Gestire l'accesso alla collaborazione tramite messaggistica tramite Outlook per iOS e Android con Microsoft Intune
L'app Outlook per iOS e Android è progettata per consentire agli utenti dell'organizzazione di eseguire ulteriori operazioni dai dispositivi mobili, unendo posta elettronica, calendario, contatti e altri file.
Le funzionalità di protezione più complete e ampie per i dati di Microsoft 365 sono disponibili quando si sottoscrive la famiglia di prodotti Enterprise Mobility + Security, che include le funzionalità di Microsoft Intune e Microsoft Entra ID P1 o P2, come l'accesso condizionato. Come minimo, è consigliabile distribuire criteri di accesso condizionale che consentono la connettività a Outlook per iOS e Android da dispositivi mobili e un criterio di protezione delle app di Intune che garantisce la protezione dell'esperienza di collaborazione.
Applicare l'accesso condizionale
Le organizzazioni possono usare i criteri di accesso condizionale di Microsoft Entra per garantire che gli utenti possano accedere solo ai contenuti aziendali o dell'istituto di istruzione usando Outlook per iOS e Android. A tale scopo, è necessario disporre di criteri di accesso condizionale destinati a tutti i potenziali utenti. Questi criteri sono descritti in Accesso condizionale: Richiedere app client approvate o criteri di protezione delle app.
Seguire la procedura descritta in Richiedere app client approvate o criteri di protezione delle app con dispositivi mobili. Questo criterio consente outlook per iOS e Android, ma impedisce ai client mobili OAuth e di autenticazione di base di Exchange ActiveSync di connettersi a Exchange Online.
Nota
Questo criterio garantisce che gli utenti di dispositivi mobili possano accedere a tutti gli endpoint Microsoft 365 usando le app applicabili.
Seguire la procedura descritta in Blocca Exchange ActiveSync in tutti i dispositivi, impedendo la connessione a Exchange Online dei client Exchange ActiveSync che usano l'autenticazione di base nei dispositivi non mobili.
I criteri precedenti sfruttano il controllo di accesso di concessione Richiedi criteri di protezione delle app, che garantisce che un criterio di protezione delle app di Intune venga applicato all'account associato in Outlook per iOS e Android prima di concedere l'accesso. Se l'utente non è assegnato a un criterio di protezione delle app di Intune, non ha una licenza per Intune o l'app non è inclusa nei criteri di protezione delle app di Intune, il criterio impedisce all'utente di ottenere un token di accesso e ottenere l'accesso ai dati di messaggistica.
Seguire la procedura descritta in Procedura: Bloccare l'autenticazione legacy a Microsoft Entra ID con l'accesso condizionale per bloccare l'autenticazione legacy per altri protocolli di Exchange nei dispositivi iOS e Android; questo criterio deve essere destinato solo alle app cloud di Microsoft Exchange Online e alle piattaforme per dispositivi iOS e Android. In questo modo le app per dispositivi mobili che usano i protocolli Exchange Web Services, IMAP4 o POP3 con autenticazione di base non possono connettersi a Exchange Online.
Nota
Per sfruttare i criteri di accesso condizionale basati sulle app, è necessario installare l'app Microsoft Authenticator sui dispositivi iOS. Per i dispositivi Android è necessaria l'applicazione Intune Company Portal. Per ulteriori informazioni, vedere Accesso condizionale basato su app con Intune.
Creare i criteri di protezione delle app Intune
Le App Protection Policies (APP) definiscono quali app sono consentite e le azioni che possono compiere con i dati dell'organizzazione. Le scelte disponibili nella APP consentono alle organizzazioni di adattare la protezione alle loro esigenze specifiche. Per alcune, potrebbe non essere ovvio quali impostazioni di criterio siano necessarie per implementare uno scenario completo. Per aiutare le aziende a dare priorità alla protezione avanzata degli endpoint dei client per dispositivi mobili, Microsoft ha introdotto una tassonomia per il suo framework di protezione dei dati APP per la gestione delle app mobili iOS e Android.
Il framework di protezione dei dati APP è organizzato in tre livelli di configurazione distinti, ognuno dei quali si basa sul livello precedente:
- La protezione di base dei dati aziendali (livello 1) garantisce che le app siano protette con un PIN e crittografate ed esegue operazioni di cancellazione selettiva. Per i dispositivi Android, questo livello convalida l'attestazione del dispositivo Android. Si tratta di una configurazione di base che fornisce un controllo simile della protezione dei dati nei criteri delle caselle postali di Exchange Online e introduce l'IT e gli utenti all'APP.
- La protezione avanzata dei dati aziendali (livello 2) introduce i meccanismi di prevenzione delle perdite di dati dell'APP e i requisiti minimi del sistema operativo. Questa è la configurazione applicabile alla maggior parte degli utenti mobili che accedono ai dati aziendali o dell'istituto di istruzione.
- La protezione elevata dei dati aziendali (livello 3) introduce meccanismi avanzati di protezione dei dati, una migliore configurazione del PIN e l'APP Mobile Threat Defense. Questa configurazione è auspicabile per gli utenti che accedono a dati ad alto rischio.
Per visualizzare le raccomandazioni specifiche per ogni livello di configurazione e le applicazioni minime che devono essere protette, consultare il documento Framework di protezione dei dati utilizzando i criteri di protezione delle app.
Indipendentemente dal fatto che il dispositivo sia iscritto a una soluzione di gestione unificata degli endpoint (UEM), è necessario creare un criterio di protezione delle app Intune sia per le app iOS che per quelle Android, seguendo la procedura descritta in Come creare e assegnare i criteri di protezione delle app. È necessario che questi criteri soddisfino le seguenti condizioni:
Includono tutte le applicazioni mobili di Microsoft 365, come Edge, Outlook, OneDrive, Office o Teams, in modo da garantire che gli utenti possano accedere e manipolare i dati di lavoro o scolastici all'interno di qualsiasi applicazione Microsoft in modo sicuro.
Devono essere assegnati a tutti gli utenti. In questo modo tutti gli utenti vengono protetti, indipendentemente dal fatto che usino Outlook per iOS o Android.
Determinare quale livello di framework soddisfa i requisiti. La maggior parte delle organizzazioni dovrebbe implementare le impostazioni definite in Protezione avanzata dei dati aziendali (livello 2), in quanto consentono di controllare la protezione dei dati e i requisiti di accesso.
Per ulteriori informazioni sulle impostazioni disponibili, vedere Impostazioni dei criteri di protezione delle app Android e Impostazioni dei criteri di protezione delle app iOS.
Importante
Per applicare i criteri di protezione delle app di Intune sulle app nei dispositivi Android non registrati in Intune, l'utente deve installare anche il Portale aziendale Intune.
Usare la configurazione dell'app
Outlook per iOS e Android supporta le impostazioni delle app che consentono agli amministratori di gestione degli endpoint unificati di personalizzare il comportamento dell'app. Microsoft Intune, che è una soluzione di gestione degli endpoint unificata, viene comunemente usato per configurare e assegnare app agli utenti finali dell'organizzazione.
La configurazione delle app può essere fornita attraverso il canale del sistema operativo di gestione dei dispositivi mobili (MDM) sui dispositivi iscritti (canale Managed App Configuration per iOS o canale Android in the Enterprise per Android) o attraverso il canale Intune App Protection Policy (APP). Outlook per iOS e Android supporta gli scenari di configurazione seguenti:
- Consentire solo account aziendali o dell'istituto di istruzione
- Impostazioni generali di configurazione dell'app
- Impostazioni S/MIME
- Impostazioni di protezione dei dati
Per i passaggi procedurali specifici e la documentazione dettagliata sulle impostazioni di configurazione delle app supportate da Outlook per iOS e Android, vedere Distribuzione delle impostazioni di configurazione delle app di Outlook per iOS e Android.