Zarządzanie dostępem do współpracy obsługi komunikatów przy użyciu programu Outlook dla systemów iOS i Android w usłudze Microsoft Intune
Aplikacja Outlook dla systemów iOS i Android została zaprojektowana tak, aby umożliwić użytkownikom w organizacji wykonywanie dodatkowych czynności z urządzeń przenośnych przez połączenie poczty e-mail, kalendarza, kontaktów i innych plików.
Najbogatsze i najszersze możliwości ochrony danych platformy Microsoft 365 są dostępne podczas subskrybowania pakietu Enterprise Mobility + Security, który obejmuje funkcje usług Microsoft Intune i Tożsamość Microsoft Entra w warstwie P1 i P2, takie jak dostęp warunkowy. Co najmniej chcesz wdrożyć zasady dostępu warunkowego, które umożliwiają łączność z programem Outlook dla systemów iOS i Android z urządzeń przenośnych, oraz zasady ochrony aplikacji usługi Intune, które zapewniają ochronę środowiska współpracy.
Zastosuj dostęp warunkowy
Organizacje mogą używać zasad dostępu warunkowego usługi Microsoft Entra, aby zapewnić użytkownikom dostęp tylko do zawartości służbowych przy użyciu programu Outlook dla systemów iOS i Android. W tym celu potrzebne są zasady dostępu warunkowego, które dotyczą wszystkich potencjalnych użytkowników. Te zasady zostały opisane w artykule Dostęp warunkowy: Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji.
Wykonaj kroki opisane w temacie Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji na urządzeniach przenośnych. Te zasady umożliwiają programowi Outlook dla systemów iOS i Android, ale uniemożliwiają klientom mobilnym programu Exchange ActiveSync łączenie się z usługą Exchange Online przy użyciu uwierzytelniania podstawowego i podstawowego.
Uwaga
Te zasady zapewniają użytkownikom urządzeń przenośnych dostęp do wszystkich punktów końcowych platformy Microsoft 365 przy użyciu odpowiednich aplikacji.
Wykonaj kroki opisane w temacie Blokuj program Exchange ActiveSync na wszystkich urządzeniach, co uniemożliwia klientom programu Exchange ActiveSync korzystanie z uwierzytelniania podstawowego na urządzeniach innych niż mobilne nawiązywanie połączenia z usługą Exchange Online.
Powyższe zasady korzystają z zasad udzielania dostępu Wymagaj ochrony aplikacji, co gwarantuje, że zasady ochrony aplikacji usługi Intune są stosowane do skojarzonego konta w programie Outlook dla systemów iOS i Android przed udzieleniem dostępu. Jeśli użytkownik nie jest przypisany do zasad ochrony aplikacji usługi Intune, nie jest licencjonowany dla usługi Intune lub aplikacja nie jest uwzględniona w zasadach ochrony aplikacji usługi Intune, zasady uniemożliwiają użytkownikowi uzyskanie tokenu dostępu i uzyskanie dostępu do danych komunikatów.
Wykonaj kroki opisane w temacie Instrukcje: blokowanie starszego uwierzytelniania w usłudze Microsoft Entra ID przy użyciu dostępu warunkowego w celu zablokowania starszego uwierzytelniania dla innych protokołów programu Exchange na urządzeniach z systemami iOS i Android; Te zasady powinny być przeznaczone tylko dla aplikacji w chmurze usługi Microsoft Exchange Online oraz platform urządzeń z systemami iOS i Android. Dzięki temu aplikacje mobilne korzystające z usług Exchange Web Services, IMAP4 lub POP3 z uwierzytelnianiem podstawowym nie mogą łączyć się z usługą Exchange Online.
Uwaga
Aby korzystać z zasad dostępu warunkowego opartego na aplikacji, aplikacja Microsoft Authenticator musi być zainstalowana na urządzeniach z systemem iOS. W przypadku urządzeń z systemem Android wymagana jest aplikacja Intune — Portal firmy. Aby uzyskać więcej informacji, zobacz Dostęp warunkowy oparty na aplikacji przy użyciu usługi Intune.
Utwórz zasady ochrony aplikacji usługi Intune
Zasady ochrony aplikacji (zasady APP) definiują, które aplikacje są dozwolone, oraz akcje, jakie mogą wykonywać na danych Twojej organizacji. Opcje dostępne w zasadach APP umożliwiają organizacjom dostosowanie ochrony do ich konkretnych potrzeb. Dla niektórych może nie być oczywiste, które ustawienia zasad są wymagane do wdrożenia pełnego scenariusza. Aby ułatwić organizacjom ustalanie priorytetów zabezpieczeń punktów końcowych klientów na urządzeniach przenośnych, firma Microsoft wprowadziła taksonomię dla struktury ochrony danych aplikacji na potrzeby zarządzania aplikacjami na urządzeniach przenośnych dla systemów iOS i Android.
Struktura ochrony danych zasad APP jest podzielona na trzy różne poziomy konfiguracji, przy czym każdy poziom opiera się na poziomie poprzednim:
- Podstawowa ochrona danych w przedsiębiorstwie (poziom 1) zapewnia, że aplikacje są chronione przy użyciu kodu PIN i szyfrowane, a także wykonuje selektywne operacje czyszczenia. W przypadku urządzeń z systemem Android ten poziom weryfikuje zaświadczanie urządzenia z systemem Android. Jest to konfiguracja na poziomie podstawowym, która zapewnia podobną kontrolę ochrony danych w zasadach skrzynek pocztowych usługi Exchange Online oraz wprowadza specjalistów IT i populację użytkowników do aplikacji.
- Rozszerzona ochrona danych w przedsiębiorstwie (poziom 2) wprowadza mechanizmy zapobiegania wyciekom danych aplikacji i minimalne wymagania dotyczące systemu operacyjnego. Jest to konfiguracja, która ma zastosowanie w przypadku większości użytkowników na urządzeniach przenośnych uzyskujących dostęp do danych służbowych.
- Wysoka ochrona danych w przedsiębiorstwie (poziom 3) wprowadza zaawansowane mechanizmy ochrony danych, rozszerzoną konfigurację kodu PIN i zasady APP dotyczące obrony przed zagrożeniami mobilnymi. Ta konfiguracja jest pożądana dla użytkowników uzyskujących dostęp do danych wysokiego ryzyka.
Aby zobaczyć specyficzne zalecenia dotyczące każdego poziomu konfiguracji i minimalną liczbę aplikacji, które muszą być chronione, zapoznaj się z artykułem Struktura ochrony danych przy użyciu zasad ochrony aplikacji.
Niezależnie od tego, czy urządzenie jest zarejestrowane w rozwiązaniu do ujednoliconego zarządzania punktami końcowymi (rozwiązanie UEM), należy utworzyć zasady ochrony aplikacji usługi Intune dla aplikacji dla systemów iOS i Android, wykonując kroki opisane w artykule Jak utworzyć i przypisać zasady ochrony aplikacji. Te zasady muszą spełniać co najmniej następujące warunki:
Obejmują one wszystkie aplikacje na urządzenia przenośne platformy Microsoft 365, takie jak Edge, Outlook, OneDrive, Office czy Teams, ponieważ zapewniają użytkownikom bezpieczny dostęp do danych służbowych oraz manipulowanie tymi danymi w dowolnej aplikacji firmy Microsoft.
Są one przypisane do wszystkich użytkowników. Dzięki temu wszyscy użytkownicy są chronieni niezależnie od tego, czy korzystają z programu Outlook dla systemu iOS, czy Android.
Określ, który poziom struktury spełnia Twoje wymagania. Większość organizacji powinna wdrożyć ustawienia zdefiniowane w artykule Rozszerzona ochrona danych przedsiębiorstwa (poziom 2), ponieważ umożliwiają one kontrolę wymagań dotyczących ochrony danych i dostępu.
Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz Ustawienia zasad ochrony aplikacji dla systemu Android i Ustawienia zasad ochrony aplikacji dla systemu iOS.
Ważna
Aby zastosować zasady ochrony aplikacji usługi Intune wobec aplikacji na urządzeniach z systemem Android, które nie są zarejestrowane w usłudze Intune, użytkownik musi również zainstalować usługę Intune — Portal firmy.
Korzystanie z konfiguracji aplikacji
Program Outlook dla systemów iOS i Android obsługuje ustawienia aplikacji, które umożliwiają administratorom ujednoliconego zarządzania punktami końcowymi dostosowywanie zachowania aplikacji. Usługa Microsoft Intune, która jest ujednoliconym rozwiązaniem do zarządzania punktami końcowymi, jest często używana do konfigurowania i przypisywania aplikacji do organizacyjnych użytkowników końcowych.
Konfigurację aplikacji można przeprowadzić albo za pośrednictwem kanału systemu operacyjnego zarządzania urządzeniami przenośnymi (funkcja MDM) na zarejestrowanych urządzeniach (kanał Managed App Configuration dla systemu iOS lub kanał System Android w warstwie Enterprise dla systemu Android), albo za pośrednictwem kanału Zasady ochrony aplikacji (ZOP). Program Outlook dla systemów iOS i Android obsługuje następujące scenariusze konfiguracji:
- Zezwalaj tylko na konta służbowe
- Ogólne ustawienia konfiguracji aplikacji
- Ustawienia protokołu S/MIME
- Ustawienia ochrony danych
Aby uzyskać szczegółowe instrukcje proceduralne i szczegółową dokumentację dotyczącą ustawień konfiguracji aplikacji obsługiwanych przez program Outlook dla systemów iOS i Android, zobacz Deploying Outlook for iOS and Android app configuration settings (Wdrażanie ustawień konfiguracji aplikacji Outlook dla systemów iOS i Android).