管理 Exchange Online 中的 iOS 版和 Android 版 Outlook

摘要：本文說明使用 Exchange Online 版 iOS 版和 Android 版 Outlook 管理行動裝置的最佳做法。

iOS 版和 Android 版 Outlook 可為使用者提供使用者對新式行動應用程式所預期的快速、直覺式電子郵件和行事曆體驗，同時成為唯一可支援 Microsoft 365 和 Office 365 最佳功能的應用程式。 此外，Microsoft 還提供許多公用程式來管理和保護 Exchange Online 組織中行動裝置上的公司數據。

管理裝置和應用程式的選項

想要管理 iOS 和 Android 版 Outlook 的客戶有下列選項：

1. 建議：Enterprise Mobility + Security 套件，其中包含 Microsoft Intune 和 Microsoft Entra 條件式存取。

2. 基本行動性和安全性 適用於 Microsoft 365。

3. 第三方整合端點管理解決方案。

4. 行動裝置存取和行動裝置信箱原則。

注意事項

如需這三個選項的實作詳細數據，請參閱在 Exchange Online 中保護 iOS 版和 Android 版 Outlook。

Microsoft 建議客戶使用 Enterprise Mobility + Security 套件的功能來保護行動裝置上的公司數據，因為這些服務提供進階功能。

重要事項

當使用者在 iOS 和 Android 版 Outlook 中進行驗證時，Exchange Online 如果對使用者套用任何 Microsoft Entra 條件式存取原則，則會略過 (允許、封鎖或隔離) 的行動裝置存取規則：：

• 雲端應用程式條件：Exchange Online 或 Office 365
• 裝置平台條件：iOS 和/或 Android
• 用戶端應用程式條件：行動應用程式和桌面用戶端
• 下列其中一個授與訪問控制： 需要將裝置標示為符合規範、 需要核准的用戶端應用程式 或 需要應用程式保護原則。

注意事項

使用例如 Get-MobileDevice 的行動裝置 Cmdlet 來檢查裝置的狀態時，屬性所 LastSyncTime 指出的 iOS 版 Outlook 和 Android 同步處理時間可能比實際同步處理時間長 15 分鐘。 雖然裝置同步處理會即時進行，但傳回的時間戳可能會落後。

使用 Enterprise Mobility + Security

當您訂閱 Enterprise Mobility + Security 套件時，可以使用 Microsoft 365 和 Office 365 數據最豐富且最廣泛的保護功能，其中包括 Microsoft Intune、Azure 資訊保護 和 Microsoft Entra IDP1 或 P2 功能，例如條件式存取。

注意事項

雖然 Enterprise Mobility + Security 套件訂用帳戶同時包含 Microsoft Intune 和 Microsoft Entra ID 的授權，但客戶可以購買 Microsoft Intune 授權和 Microsoft Entra IDP1 或 P2 授權分開。 所有使用者都必須獲得授權，才能利用本文中討論的條件式存取和 Intune 應用程式保護原則。

Intune 提供行動應用程式管理 (MAM) 功能，以及其他條件式存取和裝置管理功能。 使用 Intune 應用程式保護原則，您可以在 Intune 管理的應用程式與不受 Intune 管理的應用程式之間，限制公司數據的剪下、複製、貼上和「另存新檔」等動作。 如需詳細資訊，請 參閱如何建立和指派應用程式保護原則。 此外，Intune 管理的 Outlook 應用程式包含新的多重身分識別管理功能，可讓使用者在相同的 Outlook 應用程式中存取其個人和工作電子郵件帳戶，同時只將 Intune 應用程式保護原則套用至使用者的工作帳戶。 這可提供更順暢的用戶體驗。

條件式存取是 Microsoft Entra ID 的功能，可讓您根據中央位置的特定條件，對環境中的應用程式存取強制執行控制。 藉由使用條件式存取原則，您可以在必要條件下套用正確的訪問控制。 Microsoft Entra 條件式存取可在需要這類安全性時為您提供額外的安全性，而當使用者沒有安全性時，它會保持不在用戶的狀態。

Enterprise Mobility + Security 套件與 iOS 版和 Android 版 Outlook 的主要功能：

• 條件式存取。 Microsoft Entra ID 確保只有在符合條件式存取需求時，才能存取 Exchange Online 電子郵件。 如需裝置註冊的詳細資訊，請參閱 什麼是條件式存取？。

• Intune 應用程式保護。 iOS 和 Android 版 Outlook 可讓您使用 Intune 應用程式保護原則來保護公司數據。 如果您想要在不管理使用者裝置的情況下保護公司數據的安全 (BYOD) 案例，這是「攜帶您自己的裝置」的絕佳選項。 如需 Intune 應用程式保護原則的詳細資訊，請參閱使用行動應用程式管理原則搭配 Microsoft Intune 來保護應用程式數據。

• 裝置註冊。 Intune 可讓您管理員工的裝置和應用程式，以及其存取公司數據的方式。 在此模型中，iOS 版和 Android 版 Outlook 可確保只能在公司管理且符合貴組織原則的手機和平板電腦上存取 Exchange Online 電子郵件。 當使用者登入 Unmanaged 行動裝置上的 Outlook 應用程式時，Outlook 會利用 Azure 條件式存取原則，提示使用者在 Intune 中註冊裝置，然後驗證裝置是否符合裝置合規性組織標準。

• 裝置管理和報告。 註冊程式可讓組織設定和管理安全策略，例如，強制執行裝置層級 PIN 鎖定、要求數據加密，以及封鎖遭入侵的裝置，以防止不受信任的裝置存取公司電子郵件和數據。 每個已註冊的裝置都會出現在 Microsoft 365 系統管理中心 中，而且報告可用來提供存取公司數據之裝置的詳細數據。

• 選擇性抹除。 Microsoft Intune 可以從 iOS 和 Android 版 Outlook 移除電子郵件數據，同時讓任何個人電子郵件帳戶保持不變， (裝置是否已註冊) 。 隨著更多企業對手機和平板電腦採用「攜帶您自己的裝置」方法，這是越來越重要的需求。

使用適用於 Microsoft 365 的 基本行動性和安全性

適用於 Microsoft 365 的 基本行動性和安全性 提供裝置管理功能，不需額外付費。 Microsoft Intune 支持這些基本功能，在 Microsoft 365 系統管理中心 中為需要基本概念的組織提供一組核心控件。

因為這是裝置管理解決方案，所以即使註冊裝置之後，也無法控制可以使用哪些應用程式的原生功能。 如果您想要限制對 iOS 和 Android 版 Outlook 的存取，您必須取得 Microsoft Entra ID P1 或 P2 授權，並利用條件式存取原則。

iOS 版和 Android 版 Outlook 完全支援 microsoft 365 基本行動性和安全性 所提供的功能。

如需詳細資訊，請參閱下列資源：

• Microsoft 365 基本行動性和安全性 概觀。

• 使用 Microsoft Intune 原則管理裝置上的設定和功能

• 讓終端使用者在 基本行動性和安全性 中註冊裝置的指示：使用 基本行動性和安全性 註冊行動裝置

使用第三方整合端點管理解決方案

第三方整合端點管理提供者可以使用現有的工具，以部署任何 iOS 或 Android 應用程式的相同方式來部署 iOS 和 Android 版 Outlook。 它們也可以套用裝置管理控件，例如裝置 PIN、裝置加密、裝置抹除等等，這些對於安全的電子郵件體驗而言都很重要，但也與 iOS 和 Android 版 Outlook 完全無關。

第三方提供者也可以將某些應用程式組態設定，例如帳戶設定、組織允許的帳戶模式，以及一般應用程式組態設定，部署到iOS和Android版 Outlook;如需詳細資訊，請 參閱部署 iOS 版 Outlook 和 Android 應用程式組態設定。

若要管理和保護應用程式內的公司數據 (例如限制公司數據的動作，例如剪下、複製、貼上和「另存新檔」) ，客戶必須使用 Microsoft 的 Enterprise Mobility + Security 套件。

使用行動裝置存取和行動裝置信箱原則

Microsoft 建議客戶使用 Enterprise Mobility + Security 套件或 Microsoft 365 的內建 基本行動性和安全性 來管理行動裝置上的公司數據，因為這些服務提供進階功能。 iOS 和 Android 版 Outlook 支援行動裝置存取和行動裝置信箱原則， (先前稱為 Exchange Active Sync 原則) ，可透過 Exchange 系統管理中心取得。

iOS 和 Android 版 Outlook 支援下列 Exchange 行動裝置信箱原則設定：

• 已啟用裝置加密

• 只有 Android (的密碼長度下限)

• 已啟用密碼

• 允許在 Intune 應用程式保護原則不在使用中時，使用藍牙 (來管理 Android 版 Outlook 可穿戴式裝置應用程式)

  • 啟用 AllowBluetooth (預設行為) 或針對 HandsfreeOnly 設定時，公司或學校帳戶會允許 Android 裝置上的 Outlook 與可穿戴式裝置上的 Outlook 之間的可穿戴式同步處理。

  • 當 AllowBluetooth 停用時，Android 版 Outlook 會停用 Android 裝置上的 Outlook 與指定之公司或學校帳戶的可穿戴裝置上的 Outlook 之間的同步 (，並刪除先前針對帳戶) 同步處理的任何數據。 停用同步處理完全在 Outlook 本身內控制;裝置或可穿戴裝置上未停用藍牙，也不會影響任何其他可穿戴式應用程式。

如需如何建立或修改現有行動裝置信箱原則的資訊，請參閱 Exchange Online 中的行動裝置信箱原則。

Exchange 系統管理員也可以使用 Exchange 系統管理中心，針對 iOS 和 Android 版 Outlook 起始遠端裝置抹除。 收到遠端抹除要求時，應用程式會移除 Outlook 配置檔及其相關聯的所有數據。

注意事項

iOS 和 Android 版 Outlook 僅支援 [抹除數據 ] 遠端抹除命令，不支援 Exchange 系統管理中心中定義的 僅限帳戶遠端抹除裝置 。 如需如何執行遠端抹除的詳細資訊，請 參閱在行動電話上執行遠端抹除。

如需 Microsoft Intune 的詳細資訊，請參閱 Microsoft Intune 檔。