Gerir o acesso à colaboração de mensagens com o Outlook para iOS e Android com o Microsoft Intune
A aplicação Outlook para iOS e Android foi concebida para permitir que os utilizadores da sua organização façam mais a partir dos respetivos dispositivos móveis, reunindo e-mail, calendário, contactos e outros ficheiros.
Os recursos de proteção mais avançados e abrangentes para dados do Microsoft 365 estão disponíveis quando você assina o pacote Enterprise Mobility + Security, que inclui recursos do Microsoft Intune e do Microsoft Entra ID P1 ou P2, como acesso condicional. No mínimo, vai querer implementar uma política de acesso condicional que permita a conectividade ao Outlook para iOS e Android a partir de dispositivos móveis e a uma política de proteção de aplicações do Intune que garanta que a experiência de colaboração está protegida.
Aplicar Acesso Condicional
As organizações podem utilizar políticas de Acesso Condicional do Microsoft Entra para garantir que os utilizadores só podem aceder a conteúdos escolares ou profissionais através do Outlook para iOS e Android. Para fazer isso, você precisará de uma política de acesso condicional que tenha como alvo todos os usuários potenciais. Essas políticas estão descritas em Acesso Condicional: exigir aplicativos cliente aprovados ou política de proteção de aplicativo.
Siga os passos em Exigir aplicações cliente aprovadas ou política de proteção de aplicações com dispositivos móveis. Esta política permite que o Outlook para iOS e Android, mas bloqueia a ligação dos clientes móveis do Exchange ActiveSync com capacidade de autenticação básica e OAuth ao Exchange ActiveSync.
Observação
Esta política garante que os utilizadores móveis podem aceder a todos os pontos finais do Microsoft 365 através das aplicações aplicáveis.
Siga os passos em Bloquear o Exchange ActiveSync em todos os dispositivos, o que impede que os clientes do Exchange ActiveSync que utilizam autenticação básica em dispositivos não móveis se liguem ao Exchange Online.
As políticas acima tiram partido do controlo de concessão de acesso Exigir política de proteção de aplicações, que garante que uma Política de Proteção de Aplicações do Intune é aplicada à conta associada no Outlook para iOS e Android antes de conceder acesso. Se o utilizador não estiver atribuído a uma Política de Proteção de Aplicações do Intune, não estiver licenciado para o Intune ou se a aplicação não estiver incluída na Política de Proteção de Aplicações do Intune, a política impede que o utilizador obtenha um token de acesso e obtenha acesso aos dados de mensagens.
Siga os passos em Como: Bloquear a autenticação legada no Microsoft Entra ID com Acesso Condicional para bloquear a autenticação legada para outros protocolos do Exchange em dispositivos iOS e Android; esta política deve visar apenas as plataformas de dispositivos iOS e dispositivos Android e aplicação microsoft Exchange Online. Isto garante que as aplicações móveis que utilizam os protocolos Exchange Web Services, IMAP4 ou POP3 com autenticação básica não se conseguem ligar ao Exchange Online.
Observação
Para aproveitar as políticas de acesso condicional baseadas em aplicativos, o aplicativo Microsoft Authenticator deve ser instalado em dispositivos iOS. Para dispositivos Android, é necessário o aplicativo Portal da Empresa do Intune. Para obter mais informações, consulte Acesso Condicional baseado em aplicativo com Intune.
Criar políticas de proteção de aplicativos do Intune
As Políticas de Proteção de Aplicativos (APP) definem quais aplicativos são permitidos e as ações que eles podem realizar com os dados da sua organização. As opções disponíveis no APP permitem que as organizações adaptem a proteção às suas necessidades específicas. Para alguns, pode não ser óbvio quais configurações de política são necessárias para implementar um cenário completo. Para ajudar as organizações a priorizar a proteção de ponto de extremidade de cliente móvel, a Microsoft introduziu a taxonomia de sua estrutura de proteção de dados de aplicativo para gerenciamento de aplicativo móvel iOS e Android.
A estrutura de proteção de dados de aplicativo é organizada em três níveis de configuração distintos, sendo que cada nível compila o nível anterior:
- A Proteção de dados básica da empresa (nível 1) garante que os aplicativos sejam protegidos com um PIN e criptografados e execute operações de apagamento seletivo. Para dispositivos Android, esse nível valida o atestado de dispositivo Android. Essa é uma configuração de nível de entrada que fornece controle de proteção de dados semelhante nas políticas de caixa de correio do Exchange Online e apresenta a TI e a população de usuários para a APP.
- A Proteção de dados avançada da empresa (nível 2) apresenta mecanismos de prevenção de vazamento de dados de aplicativo e requisitos mínimos do sistema operacional. Essa é a configuração aplicável à maioria dos usuários móveis que acessam dados corporativos ou de estudante.
- A Proteção de dados empresariais de alta segurança (nível 3) apresenta mecanismos avançados de proteção de dados, configuração de PIN avançada e defesa contra ameaças móveis de aplicativos. Essa configuração é desejável para usuários que estão acessando dados de alto risco.
Para ver as recomendações específicas para cada nível de configuração e os aplicativos mínimos que devem ser protegidos, examine Estrutura de proteção de dados usando as políticas de proteção de aplicativo.
Independentemente de o dispositivo estar inscrito numa solução de gestão unificada de pontos finais (UEM), é necessário criar uma política de proteção de aplicativo do Intune para aplicativos iOS e Android, usando as etapas em Como criar e atribuir políticas de proteção de aplicativo. Essas políticas, no mínimo, devem atender às seguintes condições:
Eles incluem todos os aplicativos móveis do Microsoft 365, como Edge, Outlook, OneDrive, Office ou Teams, pois isso garante que os usuários possam acessar e manipular dados corporativos ou de estudante em qualquer aplicativo da Microsoft de maneira segura.
Eles são atribuídos a todos os usuários. Isto garante que todos os utilizadores estão protegidos, independentemente de utilizarem o Outlook para iOS ou Android.
Determine qual nível de estrutura atende aos seus requisitos. A maioria das organizações deve implementar as configurações definidas em Proteção de dados aprimorada empresarial (Nível 2), pois isso permite a proteção de dados e controles de requisitos de acesso.
Para obter mais informações sobre as configurações disponíveis, consulte Configurações da política de proteção de aplicativos Android e Configurações da política de proteção de aplicativos iOS.
Importante
Para aplicar políticas de proteção de aplicativos do Intune contra aplicativos em dispositivos Android que não estão registrados no Intune, o usuário também deve instalar o Portal da Empresa do Intune.
Utilizar a configuração da aplicação
O Outlook para iOS e Android suporta definições de aplicações que permitem aos administradores de gestão de pontos finais unificados personalizar o comportamento da aplicação. O Microsoft Intune, que é uma solução de gestão de pontos finais unificada, é normalmente utilizado para configurar e atribuir aplicações a utilizadores finais organizacionais.
A configuração da aplicação pode ser fornecida através do canal de SO de gestão de dispositivos móveis (MDM) em dispositivos inscritos (canal de Configuração de Aplicações Geridas para iOS ou Android no canal Enterprise para Android) ou através do canal da Política de Proteção de Aplicações do Intune (APP). O Outlook para iOS e Android suporta os seguintes cenários de configuração:
- Permitir apenas contas corporativas ou de estudante
- Configurações gerais do aplicativo
- Definições S/MIME
- Configurações de proteção de dados
Para obter passos processuais específicos e documentação detalhada sobre as definições de configuração da aplicação suportadas pelo Outlook para iOS e Android, consulte Implementar definições de configuração de aplicações do Outlook para iOS e Android.