Protegendo o Outlook para iOS e Android no Exchange Online

O Outlook para iOS e Android fornece aos utilizadores a experiência rápida e intuitiva de e-mail e calendário que os utilizadores esperam de uma aplicação móvel moderna, sendo a única aplicação a fornecer suporte para as melhores funcionalidades do Microsoft 365 ou Office 365.

A proteção de dados empresariais ou organizacionais nos dispositivos móveis dos utilizadores é extremamente importante. Comece por rever Configurar o Outlook para iOS e Android para garantir que os seus utilizadores têm todas as aplicações necessárias instaladas. Depois disso, escolha uma das seguintes opções para proteger os seus dispositivos e os dados da sua organização:

1. Recomendado: se a sua organização tiver uma subscrição Enterprise Mobility + Security ou tiver obtido um licenciamento separado para Microsoft Intune e Microsoft Entra ID P1 ou P2, siga os passos em Tirar partido de Enterprise Mobility + Security conjunto de aplicações para proteger dados empresariais com o Outlook para iOS e Android para proteger dados empresariais com o Outlook para iOS e Android.

2. Se a sua organização não tiver uma subscrição ou licenciamento Enterprise Mobility + Security para Microsoft Intune e Microsoft Entra ID P1 ou P2, siga os passos em Tirar partido do Mobilidade básica e segurança para Microsoft 365 e utilize as capacidades de Mobilidade básica e segurança incluídas na sua subscrição do Office 365 ou do Microsoft 365.

3. Siga os passos em Tirar partido Exchange Online políticas de dispositivos móveis para implementar políticas básicas de acesso a dispositivos e caixas de correio de dispositivos móveis do Exchange.

Se, por outro lado, não quiser utilizar o Outlook para iOS e Android na sua organização, consulte Bloquear o Outlook para iOS e Android.

Observação

Veja Políticas de aplicações do Exchange Web Services (EWS) mais adiante neste artigo se preferir implementar uma política de aplicações EWS para gerir o acesso a dispositivos móveis na sua organização.

Configurar o Outlook para iOS e Android

Para dispositivos inscritos numa solução de gestão de pontos finais unificados (UEM), os utilizadores utilizarão a solução UEM, como a Portal da Empresa do Intune, para instalar as aplicações necessárias: Outlook para iOS e Android e Microsoft Authenticator.

Para dispositivos que não estão inscritos numa solução UEM, os utilizadores têm de instalar:

• Outlook para iOS e Android através do Apple App Store ou google Play Store

• Aplicação Microsoft Authenticator através da Apple App Store ou da Google Play Store

• Portal da Empresa do Intune aplicação através do Apple App Store ou da Google Play Store

Assim que a aplicação estiver instalada, os utilizadores podem seguir estes passos para adicionar a respetiva conta de e-mail empresarial e configurar as definições básicas da aplicação:

• Configurar a conta de e-mail na aplicação Outlook para iOS para dispositivos móveis

• Configurar o e-mail na aplicação Outlook para Android

• Otimizar a aplicação Outlook para dispositivos móveis para o seu telemóvel iOS ou Android

Importante

Para aproveitar as políticas de acesso condicional baseadas em aplicativos, o aplicativo Microsoft Authenticator deve ser instalado em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, consulte Acesso Condicional baseado em aplicativo com Intune.

Tirar partido do conjunto de Enterprise Mobility + Security para proteger dados empresariais com o Outlook para iOS e Android

Importante

A lista Permitir/Bloquear/Quarentena (ABQ) não fornece garantias de segurança (se um cliente falsificar o cabeçalho DeviceType, poderá ser possível ignorar o bloqueio de um determinado tipo de dispositivo). Para restringir de forma segura o acesso a tipos de dispositivos específicos, recomendamos que configure políticas de acesso condicional. Para obter mais informações, veja Acesso condicional baseado na aplicação com Intune.

As funcionalidades de proteção mais avançadas e abrangentes para o Microsoft 365 e Office 365 dados estão disponíveis quando subscreve o conjunto de Enterprise Mobility + Security, que inclui funcionalidades Microsoft Intune e Microsoft Entra ID P1 ou P2, como o acesso condicional. No mínimo, vai querer implementar uma política de acesso condicional que só permite a conectividade ao Outlook para iOS e Android a partir de dispositivos móveis e uma política de proteção de aplicações Intune que garanta que os dados empresariais estão protegidos.

Observação

Embora a subscrição do conjunto de Enterprise Mobility + Security inclua Microsoft Intune e Microsoft Entra ID P1 ou P2, os clientes podem comprar licenças de Microsoft Intune e Microsoft Entra ID Licenças P1 ou P2 separadamente. Todos os utilizadores têm de estar licenciados para tirar partido do acesso condicional e Intune políticas de proteção de aplicações que são abordadas neste artigo.

Bloquear todas as aplicações de e-mail, exceto o Outlook para iOS e Android, utilizando o acesso condicional

Quando uma organização decide uniformizar a forma como os utilizadores acedem aos dados do Exchange, utilizando o Outlook para iOS e Android como a única aplicação de e-mail para utilizadores finais, podem configurar uma política de acesso condicional que bloqueia outros métodos de acesso móvel. Para tal, precisará de várias políticas de acesso condicional, com cada política direcionada a todos os potenciais utilizadores. Essas políticas estão descritas em Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.

1. Siga os passos em Exigir aplicações cliente aprovadas ou política de proteção de aplicações com dispositivos móveis. Esta política permite que o Outlook para iOS e Android, mas bloqueia o OAuth e a autenticação básica capaz de Exchange ActiveSync os clientes móveis se liguem ao Exchange Online.

   Observação

   Esta política garante que os utilizadores móveis podem aceder a todos os pontos finais do Microsoft 365 através das aplicações aplicáveis.

2. Siga os passos em Bloquear Exchange ActiveSync em todos os dispositivos, o que impede que Exchange ActiveSync clientes que utilizam autenticação básica em dispositivos não móveis se liguem a Exchange Online.

   As políticas acima tiram partido do controlo de concessão de acesso Exigir política de proteção de aplicações, o que garante que uma Política de Proteção de Aplicações Intune é aplicada à conta associada no Outlook para iOS e Android antes de conceder acesso. Se o utilizador não estiver atribuído a uma Política de Proteção de Aplicações Intune, não estiver licenciado para Intune ou se a aplicação não estiver incluída na Política de Proteção de Aplicações Intune, a política impede que o utilizador obtenha um token de acesso e obtenha acesso aos dados de mensagens.

3. Siga os passos em Bloquear autenticação legada com Microsoft Entra Acesso Condicional para bloquear a autenticação legada para outros protocolos do Exchange em dispositivos iOS e Android; esta política deve visar apenas Office 365 Exchange Online aplicação na cloud e plataformas de dispositivos iOS e Android. Isto garante que as aplicações móveis que utilizam os protocolos Exchange Web Services, IMAP4 ou POP3 com autenticação básica não se conseguem ligar a Exchange Online.

Observação

Após a ativação das políticas de acesso condicional, pode demorar até 6 horas para que qualquer dispositivo móvel anteriormente ligado fique bloqueado.

Quando o utilizador se autentica no Outlook para iOS e Android, Exchange Online regras de acesso a dispositivos móveis (permitir, bloquear ou colocar em quarentena) são ignoradas se existirem políticas de Acesso Condicional Microsoft Entra aplicadas ao utilizador que incluam:

• Condição da aplicação na cloud: Exchange Online ou Office 365
• Condição da plataforma do dispositivo: iOS e/ou Android
• Condição das aplicações cliente: aplicações móveis e cliente de ambiente de trabalho
• Um dos seguintes controlos conceder acesso: exigir que o dispositivo seja marcado como conforme, Exigir aplicação cliente aprovada ou Exigir política de proteção de aplicações.

Para aproveitar as políticas de acesso condicional baseadas em aplicativos, o aplicativo Microsoft Authenticator deve ser instalado em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, consulte Acesso Condicional baseado em aplicativo com Intune.

Proteger dados empresariais no Outlook para iOS e Android com políticas de proteção de aplicações Intune

As Políticas de Proteção de Aplicativos (APP) definem quais aplicativos são permitidos e as ações que eles podem realizar com os dados da sua organização. As opções disponíveis no APP permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.

A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:

• A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
• A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
• A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos. Essa configuração é desejável para usuários que estão acessando dados de alto risco.

Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.

Independentemente de o dispositivo estar inscrito numa solução UEM, é necessário criar uma política de proteção de aplicações Intune para aplicações iOS e Android, através dos passos em Como criar e atribuir políticas de proteção de aplicações. Essas políticas, no mínimo, devem atender às seguintes condições:

1. Incluem todas as aplicações móveis da Microsoft, como o Edge, o OneDrive, o Office ou o Teams, uma vez que isto irá garantir que os utilizadores podem aceder e manipular dados escolares ou profissionais em qualquer aplicação microsoft de forma segura.

2. Eles são atribuídos a todos os usuários. Isto garante que todos os utilizadores estão protegidos, independentemente de utilizarem o Outlook para iOS ou Android.

3. Determine qual nível de estrutura atende aos seus requisitos. A maioria das organizações deve implementar as configurações definidas em Proteção de dados aprimorada empresarial (Nível 2), pois isso permite a proteção de dados e controles de requisitos de acesso.

Para obter mais informações sobre as definições disponíveis, consulte Definições de políticas de proteção de aplicações Android nas definições de política de proteção de aplicações Microsoft Intune e iOS.

Importante

Para aplicar políticas de proteção de aplicativos do Intune contra aplicativos em dispositivos Android que não estão registrados no Intune, o usuário também deve instalar o Portal da Empresa do Intune. Para obter mais informações, consulte O que esperar quando a sua aplicação Android é gerida por políticas de proteção de aplicações.

Tirar partido de Mobilidade básica e segurança para o Microsoft 365

Se não planear tirar partido do conjunto de Enterprise Mobility + Security, pode utilizar o Mobilidade básica e segurança para o Microsoft 365. Esta solução requer que os dispositivos móveis sejam inscritos. Quando um utilizador tenta aceder ao Exchange Online com um dispositivo que não está inscrito, o utilizador é impedido de aceder ao recurso até inscrever o dispositivo.

Uma vez que se trata de uma solução de gestão de dispositivos, não existe capacidade nativa para controlar as aplicações que podem ser utilizadas mesmo depois de um dispositivo ser inscrito. Se quiser limitar o acesso ao Outlook para iOS e Android, terá de obter licenças P1 ou P2 Microsoft Entra ID e tirar partido das políticas de acesso condicional abordadas em Bloquear todas as aplicações de e-mail, exceto o Outlook para iOS e Android, utilizando o acesso condicional.

Um administrador a quem é atribuída a função de Escritores de diretórios tem de concluir os seguintes passos para ativar e configurar a inscrição. Veja Configurar Mobilidade básica e segurança para obter os passos completos. Em resumo, estes passos incluem:

1. Ativar Mobilidade básica e segurança ao seguir os passos no Centro de Segurança do Microsoft 365.

2. Configurar a gestão unificada de pontos finais ao criar, por exemplo, um certificado do APNs para gerir dispositivos iOS.

3. Criar políticas de dispositivos e aplicá-las a grupos de utilizadores. Quando o fizer, os seus utilizadores receberão uma mensagem de inscrição no respetivo dispositivo. Quando terminarem a inscrição, os respetivos dispositivos serão restringidos pelas políticas que configurou para os mesmos.

Observação

As políticas e regras de acesso criadas no Mobilidade básica e segurança substituirão as políticas de caixa de correio de dispositivos móveis do Exchange e as regras de acesso do dispositivo criadas no centro de administração do Exchange. Depois de um dispositivo ser inscrito no Mobilidade básica e segurança, qualquer política de caixa de correio de dispositivo móvel do Exchange ou regra de acesso a dispositivos aplicada a esse dispositivo será ignorada.

Tirar partido Exchange Online políticas de dispositivos móveis

Se não planear tirar partido do conjunto de Enterprise Mobility + Security ou da funcionalidade de Mobilidade básica e segurança, pode implementar uma política de caixa de correio de dispositivos móveis do Exchange para proteger o dispositivo e regras de acesso do dispositivo para limitar a conectividade do dispositivo.

Política de caixa de correio de dispositivos móveis

O Outlook para iOS e Android suporta as seguintes definições de política de caixa de correio de dispositivos móveis no Exchange Online:

• Criptografia de dispositivo habilitada

• Comprimento mínimo da palavra-passe (apenas no Android)

• Senha habilitada

• Permitir Bluetooth (utilizado para gerir a aplicação wearable do Outlook para Android)

  • Quando AllowBluetooth está ativado (comportamento predefinido) ou configurado para HandsfreeOnly, a sincronização wearable entre o Outlook no dispositivo Android e o Outlook no wearable é permitida para a conta escolar ou profissional.

  • Quando AllowBluetooth estiver desativado, o Outlook para Android desativará a sincronização entre o Outlook no dispositivo Android e o Outlook no wearable para a conta escolar ou profissional especificada (e eliminará quaisquer dados previamente sincronizados para a conta). A desativação da sincronização é controlada inteiramente no próprio Outlook; O Bluetooth não está desativado no dispositivo ou utilizável, nem qualquer outra aplicação utilizável é afetada.

Para obter informações sobre como criar ou modificar uma política de caixa de correio de dispositivo móvel existente, consulte Políticas de caixa de correio de dispositivos móveis no Exchange Online.

Além disso, o Outlook para iOS e Android suporta a capacidade de eliminação de dispositivos do Exchange Online. Com o Outlook, uma eliminação remota apenas elimina dados na própria aplicação Outlook e não aciona uma eliminação completa do dispositivo. Para obter mais informações sobre como efetuar uma eliminação remota, consulte Executar uma eliminação remota num telemóvel no Exchange Online.

Política de acesso do dispositivo

O Outlook para iOS e Android deve estar ativado por predefinição, mas em alguns ambientes Exchange Online existentes, a aplicação pode ser bloqueada por vários motivos. Assim que uma organização decidir uniformizar a forma como os utilizadores acedem aos dados do Exchange e utilizam o Outlook para iOS e Android como a única aplicação de e-mail para utilizadores finais, pode configurar blocos para outras aplicações de e-mail em execução nos dispositivos iOS e Android dos utilizadores. Tem duas opções para instituir estes blocos no Exchange Online: a primeira opção bloqueia todos os dispositivos e só permite a utilização do Outlook para iOS e Android; a segunda opção permite-lhe bloquear a utilização de aplicações nativas Exchange ActiveSync dispositivos individuais.

Observação

Uma vez que os IDs de dispositivo não são regidos por nenhum ID de dispositivo físico , podem ser alterados sem aviso prévio. Quando isto acontece, pode causar consequências não intencionais quando os IDs de dispositivo são utilizados para gerir dispositivos de utilizador, uma vez que os dispositivos "permitidos" existentes podem ser bloqueados ou colocados em quarentena inesperadamente pelo Exchange. Por conseguinte, recomendamos que os administradores definam apenas políticas de acesso a dispositivos móveis que permitam/bloqueiem dispositivos com base no tipo de dispositivo ou no modelo de dispositivo.

Opção 1: bloquear todas as aplicações de e-mail, exceto o Outlook para iOS e Android

Pode definir uma regra de bloco predefinida e, em seguida, configurar uma regra de permissão para o Outlook para iOS e Android e para dispositivos Windows, com os seguintes comandos Exchange Online PowerShell. Esta configuração impedirá que qualquer aplicação nativa Exchange ActiveSync se ligue e só permitirá o Outlook para iOS e Android.

1. Crie a regra de bloco predefinida:

   Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
   

2. Criar uma regra de permissão para o Outlook para iOS e Android

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
   

Opção 2: Bloquear aplicações nativas Exchange ActiveSync em dispositivos Android e iOS

Em alternativa, pode bloquear aplicações nativas Exchange ActiveSync em dispositivos Android e iOS específicos ou noutros tipos de dispositivos.

1. Confirme que não existem Exchange ActiveSync regras de acesso a dispositivos implementadas que bloqueiem o Outlook para iOS e Android:

   Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Format-Table Name, AccessLevel, QueryString -AutoSize
   

   Se forem encontradas regras de acesso a dispositivos que bloqueiem o Outlook para iOS e Android, escreva o seguinte para removê-las:

   Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Remove-ActiveSyncDeviceAccessRule
   

2. Pode bloquear a maioria dos dispositivos Android e iOS com os seguintes comandos:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
   

3. Nem todos os fabricantes de dispositivos Android especificam "Android" como DeviceType. Os fabricantes podem especificar um valor exclusivo com cada versão. Para localizar outros dispositivos Android que estão a aceder ao seu ambiente, execute o seguinte comando para gerar um relatório de todos os dispositivos que tenham uma parceria de Exchange ActiveSync ativa:

   Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
   

4. Crie regras de bloco adicionais, consoante os resultados do Passo 3. Por exemplo, se descobrir que o seu ambiente tem uma utilização elevada de dispositivos HTCOne Android, pode criar uma regra de acesso de dispositivo Exchange ActiveSync que bloqueia esse dispositivo específico, obrigando os utilizadores a utilizar o Outlook para iOS e Android. Neste exemplo, escreveria:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
   

   Observação

   O parâmetro -QueryString não aceita carateres universais nem correspondências parciais.

Recursos adicionais:

• New-ActiveSyncDeviceAccessRule

• Get-MobileDevice

• Set-ActiveSyncOrganizationSettings

A bloquear o Outlook para iOS e Android

Se não quiser que os utilizadores na sua organização acedam a dados do Exchange com o Outlook para iOS e Android, a abordagem que adotar depende se está a utilizar Microsoft Entra políticas de Acesso Condicional ou políticas de acesso a dispositivos do Exchange Online.

Opção 1: bloquear o acesso a dispositivos móveis através de uma política de acesso condicional

Microsoft Entra Acesso Condicional não fornece um mecanismo através do qual pode bloquear especificamente o Outlook para iOS e Android, permitindo outros clientes Exchange ActiveSync. Dito isto, as políticas de acesso condicional podem ser utilizadas para bloquear o acesso a dispositivos móveis de duas formas:

• Opção A: Bloquear o acesso a dispositivos móveis nas plataformas iOS e Android

• Opção B: bloquear o acesso a dispositivos móveis numa plataforma de dispositivo móvel específica

Opção A: Bloquear o acesso a dispositivos móveis nas plataformas iOS e Android

Se quiser impedir o acesso a dispositivos móveis para todos os utilizadores ou um subconjunto de utilizadores, através do acesso condicional, siga estes passos.

Crie políticas de acesso condicional, com cada política direcionada a todos os utilizadores ou a um subconjunto de utilizadores através de um grupo de segurança. Os detalhes estão na política de Acesso Condicional Comum: exigir aplicações cliente aprovadas ou política de proteção de aplicações.

1. A primeira política impede que o Outlook para iOS e Android e outros clientes com capacidade OAuth Exchange ActiveSync se liguem ao Exchange Online. Veja "Passo 1 – Configurar uma política de Acesso Condicional Microsoft Entra para Exchange Online", mas, para o quinto passo, selecione Bloquear acesso.

2. A segunda política impede que Exchange ActiveSync clientes que tiram partido da autenticação básica se liguem a Exchange Online. Veja "Passo 2 – Configurar uma política de Acesso Condicional Microsoft Entra para Exchange Online com o ActiveSync (EAS)."

Opção B: bloquear o acesso a dispositivos móveis numa plataforma de dispositivo móvel específica

Se quiser impedir que uma plataforma de dispositivos móveis específica se ligue ao Exchange Online, permitindo que o Outlook para iOS e Android se ligue através dessa plataforma, crie as seguintes políticas de acesso condicional, com cada política direcionada a todos os utilizadores. Os detalhes estão na política de Acesso Condicional Comum: exigir aplicações cliente aprovadas ou política de proteção de aplicações.

1. A primeira política permite que o Outlook para iOS e Android na plataforma de dispositivos móveis específica e impede que outros clientes Exchange ActiveSync compatíveis com OAuth se liguem ao Exchange Online. Veja "Passo 1 – Configurar uma política de Acesso Condicional Microsoft Entra para Exchange Online", mas, para o passo 4a, selecione apenas a plataforma de dispositivos móveis (como iOS) pretendida à qual pretende permitir o acesso.

2. A segunda política bloqueia a aplicação na plataforma de dispositivos móveis específica e noutros clientes Exchange ActiveSync compatíveis com OAuth de se ligarem a Exchange Online. Consulte "Passo 1 – Configurar uma política de Acesso Condicional Microsoft Entra para Exchange Online", mas para o passo 4a, selecione apenas a plataforma de dispositivos móveis pretendida (como Android) à qual pretende bloquear o acesso e, para o passo 5, selecione Bloquear acesso.

3. A terceira política impede que Exchange ActiveSync clientes que tiram partido da autenticação básica se liguem a Exchange Online. Veja "Passo 2 – Configurar uma política de Acesso Condicional Microsoft Entra para Exchange Online com o ActiveSync (EAS)."

Opção 2: Bloquear o Outlook para iOS e Android com as regras de acesso a dispositivos móveis do Exchange

Se estiver a gerir o acesso ao seu dispositivo móvel através das regras de acesso a dispositivos do Exchange Online, tem duas opções:

• Opção A: Bloquear o Outlook para iOS e Android nas plataformas iOS e Android

• Opção B: Bloquear o Outlook para iOS e Android numa plataforma de dispositivo móvel específica

Todas as organizações do Exchange têm políticas diferentes relativamente à segurança e à gestão de dispositivos. Se uma organização decidir que o Outlook para iOS e Android não satisfaz as suas necessidades ou não é a melhor solução para os mesmos, os administradores têm a capacidade de bloquear a aplicação. Assim que a aplicação estiver bloqueada, os utilizadores móveis do Exchange na sua organização podem continuar a aceder às respetivas caixas de correio através das aplicações de correio incorporadas no iOS e Android.

O New-ActiveSyncDeviceAccessRule cmdlet tem um Characteristic parâmetro e existem três Characteristic opções que os administradores podem utilizar para bloquear a aplicação Outlook para iOS e Android. As opções são UserAgent, DeviceModel e DeviceType. Nas duas opções de bloqueio descritas nas secções seguintes, irá utilizar um ou mais destes valores característicos para restringir o acesso que o Outlook para iOS e Android tem às caixas de correio na sua organização.

Os valores de cada característica são apresentados na tabela seguinte:

Característica	Cadeia para iOS	Cadeia para Android
DeviceModel	Outlook para iOS e Android	Outlook para iOS e Android
DeviceType	Outlook	Outlook
UserAgent	Outlook-iOS/2.0	Outlook-Android/2.0

Opção A: Bloquear o Outlook para iOS e Android nas plataformas iOS e Android

Com o New-ActiveSyncDeviceAccessRule cmdlet, pode definir uma regra de acesso de dispositivo, utilizando a DeviceModel característica ou DeviceType . Em ambos os casos, a regra de acesso bloqueia o Outlook para iOS e Android em todas as plataformas e impedirá que qualquer dispositivo, tanto na plataforma iOS como na plataforma Android, aceda a uma caixa de correio do Exchange através da aplicação.

Seguem-se dois exemplos de uma regra de acesso ao dispositivo. O primeiro exemplo utiliza a DeviceModel característica; o segundo exemplo utiliza a DeviceType característica.

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Opção B: Bloquear o Outlook para iOS e Android numa plataforma de dispositivo móvel específica

Com a UserAgent característica, pode definir uma regra de acesso a dispositivos que bloqueia o Outlook para iOS e Android numa plataforma específica. Esta regra impedirá que um dispositivo utilize o Outlook para iOS e Android para ligar na plataforma que especificar. Os exemplos seguintes mostram como utilizar o valor específico do dispositivo para a UserAgent característica.

Para bloquear o Android e permitir o iOS:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

Para bloquear o iOS e permitir o Android:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

controlos de Exchange Online

Para além do Microsoft Endpoint Manager, Mobilidade básica e segurança para o Microsoft 365 e das políticas de dispositivos móveis do Exchange, pode gerir o acesso que os dispositivos móveis têm às informações na sua organização através de vários controlos de Exchange Online, bem como permitir que os utilizadores acedam a suplementos no Outlook para iOS e Android.

Políticas de aplicações do Exchange Web Services (EWS)

Uma política de aplicação EWS pode controlar se as aplicações estão ou não autorizadas a tirar partido da API REST. Tenha em atenção que, ao configurar uma política de aplicações EWS que apenas permite que aplicações específicas acedam ao seu ambiente de mensagens, tem de adicionar a cadeia de agente de utilizador do Outlook para iOS e Android à lista de permissões do EWS.

O exemplo seguinte mostra como adicionar as cadeias de agente de utilizador à lista de permissões do EWS:

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}

Controlos de Utilizador do Exchange

Com a tecnologia de sincronização nativa da Microsoft, os administradores podem controlar a utilização do Outlook para iOS e Android ao nível da caixa de correio. Por predefinição, os utilizadores têm permissão para aceder aos dados da caixa de correio com o Outlook para iOS e Android. O exemplo seguinte mostra como desativar o acesso à caixa de correio de um utilizador com o Outlook para iOS e Android:

Set-CASMailbox jane@contoso.com -OutlookMobileEnabled $false

Gerenciar suplementos

O Outlook para iOS e Android permite que os utilizadores integrem aplicações e serviços populares com o cliente de e-mail. Os suplementos para o Outlook estão disponíveis na Web, Windows, Mac e dispositivos móveis. Uma vez que os suplementos são geridos através do Microsoft 365 ou do Office 365, os utilizadores podem partilhar dados e mensagens entre o Outlook para iOS e Android e o suplemento não gerido (mesmo quando a conta é gerida por uma política de Proteção de Aplicações Intune), a menos que os suplementos estejam desativados para o utilizador na Centro de administração do Microsoft 365.

Se quiser impedir que os seus utilizadores finais acedam e instalem suplementos do Outlook (que afetam todos os clientes do Outlook), execute as seguintes alterações às funções no Centro de administração do Microsoft 365:

• Para impedir que os utilizadores instalem suplementos da Loja Office, remova a função O Meu Marketplace dos mesmos.
• Para impedir que os utilizadores carreguem suplementos secundários, remova a função As Minhas Aplicações Personalizadas dos mesmos.
• Para impedir que os utilizadores instalem todos os suplementos, remova as funções As Minhas Aplicações Personalizadas e O Meu Marketplace dos mesmos.

Para obter mais informações, consulte Suplementos para o Outlook e como Gerir a implementação de suplementos no Centro de administração do Microsoft 365.