Share via


Toegang tot berichtensamenwerking beheren met Outlook voor iOS en Android met Microsoft Intune

De app Outlook voor iOS en Android is ontworpen om gebruikers in uw organisatie in staat te stellen meer te doen vanaf hun mobiele apparaten, door e-mail, agenda, contactpersonen en andere bestanden samen te brengen.

De uitgebreidste en breedste beveiligingsmogelijkheden voor Microsoft 365 gegevens zijn beschikbaar wanneer u zich abonneert op de Enterprise Mobility + Security suite, die Microsoft Intune- en Microsoft Entra ID P1- of P2-functies bevat, zoals voorwaardelijke toegang. U wilt ten minste een beleid voor voorwaardelijke toegang implementeren dat connectiviteit met Outlook voor iOS en Android vanaf mobiele apparaten toestaat en een Intune-beleid voor app-beveiliging dat ervoor zorgt dat de samenwerkingservaring wordt beveiligd.

Voorwaardelijke toegang toepassen

Organisaties kunnen beleid voor voorwaardelijke toegang van Microsoft Entra gebruiken om ervoor te zorgen dat gebruikers alleen toegang hebben tot werk- of schoolinhoud met Outlook voor iOS en Android. Hiervoor heb je een beleid voor voorwaardelijke toegang nodig dat is gericht op alle potentiële gebruikers. Deze beleidsregels worden beschreven in Voorwaardelijke toegang: Goedgekeurde client-apps of app-beveiligingsbeleid vereisen.

  1. Volg de stappen in Goedgekeurde client-apps of app-beveiligingsbeleid vereisen met mobiele apparaten. Dit beleid staat Outlook voor iOS en Android toe, maar blokkeert OAuth- en basisverificatie-compatibele Mobiele Exchange ActiveSync-clients om verbinding te maken met Exchange Online.

    Opmerking

    Dit beleid zorgt ervoor dat mobiele gebruikers toegang hebben tot alle Microsoft 365 eindpunten met behulp van de toepasselijke apps.

  2. Volg de stappen in Exchange ActiveSync blokkeren op alle apparaten, waardoor Exchange ActiveSync-clients die basisverificatie gebruiken op niet-mobiele apparaten geen verbinding kunnen maken met Exchange Online.

    Het bovenstaande beleid maakt gebruik van het beleid voor het verlenen van toegangsbeheer App-beveiligingsbeleid vereisen, waarmee ervoor wordt gezorgd dat een Intune-app-beveiligingsbeleid wordt toegepast op het gekoppelde account in Outlook voor iOS en Android voordat toegang wordt verleend. Als de gebruiker niet is toegewezen aan een Intune-beleid voor app-beveiliging, geen licentie heeft voor Intune of als de app niet is opgenomen in het Intune-beleid voor app-beveiliging, voorkomt het beleid dat de gebruiker een toegangstoken verkrijgt en toegang krijgt tot berichtengegevens.

  3. Volg de stappen in Procedure: Verouderde verificatie blokkeren voor Microsoft Entra ID met voorwaardelijke toegang om verouderde verificatie voor andere Exchange-protocollen op iOS- en Android-apparaten te blokkeren; dit beleid moet alleen gericht zijn op microsoft Exchange Online-cloudapps en iOS- en Android-apparaatplatforms. Dit zorgt ervoor dat mobiele apps met exchange-webservices, IMAP4 of POP3-protocollen met basisverificatie geen verbinding kunnen maken met Exchange Online.

Opmerking

Als u gebruik wilt maken van beleid voor voorwaardelijke toegang op basis van apps, moet de Microsoft Authenticator-app zijn geïnstalleerd op iOS-apparaten. Voor Android-apparaten is de Intune-bedrijfsportal-app vereist. Zie Voorwaardelijke toegang op basis van apps met Intune voor meer informatie.

Intune-beveiligingsbeleid voor apps maken

App-beveiligingsbeleid (APP) definieert welke apps zijn toegestaan en welke acties ze kunnen uitvoeren met de gegevens van uw organisatie. Met de beschikbare opties in APP kunnen organisaties de beveiliging aanpassen aan hun specifieke behoeften. Voor sommigen is het mogelijk niet duidelijk welke beleidsinstellingen vereist zijn om een volledig scenario te implementeren. Om organisaties te helpen prioriteit te geven aan beveiliging van mobiele clienteindpunten, heeft Microsoft taxonomie geïntroduceerd voor het app-gegevensbeveiligingsframework voor het beheer van mobiele apps voor iOS en Android.

Het APP-gegevensbeveiligingsframework is ingedeeld in drie verschillende configuratieniveaus, waarbij elk niveau afbouwt op het vorige niveau:

  • Enterprise Basic Data Protection (Niveau 1) zorgt ervoor dat apps worden beveiligd met een pincode en versleuteld en selectief wissen worden uitgevoerd. Voor Android-apparaten valideert dit niveau de attestation van Android-apparaten. Dit is een configuratie op instapniveau die vergelijkbaar beheer van gegevensbeveiliging biedt in Exchange Online postvakbeleid en de IT- en gebruikerspopulatie introduceert in APP.
  • Verbeterde enterprise-gegevensbeveiliging (niveau 2) introduceert mechanismen voor het voorkomen van lekken van APP-gegevens en minimale vereisten voor het besturingssysteem. Dit is de configuratie die van toepassing is op de meeste mobiele gebruikers die toegang hebben tot werk- of schoolgegevens.
  • Enterprise High Data Protection (Level 3) introduceert geavanceerde mechanismen voor gegevensbeveiliging, verbeterde pincodeconfiguratie en APP Mobile Threat Defense. Deze configuratie is wenselijk voor gebruikers die toegang hebben tot gegevens met een hoog risico.

Als u de specifieke aanbevelingen wilt zien voor elk configuratieniveau en de minimale apps die moeten worden beveiligd, raadpleegt u Het framework voor gegevensbescherming met behulp van app-beveiligingsbeleid.

Ongeacht of het apparaat is ingeschreven bij een UEM-oplossing (Unified Endpoint Management), moet er een Intune-app-beveiligingsbeleid worden gemaakt voor zowel iOS- als Android-apps, met behulp van de stappen in App-beveiligingsbeleid maken en toewijzen. Deze beleidsregels moeten minimaal aan de volgende voorwaarden voldoen:

  • Ze omvatten alle mobiele Microsoft 365-toepassingen, zoals Edge, Outlook, OneDrive, Office of Teams, omdat dit ervoor zorgt dat gebruikers werk- of schoolgegevens in elke Microsoft-app op een veilige manier kunnen openen en bewerken.

  • Ze worden toegewezen aan alle gebruikers. Dit zorgt ervoor dat alle gebruikers worden beveiligd, ongeacht of ze Outlook voor iOS of Android gebruiken.

  • Bepaal welk frameworkniveau voldoet aan uw vereisten. De meeste organisaties moeten de instellingen implementeren die zijn gedefinieerd in Verbeterde gegevensbescherming voor ondernemingen (niveau 2), omdat dit besturingselementen voor gegevensbeveiliging en toegangsvereisten mogelijk maakt.

Zie Beveiligingsbeleidsinstellingen voor Android-apps en beveiligingsbeleidsinstellingen voor iOS-apps voor meer informatie over de beschikbare instellingen.

Belangrijk

Als u intune-app-beveiligingsbeleid wilt toepassen op apps op Android-apparaten die niet zijn ingeschreven bij Intune, moet de gebruiker ook de Intune-bedrijfsportal installeren.

App-configuratie gebruiken

Outlook voor iOS en Android ondersteunt app-instellingen waarmee beheerders van geïntegreerd eindpuntbeheer het gedrag van de app kunnen aanpassen. Microsoft Intune, een geïntegreerde oplossing voor eindpuntbeheer, wordt vaak gebruikt voor het configureren en toewijzen van apps aan eindgebruikers van de organisatie.

App-configuratie kan worden geleverd via het MDM-besturingssysteemkanaal (Mobile Device Management) op ingeschreven apparaten (Beheerd App Configuration -kanaal voor iOS of het Android in het Enterprise -kanaal voor Android) of via het app-kanaal (Intune-app-beveiliging Policy). Outlook voor iOS en Android ondersteunt de volgende configuratiescenario's:

  • Alleen werk- of schoolaccounts toestaan
  • Algemene app-configuratie-instellingen
  • S/MIME-instellingen
  • Instellingen voor gegevensbeveiliging

Zie Configuratie-instellingen voor Outlook voor iOS en Android implementeren voor specifieke procedurele stappen en gedetailleerde documentatie over de app-configuratie-instellingen die outlook voor iOS en Android ondersteunt.

Volgende stappen