Compartilhar via


Gerenciamento de dispositivos do Outlook para iOS e Android para Exchange Server

APLICA-SE A:yes-img-162016 yes-img-192019 yes-img-seSubscription Edition

Importante

O Outlook para iOS e Android suporta a Autenticação Moderna híbrida para caixas de correio no local, o que elimina a necessidade de tirar partido da autenticação básica. As informações contidas neste artigo referem-se apenas à autenticação básica. Para obter mais informações, consulte Utilizar a Autenticação Moderna Híbrida com o Outlook para iOS e Android.

A Microsoft recomenda Exchange ActiveSync para gerir os dispositivos móveis utilizados para aceder a caixas de correio do Exchange no seu ambiente no local. Exchange ActiveSync é um protocolo de sincronização do Microsoft Exchange que permite que os telemóveis acedam às informações de uma organização num servidor com o Microsoft Exchange.

Este artigo centra-se em funcionalidades e cenários de Exchange ActiveSync específicos para dispositivos móveis com o Outlook para iOS e Android ao autenticar com autenticação Básica. As informações completas sobre o protocolo de sincronização do Microsoft Exchange estão disponíveis no Exchange ActiveSync. Além disso, existem informações no Blogue do Office que detalham a imposição de palavras-passe e outras vantagens de utilizar Exchange ActiveSync com dispositivos com o Outlook para iOS e Android.

Política de caixa de correio de dispositivos móveis

O Outlook para iOS e Android suporta as seguintes definições de política de caixa de correio de dispositivos móveis no Exchange no local:

  • Criptografia de dispositivo habilitada

  • Comprimento mínimo da palavra-passe (apenas no Android)

  • Senha habilitada

  • Permitir Bluetooth (utilizado para gerir a aplicação wearable do Outlook para Android)

    • Quando AllowBluetooth está ativado (comportamento predefinido) ou configurado para HandsfreeOnly, a sincronização wearable entre o Outlook no dispositivo Android e o Outlook no wearable é permitida para a conta escolar ou profissional.

    • Quando AllowBluetooth estiver desativado, o Outlook para Android desativará a sincronização entre o Outlook no dispositivo Android e o Outlook no wearable para a conta escolar ou profissional especificada (e eliminará quaisquer dados previamente sincronizados para a conta). A desativação da sincronização é controlada inteiramente no próprio Outlook; O Bluetooth não está desativado no dispositivo ou utilizável, nem qualquer outra aplicação utilizável é afetada.

Observação

O Outlook para Android irá implementar suporte para a definição AllowBluetooth a partir do final de agosto.

Para obter informações sobre como criar ou modificar uma política de caixa de correio de dispositivo móvel existente, consulte Políticas de caixa de correio de dispositivos móveis.

Bloqueio de PIN e encriptação de dispositivos

Se a política de Exchange ActiveSync da sua organização exigir uma palavra-passe em dispositivos móveis para que os utilizadores sincronizem o e-mail, o Outlook irá impor esta política ao nível do dispositivo. Isto funciona de forma diferente entre dispositivos iOS e Dispositivos Android, com base nos controlos disponíveis fornecidos pela Apple e pela Google.

Em dispositivos iOS, o Outlook verifica se um código de acesso ou PIN está definido corretamente. Caso não esteja definido um código de acesso, o Outlook pede aos utilizadores para criarem um código de acesso nas definições do iOS. Até o código de acesso ser configurado, o utilizador não poderá aceder ao Outlook para iOS.

Em dispositivos Android, o Outlook irá impor regras de bloqueio de ecrã. Além disso, a Google fornece controlos que permitem que o Outlook para Android cumpra as políticas do Exchange relativamente ao comprimento e complexidade da palavra-passe e ao número de tentativas de desbloqueio de ecrã permitidos antes de limpar o telemóvel. O Outlook para Android também irá incentivar a encriptação de armazenamento se não estiver ativada, orientando os utilizadores através deste processo com instruções passo a passo.

Os dispositivos iOS e Android que não suportam estas definições de segurança de palavras-passe não conseguirão ligar a uma caixa de correio do Exchange.

Criptografia de dispositivo

Os dispositivos iOS são enviados com encriptação incorporada, que o Outlook utiliza assim que o código de acesso é ativado para encriptar todos os dados que o Outlook armazena localmente no dispositivo iOS. Por conseguinte, os dispositivos iOS com um PIN são encriptados quer isto seja ou não exigido por uma política do ActiveSync.

O Outlook para Android suporta a encriptação de dispositivos através de políticas de caixa de correio de dispositivos móveis do Exchange. No entanto, antes do Android 7.0, a disponibilidade e implementação deste processo variam consoante a versão do SO Android e o fabricante do dispositivo, o que permite que o utilizador cancele durante o processo de encriptação. Com as alterações introduzidas pela Google no Android 7.0, o Outlook para Android consegue agora impor a encriptação em dispositivos com o Android 7.0 ou posterior. Os utilizadores com dispositivos com esses sistemas operativos não poderão cancelar o processo de encriptação.

Mesmo que o dispositivo Android não esteja encriptado e um atacante esteja na posse do dispositivo, desde que um PIN do dispositivo esteja ativado, a base de dados do Outlook permanece inacessível. Isto acontece mesmo com a depuração USB ativada e o SDK Android instalado. Se um atacante tentar enraizar o dispositivo para ignorar o PIN para obter acesso a estas informações, o processo de raiz elimina todo o armazenamento do dispositivo e remove todos os dados do Outlook. Se o dispositivo não estiver encriptado e desbloqueado pelo utilizador antes de ser roubado, é possível que um atacante obtenha acesso à base de dados do Outlook ao ativar a depuração USB no dispositivo e ao ligar o dispositivo a um computador com o SDK Android instalado.

Eliminação remota com Exchange ActiveSync

Exchange ActiveSync permite que os administradores limpem remotamente os dispositivos, como, por exemplo, se ficarem comprometidos ou perdidos/roubados. Com o Outlook para iOS e Android, uma eliminação remota apenas elimina dados na própria aplicação Outlook e não aciona uma eliminação completa do dispositivo.

Consulte Executar uma eliminação remota num telemóvel para obter mais informações.

Política de acesso do dispositivo

O Outlook para iOS e Android deve estar ativado por predefinição, mas em alguns ambientes existentes do Exchange no local a aplicação pode ser bloqueada por vários motivos. Assim que uma organização decidir uniformizar a forma como os utilizadores acedem aos dados do Exchange e utilizam o Outlook para iOS e Android como a única aplicação de e-mail para utilizadores finais, pode configurar blocos para outras aplicações de e-mail em execução nos dispositivos iOS e Android dos utilizadores. Tem duas opções para instituir estes blocos no Exchange no local: a primeira opção bloqueia todos os dispositivos e só permite a utilização do Outlook para iOS e Android; a segunda opção permite-lhe bloquear a utilização de aplicações nativas Exchange ActiveSync dispositivos.

Observação

Uma vez que os IDs de dispositivo não são regidos por nenhum ID de dispositivo físico , podem ser alterados sem aviso prévio. Quando isto acontece, pode causar consequências não intencionais quando os IDs de dispositivo são utilizados para gerir dispositivos de utilizador, uma vez que os dispositivos "permitidos" existentes podem ser bloqueados ou colocados em quarentena inesperadamente pelo Exchange. Por conseguinte, a Microsoft recomenda que os administradores definam apenas políticas de acesso a dispositivos móveis que permitam/bloqueiem dispositivos com base no tipo de dispositivo ou no modelo de dispositivo.

Opção 1: bloquear todas as aplicações de e-mail, exceto o Outlook para iOS e Android

Pode definir uma regra de bloco predefinida e, em seguida, configurar uma regra de permissão para o Outlook para iOS e Android e para dispositivos Windows, utilizando os seguintes comandos do PowerShell no local do Exchange. Esta configuração impedirá que qualquer aplicação nativa Exchange ActiveSync se ligue e só permitirá o Outlook para iOS e Android.

  1. Crie a regra de bloco predefinida:

    Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block
    
  2. Criar uma regra de permissão para o Outlook para iOS e Android

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
    
  3. Opcional: crie regras que permitam o Outlook em dispositivos Windows para conectividade Exchange ActiveSync (o WindowsMail refere-se à aplicação Correio incluída no Windows 10):

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
    

Opção 2: Bloquear aplicações nativas Exchange ActiveSync em dispositivos Android e iOS

Em alternativa, pode bloquear aplicações nativas Exchange ActiveSync em dispositivos Android e iOS específicos ou noutros tipos de dispositivos.

  1. Confirme que não existem Exchange ActiveSync regras de acesso a dispositivos implementadas que bloqueiem o Outlook para iOS e Android:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -auto
    

    Se forem encontradas regras de acesso a dispositivos que bloqueiem o Outlook para iOS e Android, escreva o seguinte para removê-las:

    Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRule
    
  2. Pode bloquear a maioria dos dispositivos Android e iOS com os seguintes comandos:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block
    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block
    
  3. Nem todos os fabricantes de dispositivos Android especificam "Android" como DeviceType. Os fabricantes podem especificar um valor exclusivo com cada versão. Para localizar outros dispositivos Android que estão a aceder ao seu ambiente, execute o seguinte comando para gerar um relatório de todos os dispositivos que tenham uma parceria de Exchange ActiveSync ativa:

    Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv
    
  4. Crie regras de bloco adicionais, consoante os resultados do Passo 3. Por exemplo, se descobrir que o seu ambiente tem uma utilização elevada de dispositivos HTCOne Android, pode criar uma regra de acesso de dispositivo Exchange ActiveSync que bloqueia esse dispositivo específico, obrigando os utilizadores a utilizar o Outlook para iOS e Android. Neste exemplo, escreveria:

    New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
    

Observação

O parâmetro QueryString não aceita carateres universais ou correspondências parciais.

Recursos adicionais:

A bloquear o Outlook para iOS e Android

Todas as organizações do Exchange têm políticas diferentes relativamente à segurança e à gestão de dispositivos. Se uma organização decidir que o Outlook para iOS e Android não satisfaz as suas necessidades ou não é a melhor solução para os mesmos, os administradores têm a capacidade de bloquear a aplicação. Assim que a aplicação estiver bloqueada, os utilizadores móveis do Exchange na sua organização podem continuar a aceder às respetivas caixas de correio através das aplicações de correio incorporadas no iOS e Android.

O New-ActiveSyncDeviceAccessRule cmdlet tem um Characteristic parâmetro e existem três Characteristic opções que os administradores podem utilizar para bloquear a aplicação Outlook para iOS e Android. As opções são UserAgent, DeviceModel e DeviceType. Nas duas opções de bloqueio descritas nas secções seguintes, irá utilizar um ou mais destes valores característicos para restringir o acesso que o Outlook para iOS e Android tem às caixas de correio na sua organização.

Os valores de cada característica são apresentados na tabela seguinte:

Característica Cadeia para iOS Cadeia para Android
DeviceModel Outlook para iOS e Android Outlook para iOS e Android
DeviceType Outlook Outlook
UserAgent Outlook-iOS-Android/1.0 Outlook-iOS-Android/1.0

Com o New-ActiveSyncDeviceAccessRule cmdlet, pode definir uma regra de acesso de dispositivo, utilizando a DeviceModel característica ou DeviceType . Em ambos os casos, a regra de acesso bloqueia o Outlook para iOS e Android em todas as plataformas e impedirá que qualquer dispositivo, tanto na plataforma iOS como na plataforma Android, aceda a uma caixa de correio do Exchange através da aplicação.

Seguem-se dois exemplos de uma regra de acesso ao dispositivo. O primeiro exemplo utiliza a DeviceModel característica; o segundo exemplo utiliza a DeviceType característica.

New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block