Gerenciamento de dispositivos do Outlook para iOS e Android para Exchange Server
Importante
O Outlook para iOS e Android dá suporte à Autenticação Moderna híbrida para caixas de correio locais, o que elimina a necessidade de aproveitar a autenticação básica. As informações contidas neste artigo pertencem apenas à autenticação básica. Para obter mais informações, confira Usando a Autenticação Moderna híbrida com o Outlook para iOS e Android.
A Microsoft recomenda Exchange ActiveSync para gerenciar os dispositivos móveis usados para acessar caixas de correio do Exchange em seu ambiente local. Exchange ActiveSync é um protocolo de sincronização do Microsoft Exchange que permite que os telefones celulares acessem as informações de uma organização em um servidor que está executando o Microsoft Exchange.
Este artigo se concentra em recursos e cenários Exchange ActiveSync específicos para dispositivos móveis que executam o Outlook para iOS e Android ao autenticar com autenticação básica. Informações completas sobre o protocolo de sincronização do Microsoft Exchange estão disponíveis no Exchange ActiveSync. Além disso, há informações sobre o Blog do Office detalhando a aplicação de senha e outros benefícios do uso de Exchange ActiveSync com dispositivos que executam o Outlook para iOS e Android.
Política de caixa de correio do dispositivo móvel
O Outlook para iOS e Android dá suporte às seguintes configurações de política de caixa de correio do dispositivo móvel no Exchange local:
Criptografia de dispositivo habilitada
Tamanho da senha min (somente no Android)
Senha habilitada
Permitir Bluetooth (usado para gerenciar o aplicativo vestível do Outlook para Android)
Quando AllowBluetooth está habilitado (comportamento padrão) ou configurado para HandsfreeOnly, a sincronização vestível entre o Outlook no dispositivo Android e o Outlook no wearable é permitida para a conta corporativa ou escolar.
Quando AllowBluetooth estiver desabilitado, o Outlook para Android desabilitará a sincronização entre o Outlook no dispositivo Android e o Outlook no wearable para a conta de trabalho ou escola especificada (e excluirá todos os dados sincronizados anteriormente para a conta). Desabilitar a sincronização é controlado inteiramente dentro do próprio Outlook; O Bluetooth não está desabilitado no dispositivo ou no wearable nem qualquer outro aplicativo vestível é afetado.
Observação
O Outlook para Android lançará suporte para a configuração AllowBluetooth a partir do final de agosto.
Para obter informações sobre como criar ou modificar uma política de caixa de correio de dispositivo móvel existente, consulte Políticas de caixa de correio do dispositivo móvel.
Bloqueio pin e criptografia de dispositivo
Se a política de Exchange ActiveSync da sua organização exigir uma senha em dispositivos móveis para que os usuários sincronizem o email, o Outlook imporá essa política no nível do dispositivo. Isso funciona de forma diferente entre dispositivos iOS e dispositivos Android, com base nos controles disponíveis fornecidos pela Apple e pelo Google.
Em dispositivos iOS, o Outlook verifica se uma senha ou PIN está corretamente definida. No caso de uma senha não ser definida, o Outlook solicitará que os usuários criem uma senha nas configurações do iOS. Até que a senha seja configurada, o usuário não poderá acessar o Outlook para iOS.
Em dispositivos Android, o Outlook imporá regras de bloqueio de tela. Além disso, o Google fornece controles que permitem que o Outlook para Android cumpra as políticas do Exchange sobre comprimento e complexidade de senha e o número de tentativas permitidas de desbloqueio de tela antes de limpar o telefone. O Outlook para Android também incentivará a criptografia de armazenamento se ela não estiver habilitada, orientando os usuários nesse processo com um passo a passo.
Dispositivos iOS e Android que não dão suporte a essas configurações de segurança de senha não poderão se conectar a uma caixa de correio do Exchange.
Criptografia de dispositivo
Os dispositivos iOS são enviados com criptografia interna, que o Outlook usa quando a senha é habilitada para criptografar todos os dados que o Outlook armazena localmente no dispositivo iOS. Portanto, os dispositivos iOS com um PIN são criptografados se isso é ou não exigido por uma política ActiveSync.
O Outlook para Android dá suporte à criptografia do dispositivo por meio de políticas de caixa de correio de dispositivo móvel do Exchange. No entanto, antes do Android 7.0, a disponibilidade e a implementação desse processo variam de acordo com a versão do sistema operacional Android e o fabricante do dispositivo, o que permite que o usuário cancele durante o processo de criptografia. Com as alterações que o Google introduziu ao Android 7.0, o Outlook para Android agora é capaz de impor a criptografia em dispositivos que executam o Android 7.0 ou posterior. Os usuários com dispositivos que executam esses sistemas operacionais não poderão cancelar o processo de criptografia.
Mesmo que o dispositivo Android não seja criptografado e um invasor esteja em posse do dispositivo, desde que um PIN de dispositivo esteja habilitado, o banco de dados do Outlook permanecerá inacessível. Isso é verdadeiro mesmo com a depuração USB habilitada e o SDK do Android instalado. Se um invasor tentar criar raiz no dispositivo para ignorar o PIN para obter acesso a essas informações, o processo de raiz apagará todo o armazenamento do dispositivo e removerá todos os dados do Outlook. Se o dispositivo não for criptografado e enraizado pelo usuário antes de ser roubado, é possível que um invasor obtenha acesso ao banco de dados do Outlook habilitando a depuração USB no dispositivo e conectando o dispositivo a um computador com o SDK do Android instalado.
Apagamento remoto com Exchange ActiveSync
Exchange ActiveSync permite que os administradores limpem dispositivos remotamente, como se eles ficarem comprometidos ou perdidos/roubados. Com o Outlook para iOS e Android, um apagamento remoto apaga apenas os dados dentro do próprio aplicativo do Outlook e não dispara um apagamento completo do dispositivo.
Consulte Executar um apagamento remoto em um celular para obter mais informações.
Política de acesso ao dispositivo
O Outlook para iOS e Android deve ser habilitado por padrão, mas em alguns ambientes locais do Exchange existentes o aplicativo pode ser bloqueado por uma variedade de motivos. Depois que uma organização decide padronizar como os usuários acessam os dados do Exchange e usam o Outlook para iOS e Android como o único aplicativo de email para usuários finais, você pode configurar blocos para outros aplicativos de email em execução nos dispositivos iOS e Android dos usuários. Você tem duas opções para instituir esses blocos no Exchange local: a primeira opção bloqueia todos os dispositivos e só permite o uso do Outlook para iOS e Android; a segunda opção permite que você bloqueie dispositivos individuais de usar os aplicativos Exchange ActiveSync nativos.
Observação
Como as IDs do dispositivo não são regidas por nenhuma ID do dispositivo físico , elas podem ser alteradas sem aviso prévio. Quando isso acontece, ele pode causar consequências não intencionais quando as IDs do dispositivo são usadas para gerenciar dispositivos de usuário, pois os dispositivos 'permitidos' existentes podem ser bloqueados ou colocados em quarentena inesperadamente pelo Exchange. Portanto, a Microsoft recomenda que os administradores definam apenas políticas de acesso de dispositivo móvel que permitem/bloqueiam dispositivos com base no tipo de dispositivo ou modelo de dispositivo.
Opção 1: bloquear todos os aplicativos de email, exceto Outlook para iOS e Android
Você pode definir uma regra de bloco padrão e configurar uma regra de permissão para Outlook para iOS e Android e para dispositivos Windows, usando os seguintes comandos do PowerShell locais do Exchange. Essa configuração impedirá a conexão de qualquer aplicativo nativo Exchange ActiveSync e permitirá apenas o Outlook para iOS e Android.
Criar a regra de bloco padrão:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel BlockCriar uma regra de permissão para o Outlook para iOS e Android
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel AllowOpcional: criar regras que permitem o Outlook em dispositivos Windows para Exchange ActiveSync conectividade (WindowsMail refere-se ao aplicativo Mail incluído em Windows 10):
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "WindowsMail" -AccessLevel Allow
Opção 2: bloquear aplicativos Exchange ActiveSync nativos em dispositivos Android e iOS
Como alternativa, você pode bloquear aplicativos nativos Exchange ActiveSync em dispositivos Android e iOS específicos ou outros tipos de dispositivos.
Confirme se não há regras de acesso ao dispositivo Exchange ActiveSync em vigor que bloqueiem o Outlook para iOS e Android:
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | ft Name,AccessLevel,QueryString -autoSe forem encontradas regras de acesso ao dispositivo que bloqueiam o Outlook para iOS e Android, digite o seguinte para removê-los:
Get-ActiveSyncDeviceAccessRule | where {$_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*"} | Remove-ActiveSyncDeviceAccessRuleVocê pode bloquear a maioria dos dispositivos Android e iOS com os seguintes comandos:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel BlockNem todos os fabricantes de dispositivos Android especificam "Android" como o DeviceType. Os fabricantes podem especificar um valor exclusivo a cada versão. Para encontrar outros dispositivos Android que estão acessando seu ambiente, execute o seguinte comando para gerar um relatório de todos os dispositivos que têm uma parceria de Exchange ActiveSync ativa:
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csvCrie regras de bloco adicionais, dependendo dos resultados da Etapa 3. Por exemplo, se você descobrir que seu ambiente tem um alto uso de dispositivos Android HTCOne, você pode criar uma regra de acesso ao dispositivo Exchange ActiveSync que bloqueia esse dispositivo específico, forçando os usuários a usar o Outlook para iOS e Android. Neste exemplo, você digitaria:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block
Observação
O parâmetro QueryString não aceita curingas ou correspondências parciais.
Recursos adicionais:
Bloquear o Outlook para iOS e Android
Cada organização do Exchange tem políticas diferentes sobre segurança e gerenciamento de dispositivos. Se uma organização decidir que o Outlook para iOS e Android não atende às suas necessidades ou não é a melhor solução para eles, os administradores terão a capacidade de bloquear o aplicativo. Depois que o aplicativo é bloqueado, os usuários do Exchange móvel em sua organização podem continuar acessando suas caixas de correio usando os aplicativos de email internos no iOS e Android.
O New-ActiveSyncDeviceAccessRule cmdlet tem um Characteristic parâmetro e há três Characteristic opções que os administradores podem usar para bloquear o aplicativo Outlook para iOS e Android. As opções são UserAgent, DeviceModel e DeviceType. Nas duas opções de bloqueio descritas nas seções a seguir, você usará um ou mais desses valores característicos para restringir o acesso que o Outlook para iOS e Android tem às caixas de correio em sua organização.
Os valores de cada característica são exibidos na seguinte tabela:
| Característica | Cadeia de caracteres para iOS | Cadeia de caracteres para Android |
|---|---|---|
| DeviceModel | Outlook para iOS e Android | Outlook para iOS e Android |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS-Android/1.0 | Outlook-iOS-Android/1.0 |
Com o New-ActiveSyncDeviceAccessRule cmdlet, você pode definir uma regra de acesso ao dispositivo usando a DeviceModel característica ou DeviceType . Em ambos os casos, a regra de acesso bloqueia o Outlook para iOS e Android em todas as plataformas e impedirá que qualquer dispositivo, na plataforma iOS e na plataforma Android, acesse uma caixa de correio do Exchange por meio do aplicativo.
A seguir estão dois exemplos de uma regra de acesso ao dispositivo. O primeiro exemplo usa a DeviceModel característica; o segundo exemplo usa a DeviceType característica.
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block