Správa přístupu ke spolupráci na zasílání zpráv pomocí Outlooku pro iOS a Android v Microsoft Intune

  • Článek

Aplikace Outlook pro iOS a Android je navržená tak, aby uživatelům ve vaší organizaci umožňovala dělat na mobilních zařízeních více díky propojení e-mailů, kalendáře, kontaktů a dalších souborů.

Pokud si předplatíte sadu Enterprise Mobility + Security, která zahrnuje funkce Microsoft Intune a Microsoft Entra ID P1 nebo P2, jako je podmíněný přístup, jsou k dispozici ty nejrozsáhlejší a nejrozsáhlejší možnosti ochrany dat Microsoft 365. Minimálně budete chtít nasadit zásady podmíněného přístupu, které umožňují připojení k Outlooku pro iOS a Android z mobilních zařízení, a zásady ochrany aplikací Intune, které zajistí ochranu prostředí pro spolupráci.

Použít podmíněný přístup

Organizace můžou pomocí zásad podmíněného přístupu Microsoft Entra zajistit, aby uživatelé měli přístup jenom k pracovnímu nebo školnímu obsahu pomocí Outlooku pro iOS a Android. K tomu budete potřebovat zásady podmíněného přístupu, které se zaměří na všechny potenciální uživatele. Tyto zásady jsou popsané v tématu Podmíněný přístup: Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací.

  1. Postupujte podle kroků v tématu Vyžadování schválených klientských aplikací nebo zásad ochrany aplikací u mobilních zařízení. Tato zásada umožňuje Outlooku pro iOS a Android, ale blokuje připojení mobilních klientů Exchange ActiveSync s podporou OAuth a základního ověřování v připojení k Exchangi Online.

    Poznámka

    Tato zásada zajišťuje, že mobilní uživatelé mohou přistupovat ke všem koncovým bodům Microsoft 365 pomocí příslušných aplikací.

  2. Postupujte podle kroků v tématu Blokování protokolu Exchange ActiveSync na všech zařízeních, které brání klientům Exchange ActiveSync, kteří používají základní ověřování na nemobilních zařízeních, v připojení k Exchangi Online.

    Výše uvedené zásady využívají udělení řízení přístupu Vyžadovat zásadu ochrany aplikací, která zajišťuje, že se zásady ochrany aplikací Intune použijí na přidružený účet v Outlooku pro iOS a Android před udělením přístupu. Pokud uživatel není přiřazený k zásadám ochrany aplikací Intune, nemá licenci pro Intune nebo aplikace není zahrnutá v zásadách Intune App Protection, zabrání tato zásada uživateli v získání přístupového tokenu a získání přístupu k datům zasílání zpráv.

  3. Postupujte podle kroků v tématu Postupy: Blokování starší verze ověřování k Microsoft Entra ID pomocí podmíněného přístupu a zablokujte starší verze ověřování pro jiné protokoly Exchange na zařízeních s iOSem a Androidem. tato zásada by měla cílit pouze na cloudové aplikace Microsoft Exchange Online a platformy zařízení s iOSem a Androidem. Tím se zajistí, aby se mobilní aplikace používající webové služby Exchange, IMAP4 nebo POP3 se základním ověřováním nemohly připojit k Exchangi Online.

Poznámka

Pokud chcete využívat zásady podmíněného přístupu na základě aplikací, musí být na zařízeních s iOSem nainstalovaná aplikace Microsoft Authenticator. U zařízení s Androidem se vyžaduje aplikace Portál společnosti Intune. Další informace najdete v tématu Podmíněný přístup založený na aplikacích pro Intune.

Vytvoření zásad ochrany aplikací Intune

Zásady ochrany aplikací (APP) definují, které aplikace jsou povolené a jaké akce můžou s daty vaší organizace provádět. Možnosti dostupné v aplikaci APP umožňují organizacím přizpůsobit ochranu jejich konkrétním potřebám. U některých nemusí být zřejmé, která nastavení zásad jsou nutná k implementaci kompletního scénáře. Microsoft zavedl taxonomii pro svoji architekturu ochrany dat APP pro správu mobilních aplikací pro správu mobilních aplikací pro iOS a Android, aby organizacím pomohl prioritizovat posílení zabezpečení koncových bodů mobilních klientů.

Architektura ochrany dat APP je uspořádaná do tří různých úrovní konfigurace, přičemž každá úroveň vychází z předchozí úrovně:

  • Základní ochrana podnikových dat (úroveň 1) zajišťuje, že aplikace jsou chráněné kódem PIN a šifrované, a provádí operace selektivního vymazání. U zařízení s Androidem tato úroveň ověřuje ověření identity zařízení s Androidem. Jedná se o konfiguraci základní úrovně, která poskytuje podobné řízení ochrany dat v zásadách poštovních schránek Exchange Online a zavádí IT a populaci uživatelů do APP.
  • Rozšířená ochrana podnikových dat (úroveň 2) zavádí mechanismy ochrany dat APP a minimální požadavky na operační systém. Toto je konfigurace, která se vztahuje na většinu mobilních uživatelů, kteří přistupují k pracovním nebo školním datům.
  • Vysoká ochrana podnikových dat (úroveň 3) zavádí pokročilé mechanismy ochrany dat, vylepšenou konfiguraci PIN kódu a ochranu před mobilními hrozbami pro APP. Tato konfigurace je žádoucí pro uživatele, kteří přistupují k vysoce rizikovým datům.

Pokud chcete zobrazit konkrétní doporučení pro jednotlivé úrovně konfigurace a minimální počet aplikací, které je potřeba chránit, přečtěte si téma Architektura ochrany dat pomocí zásad ochrany aplikací.

Bez ohledu na to, jestli je zařízení zaregistrované v řešení sjednocené správy koncových bodů (UEM), je potřeba vytvořit zásady ochrany aplikací Intune pro aplikace pro iOS i Android pomocí kroků v tématu Vytvoření a přiřazení zásad ochrany aplikací. Tyto zásady musí splňovat minimálně následující podmínky:

  • Zahrnují všechny mobilní aplikace Microsoft 365, jako je Edge, Outlook, OneDrive, Office nebo Teams, protože to zajišťuje, aby uživatelé mohli bezpečně přistupovat k pracovním nebo školním datům v libovolné aplikaci Microsoftu a manipulovat s nimi.

  • Jsou přiřazené všem uživatelům. Tím se zajistí, že všichni uživatelé budou chráněni bez ohledu na to, jestli používají Outlook pro iOS nebo Android.

  • Určete, která úroveň architektury splňuje vaše požadavky. Většina organizací by měla implementovat nastavení definovaná v části Rozšířená ochrana podnikových dat (úroveň 2), která umožňují řízení požadavků na ochranu dat a přístup.

Další informace o dostupných nastaveních najdete v tématu Nastavení zásad ochrany aplikací pro Android a Nastavení zásad ochrany aplikací pro iOS.

Důležité

Pokud chce uživatel použít zásady ochrany aplikací Intune u aplikací na zařízeních s Androidem, která nejsou zaregistrovaná v Intune, musí také nainstalovat Portál společnosti Intune.

Použití konfigurace aplikace

Outlook pro iOS a Android podporuje nastavení aplikací, které umožňuje jednotným správcům správy koncových bodů přizpůsobit chování aplikace. Microsoft Intune, což je jednotné řešení správy koncových bodů, se běžně používá ke konfiguraci a přiřazování aplikací koncovým uživatelům organizace.

Konfiguraci aplikací je možné provádět buď prostřednictvím kanálu správy mobilních zařízení (MDM) OS v registrovaných zařízeních (kanál Konfigurace spravovaných aplikací pro iOS nebo Android v kanálu Enterprise pro Android), nebo prostřednictvím kanálu Intune App Protection Policy (APP). Outlook pro iOS a Android podporuje následující scénáře konfigurace:

  • Povolit jenom pracovní nebo školní účty
  • Obecná nastavení konfigurace aplikací
  • Nastavení S/MIME
  • Nastavení ochrany dat

Konkrétní procedurální kroky a podrobnou dokumentaci k nastavení konfigurace aplikací, které Outlook pro iOS a Android podporuje, najdete v tématu Nasazení nastavení konfigurace aplikací Outlook pro iOS a Android.

Další kroky