Gerenciar o acesso à colaboração de mensagens usando o Outlook para iOS e Android com Microsoft Intune

  • Artigo

O aplicativo Outlook para iOS e Android foi projetado para permitir que os usuários em sua organização façam mais em seus dispositivos móveis, reunindo email, calendário, contatos e outros arquivos.

Os recursos de proteção mais avançados e mais amplos para dados do Microsoft 365 estão disponíveis quando você assina o pacote de Enterprise Mobility + Security, que inclui recursos Microsoft Intune e Microsoft Entra ID P1 ou P2, como acesso condicional. No mínimo, você deseja implantar uma política de acesso condicional que permita a conectividade com o Outlook para iOS e Android de dispositivos móveis e uma política de proteção de aplicativo do Intune que garante que a experiência de colaboração seja protegida.

Aplicar Acesso Condicional

As organizações podem usar Microsoft Entra políticas de Acesso Condicional para garantir que os usuários só possam acessar o conteúdo do trabalho ou da escola usando o Outlook para iOS e Android. Para fazer isso, você precisará de uma política de acesso condicional que tenha como alvo todos os usuários potenciais. Essas políticas estão descritas em Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.

  1. Siga as etapas em Exigir aplicativos cliente aprovados ou política de proteção de aplicativo com dispositivos móveis. Essa política permite o Outlook para iOS e Android, mas bloqueia o OAuth e a autenticação básica capazes de Exchange ActiveSync clientes móveis de se conectarem a Exchange Online.

    Observação

    Essa política garante que os usuários móveis possam acessar todos os pontos de extremidade do Microsoft 365 usando os aplicativos aplicáveis.

  2. Siga as etapas em Bloquear Exchange ActiveSync em todos os dispositivos, o que impede que Exchange ActiveSync clientes que usam a autenticação básica em dispositivos não móveis se conectem a Exchange Online.

    As políticas acima aproveitam o controle de acesso de concessão Exigir política de proteção de aplicativo, o que garante que uma Política de Proteção de Aplicativo do Intune seja aplicada à conta associada no Outlook para iOS e Android antes de conceder acesso. Se o usuário não for atribuído a uma Política de Proteção de Aplicativo do Intune, não estiver licenciado para o Intune ou o aplicativo não estiver incluído na Política de Proteção de Aplicativo do Intune, a política impedirá que o usuário obtenha um token de acesso e obtenha acesso aos dados de mensagens.

  3. Siga as etapas em Como bloquear a autenticação herdada para Microsoft Entra ID com acesso condicional para bloquear a autenticação herdada de outros protocolos do Exchange em dispositivos iOS e Android; essa política deve ter como alvo apenas Microsoft Exchange Online plataformas de dispositivos iOS e Android. Isso garante que os aplicativos móveis que usam protocolos Do Exchange Web Services, IMAP4 ou POP3 com autenticação básica não possam se conectar a Exchange Online.

Observação

Para aproveitar as políticas de acesso condicional baseadas em aplicativos, o aplicativo Microsoft Authenticator deve ser instalado em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, consulte Acesso Condicional baseado em aplicativo com Intune.

Criar políticas de proteção de aplicativos do Intune

As Políticas de Proteção de Aplicativos (APP) definem quais aplicativos são permitidos e as ações que eles podem realizar com os dados da sua organização. As opções disponíveis no APP permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.

A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:

  • A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
  • A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
  • A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos. Essa configuração é desejável para usuários que estão acessando dados de alto risco.

Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.

Independentemente de o dispositivo estar inscrito numa solução de gestão unificada de pontos finais (UEM), é necessário criar uma política de proteção de aplicativo do Intune para aplicativos iOS e Android, usando as etapas em Como criar e atribuir políticas de proteção de aplicativo. Essas políticas, no mínimo, devem atender às seguintes condições:

  • Eles incluem todos os aplicativos móveis do Microsoft 365, como Edge, Outlook, OneDrive, Office ou Teams, pois isso garante que os usuários possam acessar e manipular dados corporativos ou de estudante em qualquer aplicativo da Microsoft de maneira segura.

  • Eles são atribuídos a todos os usuários. Isso garante que todos os usuários estejam protegidos, independentemente de usarem o Outlook para iOS ou Android.

  • Determine qual nível de estrutura atende aos seus requisitos. A maioria das organizações deve implementar as configurações definidas em Proteção de dados aprimorada empresarial (Nível 2), pois isso permite a proteção de dados e controles de requisitos de acesso.

Para obter mais informações sobre as configurações disponíveis, consulte Configurações da política de proteção de aplicativos Android e Configurações da política de proteção de aplicativos iOS.

Importante

Para aplicar políticas de proteção de aplicativos do Intune contra aplicativos em dispositivos Android que não estão registrados no Intune, o usuário também deve instalar o Portal da Empresa do Intune.

Usar a configuração do aplicativo

O Outlook para iOS e Android dá suporte a configurações de aplicativo que permitem que administradores unificados de gerenciamento de ponto de extremidade personalizem o comportamento do aplicativo. Microsoft Intune, que é uma solução unificada de gerenciamento de ponto de extremidade, é comumente usada para configurar e atribuir aplicativos a usuários finais organizacionais.

A configuração do aplicativo pode ser entregue por meio do canal do sistema operacional MDM (gerenciamento de dispositivo móvel) em dispositivos registrados (canal de Configuração de Aplicativos gerenciado para iOS ou Android no canal Enterprise para Android) ou por meio do canal APP (Política de Proteção de Aplicativo) do Intune. O Outlook para iOS e Android dá suporte aos seguintes cenários de configuração:

  • Permitir apenas contas corporativas ou de estudante
  • Configurações gerais do aplicativo
  • Configurações de S/MIME
  • Configurações de proteção de dados

Para obter etapas processuais específicas e documentação detalhada sobre as configurações de aplicativo que o Outlook para iOS e Android dá suporte, consulte Implantando configurações de configuração de aplicativo para iOS e Android.

Próximas etapas