Share via

Kurz: Ochrana Exchange Online e-mailu na nespravovaných zařízeních pomocí Microsoft Intune

  • Článek

Tento kurz ukazuje, jak používat zásady ochrany aplikací Microsoft Intune s Microsoft Entra podmíněným přístupem k ochraně přístupu k Exchange Online. Tato ochrana brání přístupu k Exchangi uživatelům, kteří používají nespravované zařízení nebo jinou aplikaci než mobilní aplikaci Outlook pro přístup k e-mailu Microsoftu 365. Výsledek těchto zásad platí, když zařízení nejsou zaregistrovaná v řešení pro správu zařízení, jako je Intune.

V tomto kurzu se naučíte:

  • Vytvořte zásady ochrany aplikací Intune pro aplikaci Outlook. Tím, že zakážete funkci Uložit jako a omezíte akce vyjmutí, kopírování a vložení , omezíte tím, co uživatel může s daty aplikací dělat.
  • Vytvořte zásady Microsoft Entra podmíněného přístupu, které umožní přístup k firemnímu e-mailu v Exchange Online jenom aplikaci Outlook. Budete také vyžadovat vícefaktorové ověřování (MFA) pro klienty moderního ověřování, jako je Outlook pro iOS a Android.

Požadavky

K dokončení tohoto kurzu potřebujete testovacího tenanta s následujícími předplatnými pro tento kurz:

Přihlášení k Intune

Pro účely tohoto kurzu se při přihlášení do Centra pro správu Microsoft Intune přihlaste jako Globální správce nebo jako správce služby Intune. Pokud jste vytvořili zkušební předplatné Intune, je účet, se kterým jste předplatné vytvořili, Globální správce.

Vytvoření zásad ochrany aplikací

V tomto kurzu jsme pro aplikaci Outlook nastavili zásady ochrany aplikací Intune pro iOS, které nastaví ochranu na úrovni aplikace. K otevření aplikace v pracovním kontextu budeme vyžadovat KÓD PIN. Omezíme také sdílení dat mezi aplikacemi a zabráníme ukládání firemních dat do osobního umístění.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Aplikace>Ochrana aplikací zásady>Vytvořit zásadu a pak vyberte iOS/iPadOS.

  3. Na stránce Základy nakonfigurujte následující nastavení:

    • Název: Zadejte test zásad aplikace Outlook.
    • Popis: Zadejte test zásad aplikace Outlook.

    Hodnota Platforma byla nastavena v předchozím kroku tak, že jste vybrali iOS/iPadOS.

    Pokračujte výběrem možnosti Další .

  4. Na stránce Aplikace zvolíte aplikace, které tato zásada spravuje. Pro účely tohoto kurzu přidáme jenom Microsoft Outlook:

    1. Ujistěte se , že cílová zásada na je nastavená na Vybrané aplikace.

    2. Zvolte + Vybrat veřejné aplikace a otevřete podokno Vybrat aplikace k cíli . Potom v seznamu Aplikace vyberte Microsoft Outlook a přidejte ho do seznamu Vybrané aplikace . Aplikaci můžete vyhledat podle ID sady prostředků nebo podle názvu. Výběrem možnosti Vybrat uložte výběr aplikace.

      Vyhledejte a přidejte Microsoft Outlook jako veřejnou aplikaci pro tuto zásadu.

      Podokno Vybrat cílové aplikace se zavře a Microsoft Outlook se teď zobrazí v části Veřejné aplikace na stránce Aplikace.

      Outlook byl přidán do seznamu Veřejných aplikací pro tuto zásadu.

    Pokračujte výběrem možnosti Další .

  5. Na stránce Ochrana dat nakonfigurujete nastavení, která určují, jak můžou uživatelé pracovat s daty při používání aplikací chráněných touto zásadou ochrany aplikací. Nakonfigurujte následující možnosti:

    Pro kategorii Přenos dat nakonfigurujte následující nastavení a všechna ostatní nastavení ponechte na výchozích hodnotách:

    • Odesílání dat organizace do jiných aplikací – V rozevíracím seznamu vyberte Žádné.
    • Příjem dat z jiných aplikací – v rozevíracím seznamu vyberte Žádné.
    • Omezit vyjmutí, kopírování a vkládání mezi jinými aplikacemi – V rozevíracím seznamu vyberte Blokované.

    Vyberte nastavení přemístění dat v zásadách ochrany aplikací Outlook.

    Pokračujte výběrem možnosti Další .

  6. Stránka Access requirements (Požadavky na přístup ) poskytuje nastavení umožňující konfigurovat požadavky na PIN a přihlašovací údaje, které musí uživatelé splnit, aby mohli přistupovat k chráněným aplikacím v pracovním kontextu. Nakonfigurujte následující nastavení a ponechte všechna ostatní nastavení na výchozích hodnotách:

    • Jako PIN kód pro přístup vyberte Vyžadovat.
    • V části Přihlašovací údaje k pracovnímu nebo školnímu účtu pro přístup vyberte Vyžadovat.

    Vyberte akce přístupu k zásadám ochrany aplikací Outlooku.

    Pokračujte výběrem možnosti Další .

  7. Na stránce Podmíněné spuštění nakonfigurujete požadavky na zabezpečení přihlašování pro tuto zásadu ochrany aplikací. Pro účely tohoto kurzu nemusíte tato nastavení konfigurovat.

    Pokračujte výběrem možnosti Další .

  8. Na stránce Přiřazení přiřadíte zásady ochrany aplikací skupinám uživatelů. Pro účely tohoto kurzu nepřiřazujeme tuto zásadu skupině.

    Pokračujte výběrem možnosti Další .

  9. Na stránce Další: Zkontrolovat a vytvořit zkontrolujte hodnoty a nastavení, které jste zadali pro tuto zásadu ochrany aplikací. Vyberte Vytvořit a vytvořte zásadu ochrany aplikací v Intune.

Vytvoří se zásady ochrany aplikací pro Outlook. Dále nastavíte podmíněný přístup tak, aby zařízení vyžadovala používání aplikace Outlook.

Vytvoření zásad podmíněného přístupu

Dále pomocí Centra pro správu Microsoft Intune vytvořte dvě zásady podmíněného přístupu, které budou pokrývat všechny platformy zařízení. Podmíněný přístup integrujete s Intune, abyste mohli řídit zařízení a aplikace, které se můžou připojit k e-mailu a prostředkům vaší organizace.

  • První zásada vyžaduje, aby klienti moderního ověřování používali schválenou aplikaci Outlook a vícefaktorové ověřování (MFA). Moderní klienti ověřování zahrnují Outlook pro iOS a Outlook pro Android.

  • Druhá zásada vyžaduje, aby klienti protokol Exchange ActiveSync používali schválenou aplikaci Outlook. (Exchange Active Sync v současné době nepodporuje jiné podmínky než platformu zařízení.) Zásady podmíněného přístupu můžete nakonfigurovat v Centrum pro správu Microsoft Entra nebo můžete použít Centrum pro správu Microsoft Intune, které zobrazuje uživatelské rozhraní podmíněného přístupu z Microsoft Entra. Vzhledem k tomu, že už jsme v Centru pro správu, můžeme zásady vytvořit tady.

Když konfigurujete zásady podmíněného přístupu v Centru pro správu Microsoft Intune, konfigurujete tyto zásady v okně Podmíněný přístup z Azure Portal. Proto se uživatelské rozhraní trochu liší od rozhraní, které používáte pro jiné zásady pro Intune.

Vytvoření zásad MFA pro klienty moderního ověřování

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Zabezpečení >koncového boduPodmíněný přístup>Vytvořit novou zásadu.

  3. Jako Název zadejte Testovací zásady pro klienty moderního ověřování.

  4. V části Přiřazení v části Uživatelé vyberte 0 vybraných uživatelů a skupin. Na kartě Zahrnout vyberte Všichni uživatelé. Hodnota Uživatelé se aktualizuje na Všichni uživatelé.

    Zahajte konfiguraci zásad podmíněného přístupu.

  5. V části Přiřazení v části Cílové zdroje vyberte Možnost Žádné cílové prostředky. Ujistěte se, že možnost Vybrat, na co se tato zásada vztahuje , je nastavená na Cloudové aplikace. Protože chceme chránit microsoft 365 Exchange Online e-mail, vyberte ho následujícím postupem:

    1. Na kartě Zahrnout zvolte Vybrat aplikace.
    2. V části Vybrat kliknutím na Žádné otevřete podokno Vybrat cloudové aplikace.
    3. V seznamu aplikací zaškrtněte políčko u Office 365 Exchange Online a pak zvolte Vybrat.
    4. Výběrem možnosti Hotovo se vraťte do podokna Nové zásady.

    Vyberte aplikaci Office 365 Exchange Online.

  6. V části Přiřazení v části Podmínky vyberte 0 vybraných podmínek a pak v části Platformy zařízení vyberte Nenakonfigurováno . Otevře se podokno Platformy zařízení:

    1. Nastavte přepínač Konfigurovat na Ano.
    2. Na kartě Zahrnout zvolte Vybrat platformy zařízení a pak zaškrtněte políčka pro Android a iOS.
    3. Vyberte Hotovo a uložte konfiguraci platforem zařízení.

  7. Zůstaňte v podokně Podmínky a vyberte Nenakonfigurováno pro Klientské aplikace . Otevře se podokno Klientské aplikace:

    1. Nastavte přepínač Konfigurovat na Ano.
    2. Zaškrtněte políčka u položky Mobilní aplikace a desktopoví klienti.
    3. Zrušte zaškrtnutí ostatních políček.
    4. Výběrem možnosti Hotovo se vraťte do podokna Nové zásady.

    Vyberte Mobilní aplikace a klienti.

  8. V části Řízení přístupu v části Udělení vyberte 0 vybraných podmínek a pak:

    1. V podokně Udělení vyberte Udělit přístup.
    2. Vyberte Vyžadovat vícefaktorové ověřování.
    3. Vyberte Vyžadovat schválenou klientskou aplikaci.
    4. Nastavte Pro více ovládacích prvků na Vyžadovat všechny vybrané ovládací prvky. Toto nastavení zajišťuje, že se při pokusu zařízení o přístup k e-mailu vynucují oba požadavky, které jste vybrali.
    5. Zvolte Vybrat a uložte konfiguraci Udělit.

    Vyberte řízení přístupu.

  9. V části Povolit zásadu vyberte Zapnuto a pak vyberte Vytvořit.

    Vytvořte zásadu.

Vytvoří se zásada podmíněného přístupu pro klienty moderního ověřování. Teď můžete vytvořit zásadu pro klienty Exchange Active Sync.

Vytvoření zásady pro klienty Exchange Active Sync

Postup konfigurace této zásady je podobný předchozím zásadám podmíněného přístupu:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte Zabezpečení koncového bodu>Podmíněný přístup>Vytvořit novou zásadu.

  3. Do pole Název zadejte Test zásad pro klienty EAS.

  4. V části Přiřazení v části Uživatelé vyberte 0 uživatelů a skupin. Na kartě Zahrnout vyberte Všichni uživatelé.

  5. V části Přiřazení v části Cílové zdroje vyberte Možnost Žádné cílové prostředky. Ujistěte se, že možnost Vybrat, na co se tato zásada vztahuje, je nastavená na Cloudové aplikace, a pak nakonfigurujte Microsoft 365 Exchange Online e-mail pomocí těchto kroků:

    1. Na kartě Zahrnout zvolte Vybrat aplikace.
    2. V části Vybrat zvolte Žádné.
    3. V seznamu Cloudové aplikace zaškrtněte políčko u Office 365 Exchange Online a pak zvolte Vybrat.

  6. V části Přiřazení otevřete Podmínky>Platformy zařízení a pak:

    1. Nastavte přepínač Konfigurovat na Ano.
    2. Na kartě Zahrnout vyberte Libovolné zařízení a pak vyberte Hotovo.

  7. Zůstaňte v podokně Podmínky , rozbalte Klientské aplikace a pak:

    1. Nastavte přepínač Konfigurovat na Ano.
    2. Vyberte Mobilní aplikace a desktopoví klienti.
    3. Vyberte protokol Exchange ActiveSync klienty.
    4. Zrušte zaškrtnutí všech ostatních políček.
    5. Vyberte Hotovo.

    Použijte pro podporované platformy.

  8. V části Řízení přístupu rozbalte Udělit a pak:

    1. V podokně Udělení vyberte Udělit přístup.
    2. Vyberte Vyžadovat schválenou klientskou aplikaci. Zrušte zaškrtnutí všech ostatních políček, ale konfiguraci Pro více ovládacích prvků ponechte nastavenou na Vyžadovat všechny vybrané ovládací prvky.
    3. Zvolte Vybrat.

    Vyžadovat schválenou klientskou aplikaci.

  9. V části Povolit zásadu vyberte Zapnuto a pak vyberte Vytvořit.

Vaše zásady ochrany aplikací a podmíněný přístup jsou teď zavedeny a připravené k testování.

Vyzkoušet

Pomocí zásad, které jste vytvořili v tomto kurzu, se zařízení musí zaregistrovat v Intune a používat mobilní aplikaci Outlook, aby bylo možné zařízení použít pro přístup k e-mailu Microsoftu 365. Pokud chcete tento scénář otestovat na zařízení s iOSem, zkuste se přihlásit k Exchange Online pomocí přihlašovacích údajů pro uživatele v testovacím tenantovi.

  1. Pokud chcete testovat na iPhonu, přejděte na Nastavení>Hesla & Účty>Přidat účet>Exchange.

  2. Zadejte e-mailovou adresu uživatele v testovacím tenantovi a stiskněte Další.

  3. Stiskněte Přihlásit se.

  4. Zadejte heslo testovacího uživatele a stiskněte Přihlásit se.

  5. Zobrazí se zpráva Další informace jsou povinné , což znamená, že se zobrazí výzva k nastavení vícefaktorového ověřování. Pokračujte nastavením další metody ověřování.

  6. V dalším kroku se zobrazí zpráva, že se pokoušíte otevřít tento prostředek pomocí aplikace, která není schválená vaším it oddělením. Zpráva znamená, že je vám zablokováno používání nativní poštovní aplikace. Zrušte přihlášení.

  7. Otevřete aplikaci Outlook a vyberte Nastavení>Přidat účet>Přidat Email účet.

  8. Zadejte e-mailovou adresu uživatele v testovacím tenantovi a stiskněte Další.

  9. Stiskněte Přihlásit se pomocí Office 365. Zobrazí se výzva k dalšímu ověření a registraci. Jakmile se přihlásíte, můžete otestovat akce, jako je vyjmutí, kopírování, vložení a uložení jako.

Vyčištění prostředků

Pokud už testovací zásady nepotřebujete, můžete je odebrat.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. VyberteDodržování předpisůzařízením>.

  3. V seznamu Název zásady vyberte místní nabídku (...) pro testovací zásadu a pak vyberte Odstranit. Potvrďte to výběrem OK .

  4. Přejděte na Zásadypodmíněného přístupu> zabezpečení >koncových bodů.

  5. V seznamu Název zásady vyberte místní nabídku (...) pro každou z testovacích zásad a pak vyberte Odstranit. Potvrďte to výběrem možnosti Ano .

Další kroky

V tomto kurzu jste vytvořili zásady ochrany aplikací pro omezení toho, co uživatel může s aplikací Outlook dělat, a vytvořili jste zásady podmíněného přístupu, které vyžadují aplikaci Outlook a vícefaktorové ověřování pro klienty moderního ověřování. Další informace o používání Intune s podmíněným přístupem k ochraně dalších aplikací a služeb najdete v tématu Informace o podmíněném přístupu a Intune.