Protegendo o Outlook para iOS e Android no Exchange Online

O Outlook para iOS e Android fornece aos usuários a experiência rápida e intuitiva de email e calendário que os usuários esperam de um aplicativo móvel moderno, sendo o único aplicativo a fornecer suporte para os melhores recursos do Microsoft 365 ou Office 365.

Proteger dados da empresa ou organizacionais nos dispositivos móveis dos usuários é extremamente importante. Comece revisando a configuração do Outlook para iOS e Android, para garantir que os usuários tenham todos os aplicativos necessários instalados. Depois disso, escolha uma das seguintes opções para proteger seus dispositivos e os dados da sua organização:

1. Recomendado: se sua organização tiver uma assinatura Enterprise Mobility + Security ou tiver obtido o licenciamento separadamente para Microsoft Intune e Microsoft Entra ID P1 ou P2, siga as etapas em Aproveitar Enterprise Mobility + Security pacote para proteger dados corporativos com o Outlook para iOS e Android para proteger dados corporativos com o Outlook para iOS e Android.

2. Se sua organização não tiver uma assinatura ou licenciamento Enterprise Mobility + Security para Microsoft Intune e Microsoft Entra ID P1 ou P2, siga as etapas em Aproveitar Mobilidade básica e segurança para Microsoft 365 e use os recursos de Mobilidade básica e segurança incluídos em sua assinatura Office 365 ou microsoft 365.

3. Siga as etapas em Aproveitar Exchange Online políticas de dispositivo móvel para implementar políticas básicas de acesso de dispositivo móvel e de dispositivo do Exchange.

Se, por outro lado, você não quiser usar o Outlook para iOS e Android em sua organização, consulte Bloquear o Outlook para iOS e Android.

Observação

Consulte Políticas de aplicativo do Exchange Web Services (EWS) mais adiante neste artigo se você preferir implementar uma política de aplicativo EWS para gerenciar o acesso de dispositivo móvel em sua organização.

Configurando o Outlook para iOS e Android

Para dispositivos registrados em uma solução UEM (gerenciamento unificado de ponto de extremidade), os usuários utilizarão a solução UEM, como o Portal da Empresa do Intune, para instalar os aplicativos necessários: Outlook para iOS e Android e Microsoft Authenticator.

Para dispositivos que não estão registrados em uma solução UEM, os usuários precisam instalar:

• Outlook para iOS e Android por meio do Apple App Store ou Google Play Store

• Aplicativo Microsoft Authenticator por meio do Apple App Store ou Google Play Store

• Portal da Empresa do Intune aplicativo via Apple App Store ou Google Play Store

Depois que o aplicativo estiver instalado, os usuários poderão seguir estas etapas para adicionar sua conta de email corporativa e configurar as configurações básicas do aplicativo:

• Configurar conta de email no Outlook para aplicativo móvel iOS

• Configurar email no aplicativo Outlook para Android

• Otimizando o aplicativo móvel do Outlook para seu telefone iOS ou Android

Importante

Para aproveitar as políticas de acesso condicional baseadas em aplicativos, o aplicativo Microsoft Authenticator deve ser instalado em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, consulte Acesso Condicional baseado em aplicativo com Intune.

Aproveitar Enterprise Mobility + Security suite para proteger dados corporativos com o Outlook para iOS e Android

Importante

A lista ABQ (Allow/Block/Quarantine) não fornece garantias de segurança (se um cliente falsificar o cabeçalho DeviceType, talvez seja possível ignorar o bloqueio para um determinado tipo de dispositivo). Para restringir com segurança o acesso a tipos de dispositivo específicos, recomendamos configurar políticas de acesso condicional. Para obter mais informações, consulte Acesso condicional baseado em aplicativo com o Intune.

Os recursos de proteção mais avançados e mais amplos para dados do Microsoft 365 e Office 365 estão disponíveis quando você assina o pacote Enterprise Mobility + Security, que inclui recursos Microsoft Intune e Microsoft Entra ID P1 ou P2, como acesso condicional. No mínimo, você deseja implantar uma política de acesso condicional que só permite conectividade com o Outlook para iOS e Android de dispositivos móveis e uma política de proteção de aplicativo do Intune que garante que os dados corporativos sejam protegidos.

Observação

Embora a assinatura do pacote Enterprise Mobility + Security inclua Microsoft Intune e Microsoft Entra ID P1 ou P2, os clientes podem comprar Microsoft Intune licenças e Microsoft Entra ID Licenças P1 ou P2 separadamente. Todos os usuários devem ser licenciados para aproveitar o acesso condicional e as políticas de proteção de aplicativo do Intune discutidas neste artigo.

Bloquear todos os aplicativos de email, exceto Outlook para iOS e Android usando acesso condicional

Quando uma organização decide padronizar como os usuários acessam os dados do Exchange, usando o Outlook para iOS e Android como o único aplicativo de email para usuários finais, eles podem configurar uma política de acesso condicional que bloqueia outros métodos de acesso móvel. Para fazer isso, você precisará de várias políticas de acesso condicional, com cada política direcionada a todos os usuários potenciais. Essas políticas estão descritas em Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.

1. Siga as etapas em Exigir aplicativos cliente aprovados ou política de proteção de aplicativo com dispositivos móveis. Essa política permite o Outlook para iOS e Android, mas bloqueia o OAuth e a autenticação básica capazes de Exchange ActiveSync clientes móveis de se conectarem a Exchange Online.

   Observação

   Essa política garante que os usuários móveis possam acessar todos os pontos de extremidade do Microsoft 365 usando os aplicativos aplicáveis.

2. Siga as etapas em Bloquear Exchange ActiveSync em todos os dispositivos, o que impede que Exchange ActiveSync clientes que usam a autenticação básica em dispositivos não móveis se conectem a Exchange Online.

   As políticas acima aproveitam o controle de acesso de concessão Exigir política de proteção de aplicativo, o que garante que uma Política de Proteção de Aplicativo do Intune seja aplicada à conta associada no Outlook para iOS e Android antes de conceder acesso. Se o usuário não for atribuído a uma Política de Proteção de Aplicativo do Intune, não estiver licenciado para o Intune ou o aplicativo não estiver incluído na Política de Proteção de Aplicativo do Intune, a política impedirá que o usuário obtenha um token de acesso e obtenha acesso aos dados de mensagens.

3. Siga as etapas em Bloquear autenticação herdada com Microsoft Entra Acesso Condicional para bloquear a autenticação herdada para outros protocolos do Exchange em dispositivos iOS e Android; essa política deve ter como alvo apenas Office 365 Exchange Online plataformas de dispositivos iOS e Android. Isso garante que os aplicativos móveis que usam protocolos Do Exchange Web Services, IMAP4 ou POP3 com autenticação básica não possam se conectar a Exchange Online.

Observação

Depois que as políticas de acesso condicional estiverem habilitadas, pode levar até 6 horas para que qualquer dispositivo móvel conectado anteriormente seja bloqueado.

Quando o usuário se autentica no Outlook para iOS e Android, Exchange Online regras de acesso de dispositivo móvel (permitir, bloquear ou quarentena) são ignoradas se houver alguma Microsoft Entra políticas de Acesso Condicional aplicadas ao usuário que incluam:

• Condição do aplicativo de nuvem: Exchange Online ou Office 365
• Condição da plataforma do dispositivo: iOS e/ou Android
• Condição dos aplicativos cliente: aplicativos móveis e cliente da área de trabalho
• Um dos seguintes controles de acesso de concessão: exigir que o dispositivo seja marcado como compatível, Exigir aplicativo cliente aprovado ou Exigir política de proteção de aplicativo.

Para aproveitar as políticas de acesso condicional baseadas em aplicativos, o aplicativo Microsoft Authenticator deve ser instalado em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, consulte Acesso Condicional baseado em aplicativo com Intune.

Proteger dados corporativos no Outlook para iOS e Android usando políticas de proteção de aplicativo do Intune

As Políticas de Proteção de Aplicativos (APP) definem quais aplicativos são permitidos e as ações que eles podem realizar com os dados da sua organização. As opções disponíveis no APP permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.

A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:

• A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
• A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
• A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos. Essa configuração é desejável para usuários que estão acessando dados de alto risco.

Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.

Independentemente de o dispositivo estar registrado em uma solução UEM, uma política de proteção de aplicativo do Intune precisa ser criada para aplicativos iOS e Android, usando as etapas em Como criar e atribuir políticas de proteção de aplicativo. Essas políticas, no mínimo, devem atender às seguintes condições:

1. Eles incluem todos os aplicativos móveis da Microsoft, como Edge, OneDrive, Office ou Teams, pois isso garantirá que os usuários possam acessar e manipular dados de trabalho ou escola em qualquer aplicativo da Microsoft de forma segura.

2. Eles são atribuídos a todos os usuários. Isso garante que todos os usuários estejam protegidos, independentemente de usarem o Outlook para iOS ou Android.

3. Determine qual nível de estrutura atende aos seus requisitos. A maioria das organizações deve implementar as configurações definidas em Proteção de dados aprimorada empresarial (Nível 2), pois isso permite a proteção de dados e controles de requisitos de acesso.

Para obter mais informações sobre as configurações disponíveis, confira Configurações de política de proteção de aplicativo Android em configurações de política de proteção de aplicativo do Microsoft Intune e iOS.

Importante

Para aplicar políticas de proteção de aplicativos do Intune contra aplicativos em dispositivos Android que não estão registrados no Intune, o usuário também deve instalar o Portal da Empresa do Intune. Para obter mais informações, confira O que esperar quando seu aplicativo Android é gerenciado por políticas de proteção de aplicativo.

Aproveitando Mobilidade básica e segurança para o Microsoft 365

Se você não planeja aproveitar o Enterprise Mobility + Security suite, pode usar Mobilidade básica e segurança para o Microsoft 365. Essa solução exige que os dispositivos móveis sejam registrados. Quando um usuário tenta acessar Exchange Online com um dispositivo que não está registrado, o usuário fica impedido de acessar o recurso até registrar o dispositivo.

Como essa é uma solução de gerenciamento de dispositivos, não há capacidade nativa para controlar quais aplicativos podem ser usados mesmo depois que um dispositivo é registrado. Se você quiser limitar o acesso ao Outlook para iOS e Android, precisará obter Microsoft Entra ID licenças P1 ou P2 e aproveitar as políticas de acesso condicional discutidas em Bloquear todos os aplicativos de email, exceto Outlook para iOS e Android usando acesso condicional.

Um administrador global deve concluir as etapas a seguir para ativar e configurar o registro. Consulte Configurar Mobilidade básica e segurança para concluir as etapas. Em resumo, estas etapas incluem:

1. Ativar Mobilidade básica e segurança seguindo as etapas na Central de Segurança do Microsoft 365.

2. Configurando o gerenciamento unificado de pontos de extremidade, por exemplo, criando um certificado APNs para gerenciar dispositivos iOS.

3. Criar políticas de dispositivo e aplicá-las a grupos de usuários. Quando você fizer isso, seus usuários receberão uma mensagem de registro em seu dispositivo. E quando eles concluirem o registro, seus dispositivos serão restritos pelas políticas que você configurou para eles.

Observação

Políticas e regras de acesso criadas em Mobilidade básica e segurança substituirão as políticas de caixa de correio de dispositivo móvel do Exchange e as regras de acesso ao dispositivo criadas no centro de administração do Exchange. Depois que um dispositivo for registrado no Mobilidade básica e segurança, qualquer política de caixa de correio de dispositivo móvel do Exchange ou regra de acesso ao dispositivo aplicada a esse dispositivo será ignorada.

Aproveitar Exchange Online políticas de dispositivo móvel

Se você não planeja aproveitar o Enterprise Mobility + Security suite ou a funcionalidade Mobilidade básica e segurança, poderá implementar uma política de caixa de correio de dispositivo móvel do Exchange para proteger o dispositivo e as regras de acesso ao dispositivo para limitar a conectividade do dispositivo.

Política de caixa de correio do dispositivo móvel

O Outlook para iOS e Android dá suporte às seguintes configurações de política de caixa de correio do dispositivo móvel em Exchange Online:

• Criptografia de dispositivo habilitada

• Tamanho da senha min (somente no Android)

• Senha habilitada

• Permitir Bluetooth (usado para gerenciar o aplicativo vestível do Outlook para Android)

  • Quando AllowBluetooth está habilitado (comportamento padrão) ou configurado para HandsfreeOnly, a sincronização vestível entre o Outlook no dispositivo Android e o Outlook no wearable é permitida para a conta corporativa ou escolar.

  • Quando AllowBluetooth estiver desabilitado, o Outlook para Android desabilitará a sincronização entre o Outlook no dispositivo Android e o Outlook no wearable para a conta de trabalho ou escola especificada (e excluirá todos os dados sincronizados anteriormente para a conta). Desabilitar a sincronização é controlado inteiramente dentro do próprio Outlook; O Bluetooth não está desabilitado no dispositivo ou no wearable nem qualquer outro aplicativo vestível é afetado.

Para obter informações sobre como criar ou modificar uma política de caixa de correio de dispositivo móvel existente, consulte Políticas de caixa de correio do dispositivo móvel em Exchange Online.

Além disso, o Outlook para iOS e Android dá suporte à funcionalidade de apagamento de dispositivo do Exchange Online. Com o Outlook, um apagamento remoto apaga apenas os dados no próprio aplicativo do Outlook e não dispara um apagamento completo do dispositivo. Para obter mais informações sobre como executar um apagamento remoto, consulte Executar um apagamento remoto em um telefone celular em Exchange Online.

Política de acesso ao dispositivo

O Outlook para iOS e Android deve ser habilitado por padrão, mas em alguns ambientes Exchange Online existentes o aplicativo pode ser bloqueado por uma variedade de motivos. Depois que uma organização decide padronizar como os usuários acessam os dados do Exchange e usam o Outlook para iOS e Android como o único aplicativo de email para usuários finais, você pode configurar blocos para outros aplicativos de email em execução nos dispositivos iOS e Android dos usuários. Você tem duas opções para instituir esses blocos em Exchange Online: a primeira opção bloqueia todos os dispositivos e só permite o uso do Outlook para iOS e Android; a segunda opção permite que você bloqueie dispositivos individuais de usar os aplicativos nativos Exchange ActiveSync.

Observação

Como as IDs do dispositivo não são regidas por nenhuma ID do dispositivo físico , elas podem ser alteradas sem aviso prévio. Quando isso acontece, ele pode causar consequências não intencionais quando as IDs do dispositivo são usadas para gerenciar dispositivos de usuário, pois os dispositivos 'permitidos' existentes podem ser bloqueados ou colocados em quarentena inesperadamente pelo Exchange. Portanto, recomendamos que os administradores definam apenas políticas de acesso de dispositivo móvel que permitem/bloqueiam dispositivos com base no tipo de dispositivo ou modelo de dispositivo.

Opção 1: bloquear todos os aplicativos de email, exceto Outlook para iOS e Android

Você pode definir uma regra de bloco padrão e configurar uma regra de permissão para Outlook para iOS e Android e para dispositivos Windows, usando os seguintes comandos Exchange Online PowerShell. Essa configuração impedirá a conexão de qualquer aplicativo nativo Exchange ActiveSync e permitirá apenas o Outlook para iOS e Android.

1. Criar a regra de bloco padrão:

   Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
   

2. Criar uma regra de permissão para o Outlook para iOS e Android

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
   

Opção 2: bloquear aplicativos Exchange ActiveSync nativos em dispositivos Android e iOS

Como alternativa, você pode bloquear aplicativos nativos Exchange ActiveSync em dispositivos Android e iOS específicos ou outros tipos de dispositivos.

1. Confirme se não há regras de acesso ao dispositivo Exchange ActiveSync em vigor que bloqueiem o Outlook para iOS e Android:

   Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Format-Table Name, AccessLevel, QueryString -AutoSize
   

   Se forem encontradas regras de acesso ao dispositivo que bloqueiam o Outlook para iOS e Android, digite o seguinte para removê-los:

   Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Remove-ActiveSyncDeviceAccessRule
   

2. Você pode bloquear a maioria dos dispositivos Android e iOS com os seguintes comandos:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
   

3. Nem todos os fabricantes de dispositivos Android especificam "Android" como o DeviceType. Os fabricantes podem especificar um valor exclusivo a cada versão. Para encontrar outros dispositivos Android que estão acessando seu ambiente, execute o seguinte comando para gerar um relatório de todos os dispositivos que têm uma parceria Exchange ActiveSync ativa:

   Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
   

4. Crie regras de bloco adicionais, dependendo dos resultados da Etapa 3. Por exemplo, se você descobrir que seu ambiente tem um alto uso de dispositivos Android HTCOne, você pode criar uma regra de acesso ao dispositivo Exchange ActiveSync que bloqueia esse dispositivo específico, forçando os usuários a usar o Outlook para iOS e Android. Neste exemplo, você digitaria:

   New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
   

   Observação

   O parâmetro -QueryString não aceita curingas ou correspondências parciais.

Recursos adicionais:

• New-ActiveSyncDeviceAccessRule

• Get-MobileDevice

• Set-ActiveSyncOrganizationSettings

Bloquear o Outlook para iOS e Android

Se você não quiser que os usuários em sua organização acessem dados do Exchange com o Outlook para iOS e Android, a abordagem que você adota depende se você está usando Microsoft Entra políticas de Acesso Condicional ou políticas de acesso ao dispositivo do Exchange Online.

Opção 1: bloquear o acesso ao dispositivo móvel usando uma política de acesso condicional

Microsoft Entra o Acesso Condicional não fornece um mecanismo pelo qual você pode bloquear especificamente o Outlook para iOS e Android, permitindo outros clientes Exchange ActiveSync. Dito isso, as políticas de acesso condicional podem ser usadas para bloquear o acesso ao dispositivo móvel de duas maneiras:

• Opção A: bloquear o acesso ao dispositivo móvel nas plataformas iOS e Android

• Opção B: bloquear o acesso ao dispositivo móvel em uma plataforma de dispositivo móvel específica

Opção A: bloquear o acesso ao dispositivo móvel nas plataformas iOS e Android

Se você quiser impedir o acesso ao dispositivo móvel para todos os usuários ou um subconjunto de usuários, usando acesso condicional, siga estas etapas.

Crie políticas de acesso condicional, com cada política direcionada a todos os usuários ou a um subconjunto de usuários por meio de um grupo de segurança. Os detalhes estão na política de Acesso Condicional Comum: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.

1. A primeira política bloqueia o Outlook para iOS e Android e outros clientes Exchange ActiveSync capazes de OAuth de se conectarem a Exchange Online. Consulte "Etapa 1 – Configurar uma política de acesso condicional Microsoft Entra para Exchange Online", mas, para a quinta etapa, escolha Bloquear acesso.

2. A segunda política impede que Exchange ActiveSync clientes que aproveitam a autenticação básica se conectem a Exchange Online. Consulte "Etapa 2 – Configurar uma política de acesso condicional Microsoft Entra para Exchange Online com o ActiveSync (EAS)."

Opção B: bloquear o acesso ao dispositivo móvel em uma plataforma de dispositivo móvel específica

Se você quiser impedir que uma plataforma de dispositivo móvel específica se conecte a Exchange Online, ao mesmo tempo em que permite que o Outlook para iOS e Android se conecte usando essa plataforma, crie as seguintes políticas de acesso condicional, com cada política direcionada a todos os usuários. Os detalhes estão na política de Acesso Condicional Comum: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.

1. A primeira política permite o Outlook para iOS e Android na plataforma de dispositivo móvel específica e impede que outros clientes Exchange ActiveSync capazes de se conectar a Exchange Online. Consulte "Etapa 1 – Configurar uma política de acesso condicional Microsoft Entra para Exchange Online", mas, para a etapa 4a, selecione apenas a plataforma de dispositivo móvel desejada (como iOS) à qual você deseja permitir o acesso.

2. A segunda política bloqueia o aplicativo na plataforma de dispositivo móvel específica e outros clientes Exchange ActiveSync capazes de OAuth de se conectarem a Exchange Online. Consulte "Etapa 1 – Configurar uma política de acesso condicional Microsoft Entra para Exchange Online", mas, para a etapa 4a, selecione apenas a plataforma de dispositivo móvel desejada (como Android) à qual você deseja bloquear o acesso e, para a etapa 5, escolha Bloquear acesso.

3. A terceira política impede que Exchange ActiveSync clientes que aproveitam a autenticação básica se conectem a Exchange Online. Consulte "Etapa 2 – Configurar uma política de acesso condicional Microsoft Entra para Exchange Online com o ActiveSync (EAS)."

Opção 2: bloquear o Outlook para iOS e Android usando regras de acesso de dispositivo móvel do Exchange

Se você estiver gerenciando o acesso ao dispositivo móvel por meio das regras de acesso ao dispositivo do Exchange Online, terá duas opções:

• Opção A: bloquear o Outlook para iOS e Android nas plataformas iOS e Android

• Opção B: bloquear o Outlook para iOS e Android em uma plataforma de dispositivo móvel específica

Cada organização do Exchange tem políticas diferentes sobre segurança e gerenciamento de dispositivos. Se uma organização decidir que o Outlook para iOS e Android não atende às suas necessidades ou não é a melhor solução para eles, os administradores terão a capacidade de bloquear o aplicativo. Depois que o aplicativo é bloqueado, os usuários do Exchange móvel em sua organização podem continuar acessando suas caixas de correio usando os aplicativos de email internos no iOS e Android.

O New-ActiveSyncDeviceAccessRule cmdlet tem um Characteristic parâmetro e há três Characteristic opções que os administradores podem usar para bloquear o aplicativo Outlook para iOS e Android. As opções são UserAgent, DeviceModel e DeviceType. Nas duas opções de bloqueio descritas nas seções a seguir, você usará um ou mais desses valores característicos para restringir o acesso que o Outlook para iOS e Android tem às caixas de correio em sua organização.

Os valores de cada característica são exibidos na seguinte tabela:

Característica	Cadeia de caracteres para iOS	Cadeia de caracteres para Android
DeviceModel	Outlook para iOS e Android	Outlook para iOS e Android
DeviceType	Outlook	Outlook
UserAgent	Outlook-iOS/2.0	Outlook-Android/2.0

Opção A: bloquear o Outlook para iOS e Android nas plataformas iOS e Android

Com o New-ActiveSyncDeviceAccessRule cmdlet, você pode definir uma regra de acesso ao dispositivo usando a DeviceModel característica ou DeviceType . Em ambos os casos, a regra de acesso bloqueia o Outlook para iOS e Android em todas as plataformas e impedirá que qualquer dispositivo, na plataforma iOS e na plataforma Android, acesse uma caixa de correio do Exchange por meio do aplicativo.

A seguir estão dois exemplos de uma regra de acesso ao dispositivo. O primeiro exemplo usa a DeviceModel característica; o segundo exemplo usa a DeviceType característica.

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block

New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block

Opção B: bloquear o Outlook para iOS e Android em uma plataforma de dispositivo móvel específica

Com a UserAgent característica, você pode definir uma regra de acesso ao dispositivo que bloqueia o Outlook para iOS e Android em uma plataforma específica. Essa regra impedirá que um dispositivo use o Outlook para iOS e Android para se conectar na plataforma especificada. Os exemplos a seguir mostram como usar o valor específico do dispositivo para a UserAgent característica.

Para bloquear o Android e permitir o iOS:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow

Para bloquear o iOS e permitir o Android:

New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block

Exchange Online controles

Além do Microsoft Endpoint Manager, Mobilidade básica e segurança para o Microsoft 365 e políticas de dispositivo móvel do Exchange, você pode gerenciar o acesso que os dispositivos móveis têm para obter informações em sua organização por meio de vários controles Exchange Online, bem como se permitem aos usuários acesso a suplementos no Outlook para iOS e Android.

Políticas de aplicativo do Exchange Web Services (EWS)

Uma política de aplicativo EWS pode controlar se os aplicativos podem ou não aproveitar a API REST. Observe que ao configurar uma política de aplicativo EWS que permite apenas acesso de aplicativos específicos ao seu ambiente de mensagens, você deve adicionar a cadeia de caracteres de agente de usuário para Outlook para iOS e Android à lista de permissões do EWS.

O exemplo a seguir mostra como adicionar as cadeias de caracteres do usuário-agente à lista de permissões do EWS:

Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}

Controles do Usuário do Exchange

Com a tecnologia nativa de sincronização da Microsoft, os administradores podem controlar o uso do Outlook para iOS e Android no nível da caixa de correio. Por padrão, os usuários podem acessar dados da caixa de correio usando o Outlook para iOS e Android. O exemplo a seguir mostra como desabilitar o acesso à caixa de correio de um usuário com o Outlook para iOS e Android:

Set-CASMailbox jane@contoso.com -OutlookMobileEnabled $false

Gerenciar suplementos

O Outlook para iOS e Android permite que os usuários integrem aplicativos e serviços populares ao cliente de email. Os suplementos para Outlook estão disponíveis na Web, Windows, Mac e mobile. Como os suplementos são gerenciados por meio do Microsoft 365 ou Office 365, os usuários podem compartilhar dados e mensagens entre o Outlook para iOS e Android e o suplemento não gerenciado (mesmo quando a conta é gerenciada por uma política de Proteção de Aplicativos do Intune), a menos que os suplementos sejam desativados para o usuário no Centro de administração do Microsoft 365.

Se você quiser impedir que seus usuários finais acessem e instalem suplementos do Outlook (o que afeta todos os clientes do Outlook), execute as seguintes alterações nas funções no Centro de administração do Microsoft 365:

• Para impedir que os usuários instalem suplementos da Office Store, remova a função Meu Marketplace deles.
• Para impedir que os usuários carreguem suplementos laterais, remova a função Meus Aplicativos Personalizados deles.
• Para impedir que os usuários instalem todos os suplementos, remova ambos, Meus Aplicativos Personalizados e Minhas funções do Marketplace.

Para obter mais informações, consulte Suplementos para Outlook e como gerenciar a implantação de suplementos no Centro de administração do Microsoft 365.