Прочитать на английском

Поделиться через

Добавление параметров электронной почты на устройства с помощью Intune

  • Статья

Microsoft Intune содержит различные параметры электронной почты, которые вы можете развернуть на устройствах в вашей организации. Email профили конфигурации устройств включают параметры подключения, используемые приложением электронной почты для доступа к электронной почте организации.

Настройка параметров электронной почты в Intune состоит из двух этапов. Сначала необходимо развернуть почтовое приложение, а затем создать и развернуть профиль электронной почты.

На большинстве платформ на устройстве имеется собственное или встроенное приложение электронной почты. С помощью Intune можно настроить встроенное почтовое приложение или развернуть другие почтовые приложения, которые подключаются к вашей почтовой системе, например Microsoft Exchange. В другом профиле Intune добавьте параметры системы электронной почты, такие как имя сервера электронной почты и метод проверки подлинности.

Когда политики будут готовы, вы назначаете их пользователям и группам. После назначения пользователи получают доступ к электронной почте вашей организации, не настраивая его самостоятельно.

При настройке параметров электронной почты с помощью Intune вы:

  • Убедитесь, что параметры являются стандартными на многих устройствах.
  • Уменьшите количество обращений в службу поддержки от пользователей, которые не знают правильные параметры электронной почты.

Профили электронной почты можно использовать для настройки параметров электронной почты для следующих устройств:

  • Администратор устройств Android в Samsung Knox Standard 5.0 и более поздней версии
  • Личные устройства Android Enterprise с рабочим профилем
  • iOS 11.0 и более поздние версии
  • iPadOS 13.0 и более поздние версии
  • Windows 11
  • Windows 10

В этой статье показано, как создать профиль электронной почты в Microsoft Intune. Также она содержит ссылки на разные платформы, чтобы вы ознакомились с конкретными настройками.

Важно!

Управление администраторами устройств Android устарело и больше не доступно для устройств с доступом к Google Mobile Services (GMS). Если в настоящее время вы используете управление администраторами устройств, рекомендуется перейти на другой вариант управления Android. Документация по поддержке и справке по-прежнему доступна для некоторых устройств без GMS под управлением Android 15 и более ранних версий. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Подготовка к работе

  • Чтобы создать политику, как минимум, войдите в Центр администрирования Microsoft Intune с учетной записью со встроенной ролью Диспетчер политик и профилей. Дополнительные сведения о встроенных ролях см. в статье Управление доступом на основе ролей для Microsoft Intune.

  • Профили электронной почты развертываются для пользователя, который зарегистрировал устройство. Чтобы настроить профиль электронной почты, Intune использует свойства Microsoft Entra в профиле электронной почты пользователя во время регистрации. Приложение электронной почты, которое использует ваша организация, должно поддерживать Microsoft Entra удостоверения.

  • Электронная почта основана на удостоверениях и параметрах пользователя. Профили электронной почты обычно назначаются группам пользователей, а не устройств. Рекомендации

    • Если профиль электронной почты содержит сертификаты пользователей, назначьте профили электронной почты группам пользователей. Вы можете назначить несколько профилей сертификатов пользователей. Эти профили создают цепочку развертывания профилей. Разверните эту цепочку профилей для групп пользователей.

      Если один профиль в этой цепочке развертывается в группе устройств, пользователям может постоянно предлагаться ввести пароль.

    • Обычно группы устройств используются, когда основного пользователя нет или вы не знаете, кто будет пользователем. Email профили, предназначенные для групп устройств (не для групп пользователей), могут не быть доставлены на устройство.

      Например, профиль электронной почты предназначен для группы "Все устройства iOS/iPadOS". Убедитесь, что у всех этих устройств есть пользователь.

      • Если ни на одном устройстве нет пользователя, профиль электронной почты может не развернуться. Вы ограничиваете профиль и можете пропустить некоторые устройства.
      • Если у устройства есть основной пользователь, можно без проблем выполнить развертывание для группы устройств.

      Дополнительные сведения о возможных проблемах с использованием групп устройств см. в разделе Распространенные проблемы с профилями электронной почты.

Шаг 1. Развертывание почтового приложения

На пользовательских устройствах вы выбираете почтовые приложения, которые могут подключаться к электронной почте организации и получать доступ к ней. Кроме того, необходимо определить, какие почтовые приложения разрешены в вашей организации, а затем развернуть приложение электронной почты для пользователей.

После развертывания почтового приложения можно создать и развернуть профиль конфигурации устройства электронной почты, если профиль электронной почты необходим. В зависимости от выбранной платформы и почтового приложения можно использовать политику конфигурации приложений или профиль конфигурации устройства электронной почты, чтобы предварительно настроить почтовое приложение с параметрами организации.

В этом разделе описываются некоторые распространенные приложения электронной почты, которые можно использовать, а также тип политики или профиля, которые можно использовать для каждой платформы.

Android Enterprise

В Intune можно использовать устройства, принадлежащие организации, и личные устройства:

  • Устройства, принадлежащие организации Android Enterprise. Организация владеет этими устройствами, они зарегистрированы в Intune и полностью управляются вами.

    Эти устройства имеют встроенное почтовое приложение, которое обычно скрыто, когда устройство регистрируется в Intune. Это поведение также зависит от изготовителя оборудования, поэтому на ваших устройствах оно может отличаться.

    Встроенное почтовое приложение также считается системным приложением. Дополнительные сведения о системных приложениях и Intune см. в статье Управление системными приложениями Android Enterprise в Microsoft Intune.

  • Личные устройства Android Enterprise с рабочим профилем. Эти устройства принадлежат конечным пользователям. Пользователи регистрят свои устройства, и рабочий профиль создается автоматически. Вы управляете рабочим профилем, включая приложения и данные в рабочем профиле.

    Дополнительные сведения о вариантах регистрации для личных устройств см. в статье Руководство по развертыванию. Регистрация устройств Android — BYOD: личные устройства Android enterprise с рабочим профилем.

    Эти личные устройства имеют встроенное почтовое приложение, которое обычно не используется для электронной почты организации. Организации, использующие условный доступ (ЦС), могут создавать политики ЦС для блокировки собственных почтовых приложений или разрешать только определенные приложения.

Email варианты приложений для Android Enterprise

На обоих типах устройств Android Enterprise можно добавить и развернуть почтовое приложение. Доступны следующие параметры:

Приложение Microsoft Outlook доступно в управляемом Магазине Play. Чтобы использовать Outlook в качестве почтового приложения, добавьте приложение Outlook в Intune и назначьте его пользователям или группам пользователей. Приложение также устанавливается.

После развертывания и установки приложения:

  • Если вы хотите настроить Outlook или предварительно настроить его с помощью параметров организации, можно создать политику конфигурации приложений (откроется другая статья Майкрософт). Когда политика будет готова, разверните эту политику конфигурации приложений для пользователей или групп пользователей. Политики конфигурации приложений являются необязательными.

  • Если вы не хотите настраивать Outlook или предварительно настраивать его для пользователей, вам это не нужно. После установки Outlook пользователям необходимо ввести сведения, которые подключаются к рабочей или учебной учетной записи, например ссылку на сервер электронной почты и многое другое.

Дополнительные сведения о политиках конфигурации приложений см. в следующих страницах:

Совет

При создании политики конфигурации приложений вы выбираете тип регистрации : Управляемые устройства или Управляемые приложения. Убедитесь, что вы знаете, что выбрать.

Дополнительные сведения об этих параметрах см. в статье Политики конфигурации приложений для Microsoft Intune.

iOS/iPadOS

В Intune можно использовать устройства, принадлежащие организации, и личные устройства:

  • Устройства, принадлежащие организации. Эти устройства принадлежат организации, они зарегистрированы в Intune и полностью управляются вами.

  • Личные устройства. Конечные пользователи владеют этими устройствами. Пользователи могут регистрировать все свои устройства в Intune для полного управления вами. Кроме того, они могут регистрировать только приложения, которые получают доступ к данным организации.

    Дополнительные сведения о вариантах регистрации для личных устройств см. в статье Руководство по развертыванию: Регистрация устройств iOS и iPadOS — регистрация пользователей и устройств BYOD.

    В зависимости от способа регистрации для личных устройств также рекомендуется использовать политики защиты приложений в почтовом приложении.

Email варианты приложений для iOS/iPadOS

На всех устройствах iOS/iPadOS можно добавить и развернуть почтовое приложение. Доступны следующие параметры:

Приложение Microsoft Outlook доступно в App Store. Чтобы использовать Outlook в качестве почтового приложения, добавьте приложение Outlook в Intune и назначьте его пользователям или группам пользователей. Приложение также устанавливается.

После развертывания и установки приложения:

  • Если вы хотите настроить Outlook или предварительно настроить его с помощью параметров организации, можно создать политику конфигурации приложений (откроется другая статья Майкрософт). Когда политика будет готова, разверните эту политику конфигурации приложений для пользователей или групп пользователей. Политики конфигурации приложений являются необязательными.

  • Если вы не хотите настраивать Outlook или предварительно настраивать его для пользователей, вам это не нужно. После установки Outlook пользователям необходимо ввести сведения, которые подключаются к рабочей или учебной учетной записи, например ссылку на сервер электронной почты и многое другое.

Дополнительные сведения о политиках конфигурации приложений см. в следующих страницах:

Совет

При создании политики конфигурации приложений вы выбираете тип регистрации : Управляемые устройства или Управляемые приложения. Убедитесь, что вы знаете, что выбрать.

Дополнительные сведения об этих параметрах см. в статье Политики конфигурации приложений для Microsoft Intune.

Клиент Windows

В Intune можно использовать устройства, принадлежащие организации, и личные устройства:

Email параметры приложений для клиента Windows

На всех устройствах Windows можно добавить и развернуть почтовое приложение. Доступны следующие параметры:

Приложение Microsoft Outlook доступно в наборе Приложения Microsoft 365. Чтобы использовать Outlook в качестве почтового приложения, добавьте приложение Outlook в Intune и назначьте его пользователям или группам пользователей. Приложение также устанавливается.

После развертывания и установки приложения:

  • Если вы хотите настроить Outlook или предварительно настроить его с помощью параметров организации, вы можете создать профиль конфигурации устройства электронной почты (в этой статье). Когда профиль будет готов, разверните этот профиль конфигурации устройства электронной почты для пользователей или групп пользователей. Профиль содержит параметры, которые подключают приложение Outlook к вашей почтовой системе, например Microsoft Exchange. Email профили конфигурации устройств являются необязательными.

  • Если вы не хотите настраивать Outlook или предварительно настраивать его для пользователей, вам это не нужно. После установки Outlook пользователям необходимо ввести сведения, которые подключаются к рабочей или учебной учетной записи, например ссылку на сервер электронной почты и многое другое.

Шаг 2. Создание профиля электронной почты

После назначения почтового приложения устройству на следующем шаге создается политика конфигурации устройства, которая настраивает подключение по электронной почте. Если приложение электронной почты использует политику конфигурации приложения для настройки приложения, пропустите этот шаг.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление устройствами>Конфигурация>Создать>Новая политика.

  3. Укажите следующие свойства:

    • Платформа. Выберите платформу своих устройств. Доступны следующие параметры:

      • Администратор устройства Android (только Samsung Android Knox категории "Стандартный")
      • Личные рабочие профили Android Enterprise
      • iOS/iPadOS
      • Windows 10 и более поздние версии

    • Тип профиля: выберите Email. Либо выберите элементы Шаблоны>Адрес электронной почты.

  4. Нажмите Создать.

  5. В разделе Основные укажите следующие свойства.

    • Имя: введите понятное имя для политики. Назначьте имена политикам, чтобы их можно было легко найти позже. Пример понятного имени политики: Windows 10/11: параметры электронной почты для всех устройств с Windows 10/11.
    • Описание: введите описание политики. Этот необязательный параметр, но мы рекомендуем его использовать.

  6. Нажмите кнопку Далее.

  7. В разделе Параметры конфигурации доступные для настройки параметры будут отличаться в зависимости от выбранной платформы. Выберите платформу для настройки дополнительных параметров:

  8. Нажмите кнопку Далее.

  9. В поле Теги области (необязательно) назначьте тег для фильтрации профиля по конкретным ИТ-группам, например US-NC IT Team или JohnGlenn_ITDepartment. Дополнительные сведения о тегах областей см. в статье Использование управления доступом на основе ролей (RBAC) и тегов области для распределенных ИТ.

    Нажмите кнопку Далее.

  10. В разделе Назначения выберите группы пользователей или устройств, которые получат ваш профиль. Дополнительные сведения о назначении профилей см. в разделе Перед началом работы (в этой статье). Также вы можете ознакомиться с разделом Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

  11. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Удаление профиля электронной почты

Существуют разные способы удалить профиль электронной почты с устройства, даже если он единственный.

  • Вариант 1. Откройте профиль электронной почты (Устройства>Управление устройствами>. Конфигурация> выберите свой профиль) и выберите Назначения. На вкладке Включить отображаются группы, назначенные профилю. Щелкните правой кнопкой мыши группу >Удалить. Не забудьте Сохранить изменения.

  • Вариант 2. Очистите устройство или снимите его с учета. Эти действия можно использовать для полностью или выборочного удаления данных и параметров.

Защита доступа к электронной почте

Профили электронной почты можно защитить следующими способами.

  • Сертификаты. При создании профиля электронной почты вы выбираете профиль сертификата, ранее созданный в Intune. Этот сертификат называется сертификатом удостоверения. Он используется для проверки подлинности по профилю доверенного сертификата или корневого сертификата, чтобы подтвердить, что устройству пользователя разрешено подключаться. Доверенный сертификат назначается компьютеру, выполняющему проверку подлинности подключения электронной почты. Как правило, этот компьютер является собственным почтовым сервером.

    Если для профиля электронной почты используется проверка подлинности на основе сертификата, разверните профиль электронной почты, профиль сертификата и доверенный корневой профиль в тех же группах. Такое развертывание гарантирует, что каждое устройство сможет распознать подлинность вашего центра сертификации.

    Дополнительные сведения о способах создания и использования профилей сертификатов см. в статье о настройке сертификатов с помощью Intune.

  • Имя пользователя и пароль. Пользователь проходит проверку подлинности на собственном почтовом сервере, указывая свои имя пользователя и пароль. Пароль не существует в профиле электронной почты. Поэтому пользователь вводит пароль при подключении к электронной почте.

Обработка имеющихся учетных записей электронной почты в Intune

Если пользователь уже настроил учетную запись электронной почты, профиль электронной почты назначается по-разному в зависимости от платформы.

  • Администратор устройства с Android Samsung Knox Standard. Обнаружение существующего дубликата профиля электронной почты выполняется по адресу электронной почты; он заменяется профилем Intune. Android не использует имя узла для идентификации профиля. Не создавайте несколько профилей электронной почты, используя один и тот же адрес электронной почты на разных узлах. Профили перезаписывают друг друга.

  • Личные рабочие профили Android Enterprise. Intune предоставляет два рабочих приложения электронной почты Android для настройки: Gmail и Nine Work. Эти приложения доступны в Google Play Маркете, они устанавливаются в личный рабочий профиль устройства. Эти приложения не будут создавать повторяющиеся профили. Чтобы использовать подключение к электронной почте, разверните одно из этих приложений электронной почты на устройствах пользователей. Затем создайте и разверните профиль электронной почты.

    Кроме того, в Gmail и Nine Work можно использовать профили сертификатов. Любые созданные политики конфигурации устройств Gmail или Nine Work продолжают применяться к устройству. Нет необходимости перемещать их в политики конфигурации приложений. Email приложения, такие как Nine Work, могут быть не бесплатными. Просмотрите данные о лицензировании приложения или обратитесь с вопросами к его разработчику.

  • iOS/iPadOS. Обнаружение имеющегося дубликата профиля электронной почты выполняется по имени узла и адресу электронной почты. Дубликат профиля электронной почты блокирует назначение профиля Intune. В этом случае Корпоративный портал уведомляет пользователя о несоответствии требованиям и предлагает вручную удалить настроенный профиль. Чтобы избежать этой проблемы, сообщите пользователям, что регистрацию необходимо выполнять до установки профиля электронной почты, чтобы система Intune могла настроить профиль.

  • Windows. Обнаружение имеющегося дубликата профиля электронной почты выполняется по имени узла и адресу электронной почты. Intune перезаписывает существующий профиль электронной почты, созданный пользователем.

Изменение назначенных профилей электронной почты

Если вы внесете изменения в назначенный ранее профиль электронной почты, пользователи могут увидеть сообщение с просьбой утвердить перенастройку параметров электронной почты.

После создания профиля он, возможно, еще ничего не делает. Не забудьте назначить профиль и отслеживать его состояние.