Hantera åtkomst till meddelandesamarbete med hjälp av Outlook för iOS och Android med Microsoft Intune

Outlook för iOS och Android-appen är utformad för att göra det möjligt för användare i din organisation att göra mer från sina mobila enheter genom att sammanföra e-post, kalender, kontakter och andra filer.

De mest omfattande och bredaste skyddsfunktionerna för Microsoft 365 data är tillgängliga när du prenumererar på Enterprise Mobility + Security-sviten, som innehåller funktioner för Microsoft Intune och Microsoft Entra ID P1 eller P2, till exempel villkorlig åtkomst. Du vill minst distribuera en princip för villkorlig åtkomst som tillåter anslutning till Outlook för iOS och Android från mobila enheter och en Intune-appskyddsprincip som säkerställer att samarbetsupplevelsen skyddas.

Använd villkorsstyrd åtkomst

Organisationer kan använda principer för villkorsstyrd åtkomst i Microsoft Entra för att säkerställa att användarna bara kan komma åt arbets- eller skolinnehåll med outlook för iOS och Android. För att göra detta behöver du en princip för villkorsstyrd åtkomst som är riktad mot alla potentiella användare. Dessa principer beskrivs i villkorsstyrd åtkomst: Kräv godkända klientappar eller appskyddsprincip.

  1. Följ stegen i Kräv godkända klientappar eller appskyddsprincip med mobila enheter. Den här principen tillåter Outlook för iOS och Android, men blockerar OAuth och grundläggande autentiseringskompatibla Exchange ActiveSync-mobilklienter från att ansluta till Exchange Online.

    Obs!

    Den här principen säkerställer att mobila användare kan komma åt alla Microsoft 365-slutpunkter med hjälp av tillämpliga appar.

  2. Följ stegen i Blockera Exchange ActiveSync på alla enheter, vilket förhindrar att Exchange ActiveSync-klienter som använder grundläggande autentisering på icke-mobila enheter ansluter till Exchange Online.

    Ovanstående principer använder behörighetskontrollen Kräv appskyddsprincip, vilket säkerställer att en Intune-appskyddsprincip tillämpas på det associerade kontot i Outlook för iOS och Android innan åtkomst beviljas. Om användaren inte är tilldelad till en Intune-appskyddsprincip, inte är licensierad för Intune eller om appen inte ingår i Intune-appskyddsprincipen förhindrar principen att användaren hämtar en åtkomsttoken och får åtkomst till meddelandedata.

  3. Följ stegen i Så här: Blockera äldre autentisering till Microsoft Entra-ID med villkorsstyrd åtkomst för att blockera äldre autentisering för andra Exchange-protokoll på iOS- och Android-enheter; den här principen bör endast riktas mot Microsoft Exchange Online-molnappen och iOS- och Android-enhetsplattformarna. Detta säkerställer att mobilappar som använder Exchange Web Services-, IMAP4- eller POP3-protokoll med grundläggande autentisering inte kan ansluta till Exchange Online.

Obs!

Om du vill använda appbaserade principer för villkorlig åtkomst måste Microsoft Authenticator-appen installeras på iOS-enheter. För Android-enheter krävs appen Intune-företagsportal. Mer information finns i Appbaserad villkorlig åtkomst med Intune.

Skapa skyddsprinciper för Intune-appar

Skyddsprinciper för appar (APP) definierar vilka appar som tillåts och de åtgärder som kan vidtas med dina organisationsdata. De val som är tillgängliga i APP gör det möjligt för organisationer att skräddarsy skyddet efter deras specifika behov. För vissa kanske det inte är uppenbart vilka principinställningar som krävs för att implementera ett fullständigt scenario. För att hjälpa organisationer att prioritera härdning av slutpunkt för mobilklient har Microsoft infört taxonomi för sitt APP-dataskyddsramverk för hantering av iOS- och Android-mobilappar.

APP-dataskyddsramverket är uppdelat i tre olika konfigurationsnivåer, där varje nivå bygger på föregående nivå:

  • Grundläggande dataskydd för företag (nivå 1) säkerställer att appar skyddas med en PIN-kod och krypteras och utför selektiva rensningsåtgärder. För Android-enheter validerar den här nivån Android-enhetsattestering. Det här är en konfiguration på ingångsnivå som ger liknande dataskyddskontroll i Exchange Online-postlådeprinciper och introducerar IT-avdelningen och användarpopulationen i APP.
  • Utökat dataskydd för företag (nivå 2) introducerar mekanismer för skydd mot dataläckage i APP och minimikrav på operativsystem. Det här är den konfiguration som gäller för de flesta mobila användare som har åtkomst till arbets- eller skoldata.
  • Högt dataskydd för företag (Nivå 3) introducerar avancerade dataskyddsmekanismer, förbättrad PIN-konfiguration och APP Mobile Threat Defense. Den här konfigurationen är önskvärd för användare som har åtkomst till data med hög risk.

Om du vill se de specifika rekommendationerna för varje konfigurationsnivå och de lägsta appar som måste skyddas kan du granska dataskyddsramverket med hjälp av appskyddsprinciper.

Oavsett om enheten har registrerats i en UEM-lösning (Unified Endpoint Management) måste en Intune-appskyddsprincip skapas för både iOS- och Android-appar med hjälp av stegen i Skapa och tilldela appskyddsprinciper. Dessa principer måste minst uppfylla följande villkor:

  • De omfattar alla Microsoft 365 mobilappar, till exempel Edge, Outlook, OneDrive, Office eller Teams, eftersom det säkerställer att användarna kan komma åt och manipulera arbets- eller skoldata i alla Microsoft-appar på ett säkert sätt.

  • De tilldelas till alla användare. Detta säkerställer att alla användare skyddas, oavsett om de använder Outlook för iOS eller Android.

  • Bestäm vilken ramverksnivå som uppfyller dina krav. De flesta organisationer bör implementera de inställningar som definierats i Utökat dataskydd för företag (nivå 2) eftersom det möjliggör kontroller för dataskydd och åtkomstkrav.

Mer information om tillgängliga inställningar finns i Inställningar för appskyddprincip för Android och inställningar för appskyddsprincip för iOS.

Viktigt

Om du vill tillämpa appskyddsprinciper för Intune mot appar på Android-enheter som inte har registrerats i Intune måste användaren också installera Intune-företagsportal.

Använda appkonfiguration

Outlook för iOS och Android stöder appinställningar som gör det möjligt för administratörer för enhetlig slutpunktshantering att anpassa appens beteende. Microsoft Intune, som är en enhetlig lösning för slutpunktshantering, används ofta för att konfigurera och tilldela appar till organisationens slutanvändare.

Appkonfigurationen kan levereras antingen via OS MDM-kanalen (hantering av mobila enheter) på registrerade enheter (kanalen hanterad appkonfiguration för iOS eller kanalen Android i företaget för Android) eller via Intune APP-kanalen (appskyddsprincip). Outlook för iOS och Android stöder följande konfigurationsscenarier:

  • Tillåt endast arbets- eller skolkonton
  • Allmänna inställningar för appkonfiguration
  • S/MIME-inställningar
  • Inställningar för dataskydd

Specifika procedursteg och detaljerad dokumentation om de appkonfigurationsinställningar som stöds av Outlook för iOS och Android finns i Distribuera konfigurationsinställningar för Outlook för iOS- och Android-appar.

Nästa steg