步骤 2. 配置 Microsoft Outlook

Microsoft Intune可以轻松地向组织中的最终用户提供Microsoft Outlook。 Outlook 提供安全的电子邮件、日历、联系人和文件。 可以选择将 Microsoft Outlook 的应用配置策略添加到 iOS/iPadOS 或 Android 设备。 Outlook for iOS/iPadOS 和 Android 支持允许统一终结点管理的应用设置 (UEM) 管理员 (使用 Microsoft Intune) 和 Microsoft 365 或 Office 365 管理员等工具来自定义应用的行为。

注意

所述的方法使用 Microsoft Intune 作为统一终结点管理服务,使用 Exchange 作为消息传送平台。

如果你的组织使用本机电子邮件应用或其他电子邮件服务,则无需配置 Microsoft Outlook。

应用配置策略面向 iOS/iPadOS 和 Android 平台。 但是,将应用添加到Intune时,某些应用(例如适用于 Windows 和更高版本的设备的 M365 应用)具有可用的配置选项。

可以通过选择以下方法之一来传递 Outlook 应用配置:

  1. 托管设备 - (MDM) OS 通道选择移动设备管理。
  2. 非托管设备:选择Intune应用保护策略 (应用) 通道 (也称为 MAM 通道) 。
    • iOS:使用适用于 iOS 的应用保护策略。
    • Android:使用适用于 Android 的应用保护策略。

注意

托管设备是已在移动设备管理 (MDM) 解决方案中注册的设备。 使用托管应用的非托管设备遵循移动应用程序管理 (MAM) 方案。

Outlook for iOS/iPadOS 和 Android 支持以下配置方案:

  • 帐户设置配置 - 必须具有已注册的设备。
  • 组织允许的帐户模式 - 必须具有已注册的设备。
  • 常规应用配置设置
  • S/MIME 设置
  • 数据保护设置

重要

对于需要在 Android 上进行设备注册的配置方案,设备必须在 Android Enterprise 中注册,并且必须通过托管的 Google Play 商店部署 Outlook for Android。 有关详细信息,请参阅 设置 Android 工作配置文件设备的注册为托管 Android 设备添加应用配置策略

配置方案 说明
帐户设置配置 与已在统一终结点管理中注册的托管设备一起使用, (UEM) 解决方案。 支持任何 UEM 提供程序。 Outlook for iOS/iPadOS 和 Android 使管理员能够利用混合新式身份验证用户将帐户配置“推送”到其Office 365和本地用户。 有关帐户设置配置的详细信息,请参阅 Exchange Online 中使用新式身份验证设置帐户
组织允许的帐户模式 与已在统一终结点管理中注册的托管设备一起使用, (UEM) 解决方案。 支持任何 UEM 提供程序。 示例可能包括仅允许工作或学校帐户。 Outlook for iOS/iPadOS 和 Android 使管理员能够将电子邮件和存储帐户帐户限制为仅公司帐户。 有关组织允许的帐户模式的详细信息,请参阅 Exchange Online 中使用新式身份验证的帐户设置
常规应用配置设置 Outlook for iOS/iPadOS 和 Android 使管理员能够自定义多个应用内设置的默认配置。 当 Outlook for iOS for iOS/iPadOS 和 Android 应用了Intune应用保护策略时,此功能适用于通过任何 UEM 提供程序注册的设备以及未注册的设备。

如果应用保护策略面向用户,则建议在托管应用设备注册模型中部署常规 应用 配置设置。 此部署可确保将应用程序配置策略部署到已注册设备和未注册的设备。

S/MIME 设置 在已注册的设备上,Outlook for iOS/iPadOS 和 Android 支持自动证书传递。 Outlook for iOS/iPadOS 和 Android 还支持在应用中启用或禁用 S/MIME 的应用配置设置,以及用户更改设置的功能。 有关如何通过 Microsoft Endpoint Manager 部署这些设置的详细信息,请参阅 S/MIME 概述以在 Intune 中对电子邮件进行签名和加密。 有关配置密钥的详细信息,请参阅 配置设置
数据保护设置 当应用由应用Microsoft Endpoint Manager 管理并应用了Intune应用保护策略时,Outlook for iOS/iPadOS 和 Android 支持以下数据保护设置的应用配置策略:
  • 管理可穿戴技术的使用
  • 管理邮件和日历提醒通知中的敏感数据
  • 管理同步到本机联系人应用的联系人字段
  • 管理日历同步可用性
  • 管理加载项可用性
  • 无论设备注册状态如何,都可以将这些设置部署到应用。 有关配置密钥的详细信息,请参阅 配置设置

有关 Outlook for iOS/iPadOS 和 Android 支持的应用配置设置的具体过程步骤和详细文档,请参阅 部署 Outlook for iOS/iPadOS 和 Android 应用配置设置

在托管设备上配置 Outlook

可以使用专用于 iOS/iPadOS 或 Android 平台的应用程序配置策略为托管设备配置 Microsoft Outlook。 为托管设备配置 Outlook 时,需要考虑两个方面:

注意

可以使用任何统一终结点管理 (UEM) 提供程序在托管设备上配置 Outlook,该提供程序使用适用于 iOS 的托管应用程序配置通道,或者在适用于 Android 的企业通道中使用 Android

帐户设置配置

可以使用 Intune 或其他统一终结点管理 (UEM) 提供程序为 iOS/iPadOS 和 Android 设备上的 Microsoft Outlook 配置帐户配置设置。 在 Intune (或其他 UEM 提供程序) 中将帐户设置配置创建为应用程序配置策略,并且用户注册其设备后,Outlook for iOS/iPadOS 和 Android 将检测相关帐户,然后提示用户登录到该帐户。 用户完成设置过程需要输入的唯一信息是其密码。 然后,用户的邮箱内容将加载,用户可以开始使用该应用。 此过程可确保每个设备用户都成功设置 Outlook。

在 Intune 中创建应用程序配置策略时,可以通过在策略中专门设置键和值并将策略分配给组织成员,为设备设置帐户配置选项。

Outlook 的可用帐户设置配置密钥包括:

  • com.microsoft.outlook.Settings.OpenLinks.UseSystemDefaultBrowser
  • com.microsoft.outlook.Settings.OpenLinks.UserChangeAllowed
  • com.microsoft.outlook.EmailProfile.EmailAddress
  • com.microsoft.outlook.EmailProfile.EmailUPN
  • com.microsoft.outlook.EmailProfile.AccountType

有关使用上述密钥的详细信息,请参阅 Microsoft Exchange 文档中的 帐户设置配置

组织允许的帐户模式设置

可以将企业托管设备上的 Outlook for iOS/iPadOS 和 Android 配置为仅允许在 Outlook for iOS/iPadOS 和 Android 中预配单个公司帐户。 使用混合新式身份验证的 Microsoft 365 和 Office 365 帐户或本地帐户支持此功能,但是,只能将单个公司帐户添加到 Outlook for iOS/iPadOS 和 Android。 与帐户设置配置类似,可以使用 Intune 或其他统一终结点管理 (UEM) 提供程序为 iOS/iPadOS 和 Android 设备上的 Microsoft Outlook 配置组织允许的帐户模式设置。 在 Intune (或其他 UEM 提供程序) 中将帐户设置配置创建为应用程序配置策略后,你已分配该策略,并且用户注册其设备、Outlook for iOS/iPadOS 和 Android 将检测相关帐户,然后提示用户登录到该帐户。

Outlook 可用的组织允许帐户模式配置密钥包括:

  • IntuneMAMAllowedAccountsOnly
  • IntuneMAMUPN
  • com.microsoft.intune.mam.AllowedAccountUPNs

若要确保这些用户只能在已注册的设备上访问公司电子邮件, (无论是 iOS/iPadOS 还是具有Intune的 Android Enterprise) ,都需要将Microsoft Entra条件访问策略与授予控件“要求设备标记为合规”和“需要批准的客户端应用”。 有关创建此类策略的详细信息,请参阅基于应用的条件访问Microsoft Entra

有关需要配置为部署组织允许帐户模式的设置的详细信息,请参阅 Microsoft Exchange 文档中的组织 允许帐户模式设置 和组织 允许的帐户模式

托管设备的配置过程

创建应用配置策略以应用于 Intune 中的托管设备时,请专门选择“托管设备”。 托管设备是由Intune或其他统一终结点管理提供程序管理的设备。 应用(在本例中Microsoft Outlook)必须固定到 iOS/iPadOS 上的管理配置文件,或通过 Android 设备上的托管 Google Play 进行部署。

有关在 Intune 中创建应用配置策略的详细信息,请参阅为 iOS/iPadOS 设备创建应用配置策略和为 Android Enterprise 设备创建应用配置策略。 此外,请参阅适用于 Android Enterprise 设备的Email应用

将 Outlook 配置为托管应用

Outlook for iOS/iPadOS 和 Android 使管理员能够自定义多个应用内设置的默认配置。 当 Outlook for iOS for iOS/iPadOS 和 Android 应用了Intune应用保护策略时,此功能适用于通过任何 UEM 提供程序注册的设备以及未注册的设备。

在 Intune 内,可以创建一个应用配置策略,用于设置以下类型的配置设置:

  • Outlook 配置设置
  • 移动应用程序管理设置的Microsoft隧道
  • S/MIME 设置
  • 常规配置设置

提示

如果应用保护策略面向用户,则建议在托管应用设备注册模型中部署常规 应用 配置设置。 此部署可确保将应用程序配置策略部署到已注册设备和未注册的设备。

Outlook 配置设置

在 Intune中,可以使用应用配置策略为 iOS/iPadOS 和 Android 平台设置特定于 Outlook 的配置设置。 这些设置分为以下类别:

  • 常规应用配置 设置
  • 数据保护配置 设置
  • 将联系人字段同步到本机联系人应用配置 设置

下表提供了 Outlook 的 常规应用配置 设置列表:

常规应用配置设置 说明
重点收件箱 重点收件箱将收件箱分为两个选项卡-“重点”和“其他”。 最重要的电子邮件位于“重点”选项卡上,而其他电子邮件仍可在“其他”选项卡上轻松访问(但不受访问)。设置为“未配置”时,默认应用设置设置为“开”。
需要生物识别才能访问应用 用户可能需要生物识别(如 TouchID 或 FaceID)才能访问其设备上的应用。 如果需要,除了在此配置文件中选择的身份验证方法外,还会使用生物识别。 部署Intune应用保护策略时,不应启用此设置,因为应用保护策略包括访问托管数据之前的访问要求。 启用这两者将导致多个访问提示来访问 Outlook 移动版。 设置为“未配置”时,默认应用设置设置为 off。 如果配置此设置,可以选择使用 “允许用户更改设置 ”选项。
保存联系人 将联系人保存到移动设备的本机通讯簿允许将新呼叫和短信与用户现有的 Outlook 联系人链接。 设置为“未配置”时,默认应用设置设置为 off。 如果配置此设置,可以选择使用 “允许用户更改设置 ”选项。
外部收件人邮件提示 如果发件人添加外部收件人或添加包含外部收件人的通讯组,则显示外部收件人邮件提示。 此邮件提示将通知发件人其所撰写的邮件是否会发送到组织外部,以帮助其选择正确的措词、语气和内容。 仅适用于Exchange Online帐户和利用混合新式身份验证的本地帐户。 设置为“未配置”时,默认应用设置设置为“开”。
阻止外部图像 启用阻止外部图像后,应用会阻止下载 Internet 上托管的嵌入在消息正文中的图像。 设置为“未配置”时,默认应用设置设置为“关”。 如果配置此设置,可以选择“ 允许用户更改设置 ”选项。
默认应用签名 默认应用签名指示应用在邮件撰写过程中是否使用“获取 Outlook for iOS”作为默认签名。 如果设置为“关闭”,则不会使用默认签名;但是,用户可以添加自己的签名。 设置为“未配置”时,默认应用设置设置为“开”。
建议的答复 打开邮件时,Outlook 可能会建议邮件下方的答复。 如果选择建议的答复,则可以在发送答复之前对其进行编辑。 设置为“未配置”时,默认应用设置设置为“开”。 如果配置此设置,可以选择“ 允许用户更改设置 ”选项。
按线程组织邮件 Outlook 中的默认行为是将邮件对话捆绑到线程会话视图中。 如果禁用此设置,Outlook 将单独显示每封邮件,并且不会按线程对邮件进行分组。
发现源 发现源会显示你最常访问的 Office 文件。 默认情况下,为用户启用 Delve 时,会启用此源。 设置为“未配置”时,默认应用设置设置为“开”。
播放我的电子邮件 默认情况下,应用中未启用“播放我的电子邮件”功能,但会通过收件箱中的横幅将其提升到符合条件的用户。 如果设置为“关闭”,则不会将此功能提升到应用中的合格用户。 用户可选择在应用中手动启用“播放我的电子邮件”,即使此功能设置为“关闭”也是如此。 设置为“未配置”时,默认应用设置为“打开”,并且该功能将提升给符合条件的用户。
同步日历 默认情况下,应用保护策略允许日历同步到本机日历应用,但可以使用“将策略托管应用数据与本机应用或外接程序同步”设置来阻止日历同步可用性。 当应用保护策略设置设置为“允许”时,将此设置配置为“关闭”将阻止日历同步。 如果配置此设置,可以选择使用 “允许用户更改设置 ”选项。
文本预测 Outlook 可以在撰写邮件时建议字词和短语。 当 Outlook 提供建议时,轻扫以接受它。 设置为“未配置”时,默认应用设置设置为“开”。 如果配置此设置,可以选择使用 “允许用户更改设置 ”选项。

下表提供了 Outlook 的 数据保护配置 设置列表:

数据保护配置设置 说明
可穿戴设备上的组织数据 此值指定 Outlook 数据是否可以同步到可穿戴设备。 将值设置为“否”会禁用可穿戴同步。
日历通知 当应用保护策略设置“组织数据通知”设置为“阻止组织数据”时,允许日历通知显示完整详细信息。
允许加载项 默认情况下,应用保护策略允许用户使用第三方外接程序,但可以使用“将策略托管应用数据与本机应用或外接程序同步”设置来阻止加载项。 当应用保护策略设置设置为“允许”时,将此设置配置为“关闭”将阻止加载项。
允许日历同步 默认情况下,应用保护策略允许日历同步到本机日历应用,但可用于阻止日历同步可用性。 此设置独立于应用保护策略设置运行,使组织能够定义日历同步是否可用于工作或学校帐户。

下表提供了 Outlook 的“ 将联系人字段同步到本机联系人”应用配置 设置的列表:

将联系人字段同步到本机联系人应用配置设置 说明
地址 此值指定是否应将联系人的地址同步到本机联系人。
Birthday 此值指定是否应将联系人的生日同步到本机联系人。
公司 此值指定是否应将联系人的公司名称同步到本机联系人。
部门 此值指定是否应将联系人的部门同步到本机联系人。
电子邮件地址 此值指定是否应将联系人的电子邮件地址同步到本机联系人。
即时消息地址 此值指定是否应将联系人的即时消息地址同步到本机联系人。
职务 此值指定是否应将联系人的职务同步到本机联系人。
名称前缀 此值指定是否应将联系人的姓名前缀同步到本机联系人。
名称后缀 此值指定是否应将联系人的姓名后缀同步到本机联系人。
Nickname 此值指定是否应将联系人的昵称同步到本机联系人。
注意 此值指定是否应将联系人的笔记同步到本机联系人。
家庭电话号码 此值指定是否应将联系人的家庭电话号码同步到本机联系人。
家庭电话号码 此值指定是否应将联系人的家庭传真号同步到本机联系人。
电话号码 此值指定是否应将联系人的移动电话号码同步到本机联系人。
电话其他号码 此值指定是否应将联系人的其他电话号码同步到本机联系人。
电话寻呼号码 此值指定是否应将联系人的寻呼电话号码同步到本机联系人。
电话工作号码 此值指定是否应将工作电话号码同步到本机联系人。
电话工作传真号 此值指定是否应将联系人的工作传真号同步到本机联系人。

提示

有关使用这些设置的建议,请参阅 常规应用配置方案

移动应用程序管理设置的Microsoft隧道

使用 Microsoft Tunnel VPN 网关时,可以通过添加 Tunnel for Mobile Application Management (MAM) 来扩展 Tunnel 支持。 用于 MAM 的 Tunnel 扩展了 Microsoft Tunnel VPN 网关,以支持运行 Android 或 iOS 且未注册Microsoft Intune的设备。

注意

将Microsoft Intune计划 2 或Microsoft Intune Suite添加为附加许可证时,此功能可用。 有关详细信息,请参阅使用 Intune 套件加载项功能

有关适用于 MAM 的 Microsoft Tunnel的详细信息,请参阅 Microsoft Tunnel for Mobile Application Management

S/MIME 设置

安全多用途 Internet 邮件扩展 (S/MIME) 是允许用户发送和接收数字签名和加密电子邮件的规范。 可以使用 Intune 中的应用配置策略为 iOS/iPadOS 设备或 Android 设备上的 Outlook 配置 S/MIME 设置。 使用 托管应用 配置选项时,可以启用 Outlook S/MIME 设置,以便在 iOS/iPadOS 和 Android 设备上始终签名和/或始终加密。

可以通过选择应用配置策略中的可用选项或使用特定键和值来配置 Outlook 的 S/MIME 设置。 选择应用配置策略中的选项时,可以从标准选项中进行选择。

下表提供了 Outlook 的“ 将联系人字段同步到本机联系人”应用配置 设置的列表:

Outlook S/MIME 设置 说明
启用 S/MIME 指定撰写电子邮件时是否启用 S/MIME 控件。 如果配置此设置,可以选择使用 “允许用户更改设置 ”选项。
加密所有电子邮件 指定是否必须加密所有电子邮件。 加密会将数据转换为密码文本,以便只有预期的收件人可以读取它。 如果配置此设置,可以选择使用 “允许用户更改设置 ”选项。
对所有电子邮件进行签名 指定是否必须对所有电子邮件进行签名。 数字签名验证电子邮件的真实性,并确保内容在传输过程中不会被篡改。 如果配置此设置,可以选择使用 “允许用户更改设置 ”选项。
LDAP URL 这是客户端可以在其中获取电子邮件收件人的公共加密密钥的 LDAP 主机名。 当密钥可用时,将加密电子邮件。

使用托管应用时,可以通过选择“应用>配置在管理中心Microsoft Intune找到此设置。 此外,还可以在 iOS/iPadOS 和 Android 设备上为托管应用和托管设备添加 LDAP (轻型目录访问协议) URL。 有关相关信息,请参阅 Exchange Online 中适用于 Microsoft IntuneS/MIME for Outlook for iOS/iPadOS 和 Android 的应用配置策略。

常规配置设置

可以通过将名称和值添加到“设置”窗格的“常规配置设置”下的应用配置策略来设置应用配置设置。 有关在 Intune 中创建应用配置策略的详细信息,请参阅为 iOS/iPadOS 设备创建应用配置策略和为 Android Enterprise 设备创建应用配置策略。 此外,请参阅适用于 Android Enterprise 设备的Email应用

有关配置 outlook Microsoft的详细信息,请参阅使用 Outlook for iOS 和 Android 和 Microsoft Intune 管理邮件协作访问

后续步骤

步骤 3 - 配置 Microsoft 365

继续执行步骤 3,在 Microsoft Intune 中配置 Microsoft 365。