de l'application, à la fois sur la plateforme iOS et Android.
Voici deux exemples de règle d'accès d'appareil. Le premier exemple utilise la DeviceModel caractéristique ; le deuxième exemple utilise la DeviceType caractéristique .
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
Option B : bloquer Outlook pour iOS et Android sur une plateforme d'appareil mobile spécifique
Avec cette UserAgent caractéristique, vous pouvez définir une règle d’accès aux appareils qui bloque Outlook pour iOS et Android sur une plateforme spécifique. Cette règle empêche un appareil d'utiliser Outlook pour iOS et Android pour se connecter à la plateforme que vous spécifiez. Les exemples suivants montrent comment utiliser la valeur spécifique de l’appareil pour la UserAgent caractéristique.
Pour bloquer Android et autoriser iOS :
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow
Pour bloquer iOS et autoriser Android :
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block
Exchange Online contrôles
Au-delà de Microsoft Endpoint Manager, Mobilité et sécurité de base pour Microsoft 365 et les stratégies d’appareils mobiles Exchange, vous pouvez gérer l’accès des appareils mobiles aux informations de votre organization par le biais de différents contrôles Exchange Online, ainsi que l’autorisation d’autoriser les utilisateurs à accéder aux compléments dans Outlook pour iOS et Android.
Stratégies d’application des services web Exchange (EWS)
Une stratégie d'application EWS permet de contrôler si les applications sont autorisées ou non à utiliser l'API REST. Notez que lorsque vous configurez une stratégie d'application EWS qui autorise uniquement l'accès d'applications spécifiques à votre environnement de messagerie, vous devez ajouter la chaîne de l'agent utilisateur pour Outlook pour iOS et Android à la liste verte EWS.
L'exemple suivant montre comment ajouter les chaînes de l'agent utilisateur à la liste verte EWS :
Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}
Contrôles utilisateur Exchange
Avec la technologie de synchronisation Microsoft native, les administrateurs peuvent contrôler l’utilisation d’Outlook pour iOS et Android au niveau de la boîte aux lettres. Par défaut, les utilisateurs sont autorisés à accéder aux données de boîte aux lettres à l’aide d’Outlook pour iOS et Android. L’exemple suivant montre comment désactiver l’accès aux boîtes aux lettres d’un utilisateur avec Outlook pour iOS et Android :
Set-CASMailbox jane@contoso.com -OutlookMobileEnabled $false
Gestion des compléments
Outlook pour iOS et Android permet aux utilisateurs d’intégrer des applications et des services populaires au client de messagerie. Les compléments pour Outlook sont disponibles sur le web, Windows, Mac et mobile. Étant donné que les compléments sont gérés via Microsoft 365 ou Office 365, les utilisateurs peuvent partager des données et des messages entre Outlook pour iOS et Android et le complément non géré (même lorsque le compte est géré par une stratégie Intune App Protection), sauf si les compléments sont désactivés pour l’utilisateur dans le Centre d'administration Microsoft 365.
Si vous souhaitez empêcher vos utilisateurs finaux d’accéder aux compléments Outlook et de les installer (ce qui affecte tous les clients Outlook), exécutez les modifications suivantes apportées aux rôles dans le Centre d'administration Microsoft 365 :
- Pour empêcher les utilisateurs d'installer des compléments de l'Office Store, supprimez le rôle My Marketplace de ces derniers.
- Pour empêcher les utilisateurs de charger des compléments, supprimez-leur le rôle Mes applications personnalisées.
- Pour empêcher les utilisateurs d’installer tous les compléments, supprimez-leur les rôles Mes applications personnalisées et Ma Place de marché.
Pour plus d’informations, consultez Compléments pour Outlook et Comment gérer le déploiement des compléments dans le Centre d'administration Microsoft 365.