在 Exchange Online 中保護 iOS 版和 Android 版 Outlook 的安全
iOS 版和 Android 版 Outlook 可為使用者提供使用者預期來自新式行動應用程式的快速、直覺式電子郵件和行事曆體驗,同時成為唯一可支援 Microsoft 365 或 Office 365 最佳功能的應用程式。
保護用戶行動裝置上的公司或組織數據非常重要。 首先,檢閱 設定iOS和Android版 Outlook,以確保您的使用者已安裝所有必要的應用程式。 之後,請選擇下列其中一個選項來保護您的裝置和組織的數據:
建議:如果您的組織有 Enterprise Mobility + Security 訂用帳戶,或已分別取得 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 的授權,請遵循運用中的步驟Enterprise Mobility + Security 套件可使用 iOS 版和 Android 版 Outlook 來保護公司數據,以使用 iOS 版和 Android 版 Outlook 來保護公司數據。
如果您的組織沒有 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 的 Enterprise Mobility + Security 訂用帳戶或授權,請遵循利用 Microsoft 365 基本行動性和安全性 中的步驟,並使用基本行動性和安全性 Office 365 或 Microsoft 365 訂閱中包含的功能。
請遵循利用 Exchange Online 行動裝置原則中的步驟,實作基本的 Exchange 行動裝置信箱和裝置存取原則。
另一方面,如果您不想在組織中使用 iOS 和 Android 版 Outlook,請參閱 封鎖 iOS 和 Android 版 Outlook。
注意事項
如果您想要實作 EWS 應用程式原則來管理組織中的行動裝置存取,請參閱本文稍後的 Exchange Web Services (EWS) 應用程式原則。
設定 iOS 和 Android 版 Outlook
針對在統一端點管理 (UEM) 解決方案中註冊的裝置,使用者會利用 UEM 解決方案,例如 Intune 公司入口網站,來安裝必要的應用程式:iOS 版 Outlook 和 Android 版,以及 Microsoft Authenticator。
對於未在 UEM 解決方案中註冊的裝置,用戶必須安裝:
透過 Apple App Store 或 Google Play 商店的 iOS 和 Android 版 Outlook
透過 Apple App Store 或 Google Play 商店的 Microsoft Authenticator 應用程式
透過Apple App Store或Google Play商店 Intune 公司入口網站 應用程式
安裝應用程式之後,使用者可以遵循下列步驟來新增其公司電子郵件帳戶,並設定基本應用程式設定:
重要事項
若要使用應用程式型條件式存取原則,必須在 iOS 裝置上安裝 Microsoft Authenticator 應用程式。 對於 Android 裝置,則會要求 Intune Company Portal 應用程式。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取。
利用 Enterprise Mobility + Security 套件使用 iOS 版和 Android 版 Outlook 保護公司數據
重要事項
如果客戶端詐騙 DeviceType 標頭,則允許/封鎖/隔離 (ABQ) 列表 (不提供任何安全性保證,可能會略過特定裝置類型的封鎖) 。 若要安全地限制特定裝置類型的存取,建議您設定條件式存取原則。 如需詳細資訊,請參閱 使用 Intune 的應用程式型條件式存取。
當您訂閱 Enterprise Mobility + Security 套件時,可以使用 Microsoft 365 和 Office 365 數據最豐富且最廣泛的保護功能,其中包括 Microsoft Intune 和 Microsoft Entra ID P1 或 P2 功能,例如條件式存取。 您至少會想要部署條件式存取原則,只允許從行動裝置連線到iOS和Android版 Outlook,以及可確保公司數據受到保護的 Intune 應用程式保護原則。
注意事項
雖然 Enterprise Mobility + Security 套件訂用帳戶同時包含 Microsoft Intune 和 Microsoft Entra ID P1 或 P2,但客戶可以購買 Microsoft Intune 授權和 Microsoft Entra IDP1 或 P2 授權分開。 所有使用者都必須獲得授權,才能利用本文中討論的條件式存取和 Intune 應用程式保護原則。
使用條件式存取封鎖 iOS 版和 Android 版 Outlook 以外的所有電子郵件應用程式
當組織決定將使用者存取 Exchange 資料的方式標準化,並使用 iOS 版 Outlook 和 Android 做為終端使用者的唯一電子郵件應用程式時,他們可以設定條件式存取原則來封鎖其他行動存取方法。 若要這樣做,您需要數個條件式存取原則,每個原則都以所有潛在用戶為目標。 這些原則會在 條件式存取: 需要核准的用戶端應用程式或應用程式防護原則 中說明。
請遵循使用行動 裝置要求核准的用戶端應用程式或應用程式保護原則中的步驟。 此原則允許 iOS 和 Android 版 Outlook,但會封鎖支援 OAuth 和基本身份驗證 Exchange ActiveSync 行動用戶端連線到 Exchange Online。
注意事項
此原則可確保行動使用者可以使用適用的應用程式存取所有 Microsoft 365 端點。
請遵循封鎖所有裝置上的 Exchange ActiveSync 中的步驟,以防止 Exchange ActiveSync 在非行動裝置上使用基本身份驗證的用戶端連線到 Exchange Online。
上述原則會利用授與訪問控制 需要應用程式保護原則,以確保Intune 應用程式保護原則會在授與存取權之前套用至iOS和Android版 Outlook內的相關聯帳戶。 如果未將使用者指派給Intune 應用程式保護原則、未獲得Intune授權,或應用程式未包含在Intune 應用程式保護原則中,則原則會防止使用者取得存取令牌並取得訊息數據的存取權。
請遵循使用 Microsoft Entra 條件式存取封鎖舊版驗證中的步驟,封鎖 iOS 和 Android 裝置上其他 Exchange 通訊協定的舊版驗證;此原則僅應以 Office 365 Exchange Online 雲端應用程式和 iOS 和 Android 裝置平臺為目標。 這可確保使用具有基本身份驗證之 Exchange Web 服務、IMAP4 或 POP3 通訊協定的行動應用程式無法連線到 Exchange Online。
注意事項
啟用條件式存取原則之後,任何先前連線的行動裝置最多可能需要 6 小時才會遭到封鎖。
當使用者在 iOS 版和 Android 版 Outlook 中進行驗證時,Exchange Online 如果對使用者套用任何 Microsoft Entra 條件式存取原則,則會略過 (允許、封鎖或隔離) 的行動裝置存取規則,包括:
- 雲端應用程式條件:Exchange Online 或 Office 365
- 裝置平台條件:iOS 和/或 Android
- 用戶端應用程式條件:行動應用程式和桌面用戶端
- 下列其中一個授與訪問控制: 需要將裝置標示為符合規範、 需要核准的用戶端應用程式 或 需要應用程式保護原則。
若要使用應用程式型條件式存取原則,必須在 iOS 裝置上安裝 Microsoft Authenticator 應用程式。 對於 Android 裝置,則會要求 Intune Company Portal 應用程式。 如需詳細資訊,請參閱 Intune 的應用程式型條件式存取。
使用 Intune 應用程式保護原則保護 iOS 版和 Android 版 Outlook 中的公司數據
應用程式防護原則 (APP) 定義允許哪些應用程式,以及這些應用程式可以對組織資料執行什麼動作。 APP 中可用的選項可讓組織根據其特定需求量身打造保護。 對部分使用者而言,實作完整案例所需的原則設定可能不明顯。 為了協助組織排定行動裝置用戶端端點強化的優先順序,Microsoft 為其 iOS 和 Android 版行動裝置應用程式管理的 APP 資料保護架構推出了分類法。
APP 資料保護架構會組織成三個不同的設定層級,其中每個層級會根據上一個層級來建置:
- 企業基本資料保護 (層級 1) 可確保應用程式受到 PIN 保護並加密,並執行選擇性抹除作業。 針對 Android 裝置,此層級會驗證 Android 裝置證明。 這是一種進入層級設定,可在 Exchange Online 信箱原則中提供類似的資料保護控制,並將 IT 和使用者母體引入 APP。
- 企業增強的資料保護 (層級 2) 引進 APP 資料外泄防護機制和最低作業系統需求。 這是適用于大部分存取公司或學校資料之行動使用者的設定。
- 企業高資料保護 (層級 3) 引進進階資料保護機制、增強的 PIN 設定,以及 APP 行動威脅防禦。 此設定等級適用於存取高風險資料的使用者。
若要查看每個設定層級的特定建議,以及必須保護的最低應用程式,請檢閱 使用應用程式防護原則的資料保護架構。
無論裝置是否已在 UEM 解決方案中註冊,都必須使用 如何建立和指派應用程式保護原則中的步驟,為 iOS 和 Android 應用程式建立 Intune 應用程式保護原則。 這些原則至少必須符合下列條件:
它們包含所有 Microsoft 行動應用程式,例如 Edge、OneDrive、Office 或 Teams,因為這可確保使用者可以安全的方式存取及操作任何 Microsoft 應用程式內的工作或學校數據。
它們會指派給所有使用者。 這可確保所有使用者都受到保護,無論他們使用iOS版或Android版 Outlook。
判斷哪個架構層級符合您的需求。 大部分的組織都應該實作 企業增強型資料保護 (層級 2) 中定義的設定,以啟用資料保護和存取需求控制。
如需可用設定的詳細資訊,請參閱 Microsoft Intune 中的Android應用程式保護原則設定和iOS應用程式保護原則設定。
重要事項
若要對 Intune 中已註冊 Android 裝置上的應用程式套用 Intune 應用程式防護原則,使用者也必須安裝 Intune Company Portal。 如需詳細資訊,請參閱 當您的 Android 應用程式受應用程式保護原則管理時,預期會發生什麼事。
利用適用於 Microsoft 365 的 基本行動性和安全性
如果您不打算利用 Enterprise Mobility + Security 套件,您可以使用適用於 Microsoft 365 的 基本行動性和安全性。 此解決方案需要註冊行動裝置。 當用戶嘗試使用未註冊的裝置存取 Exchange Online 時,會封鎖使用者存取資源,直到他們註冊裝置為止。
因為這是裝置管理解決方案,所以即使註冊裝置之後,也無法控制可以使用哪些應用程式的原生功能。 如果您想要限制對 iOS 和 Android 版 Outlook 的存取,您必須取得 Microsoft Entra ID P1 或 P2 授權,並利用使用條件式存取封鎖 iOS 和 Android 版 Outlook 以外的所有電子郵件應用程式中所討論的條件式存取原則。
全域系統管理員必須完成下列步驟,才能啟用和設定註冊。 如需完整步驟,請參閱設定 基本行動性和安全性。 總而言之,這些步驟包括:
遵循 Microsoft 365 資訊安全中心的步驟來啟用 基本行動性和安全性。
例如,建立APNs憑證來管理iOS裝置,以設定統一端點管理。
建立裝置原則,並將其套用至使用者群組。 當您這樣做時,您的使用者會在其裝置上收到註冊訊息。 當他們完成註冊時,其裝置將會受到您為其設定的原則限制。
注意事項
在 基本行動性和安全性 中建立的原則和存取規則將會覆寫 Exchange 行動裝置信箱原則和在 Exchange 系統管理中心建立的裝置存取規則。 在 基本行動性和安全性 註冊裝置之後,將會忽略套用至該裝置的任何 Exchange 行動裝置信箱原則或裝置存取規則。
運用 Exchange Online 行動裝置原則
如果您不打算利用 Enterprise Mobility + Security 套件或 基本行動性和安全性 功能,您可以實作 Exchange 行動裝置信箱原則來保護裝置,以及使用裝置存取規則來限制裝置連線能力。
行動裝置信箱原則
iOS 和 Android 版 Outlook 在 Exchange Online 中支援下列行動裝置信箱原則設定:
已啟用裝置加密
只有 Android (的密碼長度下限)
已啟用密碼
允許使用藍牙 (來管理 Android 版 Outlook 可穿戴式裝置應用程式)
啟用 AllowBluetooth (預設行為) 或針對 HandsfreeOnly 設定時,公司或學校帳戶會允許 Android 裝置上的 Outlook 與可穿戴式裝置上的 Outlook 之間的可穿戴式同步處理。
當 AllowBluetooth 停用時,Android 版 Outlook 會停用 Android 裝置上的 Outlook 與指定之公司或學校帳戶的可穿戴裝置上的 Outlook 之間的同步 (,並刪除先前針對帳戶) 同步處理的任何數據。 停用同步處理完全在 Outlook 本身內控制;裝置或可穿戴裝置上未停用藍牙,也不會影響任何其他可穿戴式應用程式。
如需如何建立或修改現有行動裝置信箱原則的資訊,請參閱 Exchange Online 中的行動裝置信箱原則。
此外,適用於 iOS 和 Android 的 Outlook 支援 Exchange Online 的裝置抹除功能。 使用 Outlook 時,遠端抹除只會抹除 Outlook 應用程式本身內的數據,而且不會觸發完整的裝置抹除。 如需如何執行遠端抹除的詳細資訊,請參閱在 Exchange Online 中對行動電話執行遠端抹除。
裝置存取原則
默認應該啟用 iOS 版和 Android 版 Outlook,但在某些現有的 Exchange Online 環境中,可能會因為各種原因而封鎖應用程式。 一旦組織決定將使用者存取 Exchange 資料的方式標準化,並使用 iOS 和 Android 版 Outlook 做為終端使用者的唯一電子郵件應用程式之後,您就可以為在使用者的 iOS 和 Android 裝置上執行的其他電子郵件應用程式設定區塊。 您有兩個選項可在 Exchange Online 內安裝這些區塊:第一個選項會封鎖所有裝置,且只允許使用 iOS 和 Android 版 Outlook;第二個選項可讓您封鎖個別裝置使用原生 Exchange ActiveSync 應用程式。
注意事項
因為裝置標識碼不受任何 實體裝置 標識碼控管,所以可以在不通知的情況下變更。 發生這種情況時,當裝置標識碼用於管理用戶裝置時,可能會造成非預期的後果,因為 Exchange 可能會意外封鎖或隔離現有的「允許」裝置。 因此,建議系統管理員只設定行動裝置存取原則,以根據裝置類型或裝置型號來允許/封鎖裝置。
選項 1:封鎖 iOS 和 Android 版 Outlook 以外的所有電子郵件應用程式
您可以定義預設區塊規則,然後使用下列 Exchange Online PowerShell 命令,為 iOS 和 Android 版 Outlook 以及 Windows 裝置設定允許規則。 此設定會防止任何 Exchange ActiveSync 原生應用程式連線,而且只允許 iOS 和 Android 版 Outlook。
建立預設區塊規則:
Set-ActiveSyncOrganizationSettings -DefaultAccessLevel Block建立適用於 iOS 和 Android 版 Outlook 的允許規則
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Allow
選項 2:封鎖 Android 和 iOS 裝置上的原生 Exchange ActiveSync 應用程式
或者,您可以在特定的 Android 和 iOS 裝置或其他類型的裝置上封鎖原生 Exchange ActiveSync 應用程式。
確認沒有任何 Exchange ActiveSync 裝置存取規則會封鎖 iOS 和 Android 版 Outlook:
Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Format-Table Name, AccessLevel, QueryString -AutoSize如果找到任何封鎖 iOS 版和 Android 版 Outlook 的裝置存取規則,請輸入下列命令來移除這些規則:
Get-ActiveSyncDeviceAccessRule | Where-Object { $_.AccessLevel -eq "Block" -and $_.QueryString -like "Outlook*" } | Remove-ActiveSyncDeviceAccessRule您可以使用下列命令來封鎖大部分的 Android 和 iOS 裝置:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Android" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPad" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPhone" -AccessLevel Block New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "iPod" -AccessLevel Block並非所有 Android 裝置製造商都會將 「Android」 指定為 DeviceType。 製造商可以在每個版本中指定唯一的值。 若要尋找其他正在存取您環境的 Android 裝置,請執行下列命令,以產生具有作用中 Exchange ActiveSync 合作關係的所有裝置報告:
Get-MobileDevice | Select-Object DeviceOS,DeviceModel,DeviceType | Export-CSV c:\temp\easdevices.csv根據步驟 3 的結果,建立其他區塊規則。 例如,如果您發現您的環境高度使用HTCOne Android裝置,您可以建立 Exchange ActiveSync裝置存取規則來封鎖該特定裝置,強制使用者使用iOS和Android版 Outlook。 在這裡範例中,您會輸入:
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "HTCOne" -AccessLevel Block注意事項
-QueryString 參數不接受通配符或部分相符專案。
其他資源:
封鎖 iOS 和 Android 版 Outlook
如果您不想讓組織中的使用者使用 iOS 版和 Android 版 Outlook 存取 Exchange 數據,您採取的方法取決於您使用 Microsoft Entra 條件式存取原則或 Exchange Online 的裝置存取原則。
選項 1:使用條件式存取原則封鎖行動裝置存取
Microsoft Entra 條件式存取不提供機制,您可以特別封鎖 iOS 和 Android 版 Outlook,同時允許其他 Exchange ActiveSync 用戶端。 話雖如此,條件式存取原則可以用兩種方式來封鎖行動裝置存取:
選項 A:封鎖 iOS 和 Android 平臺上的行動裝置存取
選項 B:封鎖特定行動裝置平臺上的行動裝置存取
選項 A:封鎖 iOS 和 Android 平臺上的行動裝置存取
如果您想要防止所有使用者的行動裝置存取,或使用條件式存取的使用者子集,請遵循下列步驟。
建立條件式存取原則,其中每個原則都以所有使用者或透過安全組的使用者子集為目標。 詳細數據位於 一般條件式存取原則:需要核准的用戶端應用程式或應用程式保護原則。
第一個原則會封鎖 iOS 和 Android 版 Outlook,以及其他支援 OAuth 的 Exchange ActiveSync 客戶端無法連線到 Exchange Online。 See "Step 1 - Configure a Microsoft Entra Conditional Access policy for Exchange Online," but for the fifth step, choose Block access.
第二個原則可防止 Exchange ActiveSync 利用基本身份驗證的用戶端連線到 Exchange Online。 See "Step 2 - Configure a Microsoft Entra Conditional Access policy for Exchange Online with ActiveSync (EAS)."
選項 B:封鎖特定行動裝置平臺上的行動裝置存取
如果您想要防止特定行動裝置平臺連線到 Exchange Online,同時允許iOS版 Outlook 和 Android 使用該平臺進行連線,請建立下列條件式存取原則,每個原則都以所有使用者為目標。 詳細數據位於 一般條件式存取原則:需要核准的用戶端應用程式或應用程式保護原則。
第一個原則允許特定行動裝置平臺上的 iOS 和 Android 版 Outlook,並封鎖其他支援 OAuth 的 Exchange ActiveSync 用戶端連線到 Exchange Online。 See "Step 1 - Configure a Microsoft Entra Conditional Access policy for Exchange Online," but for step 4a, select only the desired mobile device platform (such as iOS) to which you want to allow access.
第二個原則會封鎖特定行動裝置平臺上的應用程式,以及其他支援 OAuth 的 Exchange ActiveSync 客戶端無法連線到 Exchange Online。 請參閱「步驟 1 - 設定 Exchange Online 的 Microsoft Entra 條件式存取原則」,但針對步驟 4a,請只選取所需的行動裝置平臺 (,例如您要封鎖存取的 Android) ,然後針對步驟 5 選擇 [封鎖存取]。
第三個原則可防止 Exchange ActiveSync 利用基本身份驗證的用戶端連線到 Exchange Online。 See "Step 2 - Configure a Microsoft Entra Conditional Access policy for Exchange Online with ActiveSync (EAS)."
選項 2:使用 Exchange 行動裝置存取規則封鎖 iOS 和 Android 版 Outlook
如果您透過 Exchange Online 的裝置存取規則來管理行動裝置存取,您有兩個選項:
選項 A:在 iOS 和 Android 平台上封鎖 iOS 和 Android 版 Outlook
選項 B:在特定行動裝置平台上封鎖 iOS 和 Android 版 Outlook
每個 Exchange 組織對於安全性和裝置管理都有不同的原則。 如果組織決定 iOS 版和 Android 版 Outlook 不符合其需求,或不是最適合他們的解決方案,系統管理員就能夠封鎖應用程式。 一旦封鎖應用程式,組織中的行動 Exchange 使用者就可以使用 iOS 和 Android 上的內建郵件應用程式繼續存取其信箱。
Cmdlet New-ActiveSyncDeviceAccessRule 有一個參數,而且有三Characteristic個Characteristic選項可供系統管理員用來封鎖 iOS 版 Outlook 和 Android 應用程式。 選項為 UserAgent、DeviceModel 和 DeviceType。 在下列各節所述的兩個封鎖選項中,您將使用其中一或多個特性值來限制 Outlook for iOS 和 Android 對組織中信箱的存取。
下表顯示每個功能值:
| 特徵 | iOS 的字串 | Android 的字串 |
|---|---|---|
| DeviceModel | Outlook for iOS 和 Android | Outlook for iOS 和 Android |
| DeviceType | Outlook | Outlook |
| UserAgent | Outlook-iOS/2.0 | Outlook-Android/2.0 |
選項 A:在 iOS 和 Android 平台上封鎖 iOS 和 Android 版 Outlook
使用 Cmdlet New-ActiveSyncDeviceAccessRule ,您可以使用 DeviceModel 或 DeviceType 特性來定義裝置存取規則。 在這兩種情況下,存取規則會封鎖所有平臺上的iOS和Android版 Outlook,並防止iOS平臺和Android平臺上的任何裝置透過應用程式存取 Exchange 信箱。
以下是裝置存取規則的兩個範例。 第一個範例使用 DeviceModel 特性;第二個範例使用 DeviceType 特性。
New-ActiveSyncDeviceAccessRule -Characteristic DeviceType -QueryString "Outlook" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic DeviceModel -QueryString "Outlook for iOS and Android" -AccessLevel Block
選項 B:在特定行動裝置平台上封鎖 iOS 和 Android 版 Outlook
利用 特 UserAgent 性,您可以定義裝置存取規則,以封鎖跨特定平臺的iOS和Android版 Outlook。 此規則會防止裝置在您指定的平臺上使用 iOS 版和 Android 版 Outlook 進行連線。 下列範例示範如何針對 特性使用裝置特定值 UserAgent 。
封鎖 Android 並允許 iOS:
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Block
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Allow
若要封鎖 iOS 並允許 Android:
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-Android/2.0" -AccessLevel Allow
New-ActiveSyncDeviceAccessRule -Characteristic UserAgent -QueryString "Outlook-iOS/2.0" -AccessLevel Block
Exchange Online 控件
除了 Microsoft 端點管理員、基本行動性和安全性 Microsoft 365 和 Exchange 行動裝置原則之外,您還可以透過各種 Exchange Online 控件來管理行動裝置對組織中資訊的存取,以及是否允許使用者存取 iOS 版和 Android 版 Outlook 內的載入宏。
Exchange Web Services (EWS) 應用程式原則
EWS 應用程式原則可以控制是否允許應用程式利用 REST API。 請注意,當您設定只允許特定應用程式存取傳訊環境的 EWS 應用程式原則時,您必須將適用於 iOS 和 Android 版 Outlook 的使用者代理程式字串新增至 EWS 允許清單。
下列範例示範如何將使用者代理程式字串新增至 EWS 允許清單:
Set-OrganizationConfig -EwsAllowList @{Add="Outlook-iOS/*","Outlook-Android/*"}
Exchange 使用者控制件
使用原生 Microsoft 同步技術,系統管理員可以在信箱層級控制 iOS 和 Android 版 Outlook 的使用方式。 根據預設,用戶可以使用iOS版和Android版 Outlook 存取信箱數據。 下列範例示範如何使用 iOS 版和 Android 版 Outlook 停用使用者的信箱存取:
Set-CASMailbox jane@contoso.com -OutlookMobileEnabled $false
管理載入宏
iOS 和 Android 版 Outlook 可讓使用者將熱門應用程式和服務與電子郵件用戶端整合。 Outlook 的載入宏可在 Web、Windows、Mac 和行動裝置上使用。 由於載入宏是透過 Microsoft 365 或 Office 365 來管理,因此即使帳戶是由 Intune 應用程式保護原則) 管理,使用者還是能夠在 iOS 版和 Android 版 Outlook 與 Unmanaged 載入宏 (之間共用數據和訊息,除非 Microsoft 365 系統管理中心 中的使用者關閉載入宏。
如果您想要停止終端使用者存取及安裝會影響所有 Outlook 用戶端) 的 Outlook 載入宏 (,請對 Microsoft 365 系統管理中心 中的角色執行下列變更:
- 若要防止使用者安裝 Office 市集載入宏,請從中移除我的 Marketplace 角色。
- 若要防止使用者側載載入宏,請從中移除我的自定義應用程式角色。
- 若要防止使用者安裝所有載入宏,請從中移除我的自定義應用程式和我的 Marketplace 角色。
如需詳細資訊,請參閱 Outlook 的載入宏,以及如何管理 Microsoft 365 系統管理中心 中的載入宏部署。