Oktatóanyag: Az Exchange Online-alapú e-mailek védelme felügyelt iOS-eszközökön a Microsoft Intune-nal

Ez az oktatóanyag bemutatja, hogyan használhatja a Microsoft eszközmegfelelőségi szabályzatait a Microsoft Entra feltételes hozzáférési szabályzatával, hogy az iOS-eszközök csak akkor férhessenek hozzá az Exchange-hez, ha azOkat az Intune felügyeli, és jóváhagyott levelezőalkalmazást használnak.

Az oktatóanyag segítségével megtanulhatja a következőket:

• Hozzon létre egy Intune iOS-eszközmegfelelőségi szabályzatot, amely beállítja azokat a feltételeket, amelyeknek az eszköznek megfelelőnek kell lennie.
• Hozzon létre egy Microsoft Entra feltételes hozzáférési szabályzatot, amely megköveteli, hogy az iOS-eszközök regisztráljanak az Intune-ban, megfeleljenek az Intune-szabályzatoknak, és a jóváhagyott Outlook mobilalkalmazással érhessék el az Exchange Online-alapú e-maileket.

Előfeltételek

Ebben az oktatóanyagban nem éles próbaverziós előfizetések használatát javasoljuk.

A próbaverziós előfizetések segítenek elkerülni, hogy az oktatóanyag során rossz konfigurációkkal rendelkező éles környezetet érintsen. A próbaverziók azt is lehetővé teszik, hogy csak azt a fiókot használjuk, amelyet a próba-előfizetés létrehozásakor hozott létre az Intune konfigurálásához és kezeléséhez, mivel rendelkezik az oktatóanyag egyes feladatainak elvégzéséhez szükséges engedélyekkel. Ennek a fióknak a használatával nem szükséges rendszergazdai fiókokat létrehozni és kezelni az oktatóanyag részeként.

Ehhez az oktatóanyaghoz egy tesztbérlőre van szükség a következő előfizetésekkel:

• Microsoft Intune 1. csomag előfizetés (ingyenes próbafiók regisztrálása)
• Microsoft Entra ID P1 (ingyenes próbaverzió)
• Üzleti Microsoft 365-alkalmazások előfizetés, ami magában foglalja az Exchange-et (ingyenes próbaverzió)

Bejelentkezés az Intune-ba

Ebben az oktatóanyagban, amikor bejelentkezik a Microsoft Intune Felügyeleti központba, jelentkezzen be azzal a fiókkal, amelyet az Intune próbaverziós előfizetésre való regisztrációkor hozott létre. Az oktatóanyag során továbbra is ezt a fiókot fogja használni a felügyeleti központba való bejelentkezéshez.

E-mail-eszközprofil létrehozása

Ehhez az oktatóanyaghoz létre kell hoznia egy iOS/iPadOS-eszköz e-mail-profilját. Ehhez kövesse az Intune dokumentációjának Try Intune tasks (Intune-feladatok kipróbálása) területén található 11. lépés – Eszközprofil létrehozása című témakör útmutatását. Az e-mail-profil arra szolgál, hogy az iOS/iPad-eszközöknek munkahelyi e-maileket kelljen használniuk.

Az e-mail-profil létrehozásakor rendelje hozzá a profilt ugyanahhoz az eszközcsoporthoz, amelyet később az eszközmegfelelési szabályzathoz és az oktatóanyag későbbi lépéseiben létrehozott feltételes hozzáférési szabályzatokhoz használ.

Az e-mail-profil létrehozása után térjen vissza ide a folytatáshoz.

Az iOS-eszközmegfelelési szabályzat létrehozása

Állítson be egy Intune-eszközmegfelelőségi szabályzatot, hogy megszüntethesse azokat a feltételeket, amelyeknek az eszköznek megfelelőnek kell lennie. Ebben az oktatóanyagban egy eszközmegfelelési szabályzatot hozunk létre iOS-eszközökhöz. A megfelelőségi szabályzatok platformspecifikusak, ezért minden kiértékelni kívánt eszközplatformhoz külön megfelelőségi szabályzatra van szükség.

1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

2. Válassza az Eszközök>megfelelősége lehetőséget.

3. A Szabályzatok lapon válassza a Szabályzat létrehozása lehetőséget.

4. A Szabályzat létrehozása lapon a Platform területen válassza az iOS/iPadOS lehetőséget. A folytatáshoz válassza a Létrehozás lehetőséget.

5. Az Alapvető beállítások lapon adja meg a következő tulajdonságokat:

   • Név: Adjon meg egy leíró nevet az új profilnak. Ebben a példában adja meg az iOS megfelelőségi szabályzat tesztelését.
   • Leírás: Nem kötelező – Adja meg az iOS megfelelőségi szabályzat tesztelését.

   A folytatáshoz válassza Tovább lehetőséget.

6. A Megfelelőségi beállítások lapon:

   1. Bontsa ki az E-mail elemet, majd állítsa a Nem lehet beállítani a levelezést az eszközönbeállítást Kötelező értékre.

   2. Bontsa ki az Eszközállapot elemet, és állítsa a Feltört eszközök beállítást Blokkolás értékre.

   3. Bontsa ki a Rendszerbiztonság elemet, és konfigurálja a következő beállításokat:

      • Jelszó megkövetelése a mobileszközök zárolásának feloldásához a Kötelező
      • Egyszerű jelszavak letiltásához
      • Jelszó minimális hossza4

      Tipp

      A kiszürkített és dőlt alapértelmezett értékek csak javaslatok. A beállítások konfigurálásához javaslatokat tartalmazó értékeket kell lecserélnie.

      • Kötelező jelszótípusalfanumerikus értékre
      • A képernyőzárolás után legfeljebb néhány perccel a jelszó azonnali megadása szükséges
      • Jelszó lejárata (nap)41-hez
      • Az 5-hözvaló újbóli felhasználást megakadályozó korábbi jelszavak száma

   A folytatáshoz válassza a Tovább gombot.

   

7. Válassza a Tovább gombot a Meg nem felelési műveletek kihagyásához.

8. A Hozzárendelések lap Belefoglalt csoportok csoportjában válassza az Összes eszköz hozzáadása lehetőséget, vagy válasszon ki egy olyan csoportot, amely csak azokat az eszközöket tartalmazza, amelyeknek meg kell kapniuk ezt a szabályzatot. Ügyeljen arra, hogy ugyanazt a hozzárendelést használja, mint amelyet az e-mail-eszköz profiljához használt.

   A folytatáshoz válassza Tovább lehetőséget.

9. A Véleményezés + létrehozás lapon tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt.

A feltételes hozzáférési szabályzat létrehozása

Ezután a Microsoft Intune Felügyeleti központban hozzon létre egy feltételes hozzáférési szabályzatot. A feltételes hozzáférést az Intune-nal integrálva szabályozhatja azokat az eszközöket és alkalmazásokat, amelyek csatlakozhatnak a szervezete levelezéséhez és erőforrásaihoz.

A feltételes hozzáférési szabályzat a következő:

• A bármely platformot futtató eszközöknek regisztrálniuk kell az Intune-ban, és meg kell felelniük az Intune megfelelőségi szabályzatának ahhoz, hogy ezek az eszközök hozzáférhessenek az Exchange Online-hoz.
• Megkövetelheti, hogy az eszközök az Outlook appot használják az e-mail-hozzáféréshez.

A feltételes hozzáférési szabályzatok a Microsoft Entra felügyeleti központban vagy a Microsoft Intune felügyeleti központban konfigurálhatók. Mivel már a felügyeleti központban vagyunk, itt hozhatjuk létre a szabályzatot.

1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

2. Válassza a Végpontbiztonság>feltételes hozzáférés>Új szabályzat létrehozása lehetőséget.

3. A Név mezőbe írja be a Microsoft 365 e-mail tesztszabályzatát.

4. A Hozzárendelések területen a Felhasználók területen válassza ki a 0 kiválasztott felhasználót és csoportot. A Belefoglalás lapon válassza a Minden felhasználó lehetőséget. A Felhasználók érték minden felhasználóra frissül.

5. A Hozzárendelések területen válassza a Célerőforrások lehetőséget. A Válassza ki, mire vonatkozik ez a szabályzat legördülő menüben válassza a Felhőalkalmazások lehetőséget.

   Ezután, mivel meg szeretnénk védeni a Microsoft 365 Exchange Online e-maileket, az alábbi lépések végrehajtásával válassza ki az alkalmazást:

   1. A Belefoglalás lapon válassza az Alkalmazások kiválasztása elemet.
   2. A Kiválasztás kategóriában válassza a Nincs lehetőséget a Kiválasztás panel alkalmazáslistájának megnyitásához.
   3. Az alkalmazások listájában jelölje be az Office 365 Exchange Online jelölőnégyzetét, majd válassza a Kiválasztás lehetőséget.

   

6. A Hozzárendelések területen válassza a Feltételek>Eszközplatformok lehetőséget az Eszközplatformok panel megnyitásához.

   1. Állítsa a Konfigurálásbeállítást Igen értékre.
   2. A Belefoglalás lapon válassza a Bármely eszköz lehetőséget, majd a Kész elemet.

   

7. Ismét a Hozzárendelések területen válassza a Feltételek>Ügyfélalkalmazások lehetőséget.

   1. Állítsa a Konfigurálásbeállítást Igen értékre.

   2. Ebben az oktatóanyagban válassza a Modern hitelesítési ügyfelek részét képező Mobilalkalmazások és asztali ügyfelek lehetőséget (amely olyan alkalmazásokra vonatkozik, mint az iOS Outlook és az Android Outlook). Az összes többi jelölőnégyzet jelölését törölje.

   3. Kattintson a Kész, majd ismét a Kész gombra.

   

8. A Hozzáférés-szabályozás alatt válassza ki az Engedélyezés elemet.

   1. Az Engedélyezés panelen válassza az Engedélyek megadása lehetőséget.

   2. Válassza az Eszköz megfelelőként való megjelölésének megkövetelése lehetőséget.

   3. Válassza ki a Jóváhagyott ügyfélalkalmazás megkövetelése elemet.

   4. A Több vezérlő esetén elem alatt válassza a minden kiválasztott vezérlő megkövetelésére szolgáló lehetőséget. Ez a beállítás biztosítja, hogy mindkét kiválasztott követelmény érvényben legyen, amikor egy eszköz hozzá próbál férni az e-mailekhez.

   5. Válassza a Kijelölés elemet.

   

9. A Szabályzat engedélyezése területen válassza a Be lehetőséget.

   

10. A módosítások mentéséhez válassza a Létrehozás lehetőséget. A profil hozzá van rendelve.

Megjegyzés:

Egyes függő szolgáltatások, például a Microsoft Teams, integrálhatók az Exchange Online-erőforrásokkal, és a korai szabályzatkényszerítés szabályozza. Ennek következtében a felhasználóknak be kell tartaniuk az Exchange-szabályzatokat, mielőtt bejelentkeznek a Microsoft Teamsbe.

Ha olyan feltételes hozzáférési szabályzattal rendelkezik, amely korlátozza az Exchange Online-erőforrások hitelesítési kéréseit, a felhasználóknak meg kell felelniük az Exchange-házirend követelményeinek, mielőtt bejelentkeznek a Teamsbe. A szabályzatok betartásának elmulasztása hatással van a Teamsbe való bejelentkezés képességére.

További információ: A Microsoft szolgáltatásfüggőségekkel és szabályzatkényszerítéssel kapcsolatos dokumentációja.

Próbálja ki!

A létrehozott szabályzatokkal minden olyan iOS-eszköznek, amely megpróbál bejelentkezni a Microsoft 365 e-mail-címére, regisztrálnia kell az Intune-ban, és az iOS/iPadOS Outlook mobilappot kell használnia. A forgatókönyv teszteléséhez egy iOS-eszközön próbáljon meg a tesztelési bérlő egyik felhasználójának hitelesítő adataival bejelentkezni az Exchange Online-ra. A rendszer kérni fogja, hogy regisztrálja az eszközt, és telepítse az Outlook mobilappot.

1. iPhone-on történő teszteléshez válassza a Beállítások>Jelszavak és fiókok>Fiók hozzáadása>Exchange elemet.

2. Adja meg a tesztelési bérlő felhasználójának e-mail-címét, és válassza a Tovább gombot.

3. Válassza a Bejelentkezés elemet.

4. Adja meg a tesztfelhasználó jelszavát, és válassza a Bejelentkezés gombot.

5. Megjelenik egy üzenet, amely szerint az eszközt kezelni kell az erőforrás eléréséhez, valamint egy regisztrációs lehetőséget.

Erőforrások eltávolítása

Ha már nincs szükség a tesztházirendekre, eltávolíthatja azokat.

1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

2. Válassza az Eszközök>megfelelősége lehetőséget.

3. A Szabályzat neve listában válassza ki a tesztszabályzat helyi menüjét (...), majd válassza a Törlés lehetőséget. Válassza az OK lehetőséget a megerősítéshez.

4. Válassza a Végpontbiztonság>feltételes hozzáférési>szabályzatok lehetőséget.

5. A Szabályzat neve listában válassza ki a tesztszabályzat helyi menüjét (...), majd válassza a Törlés lehetőséget. Az Igen gombot választva erősítse meg a műveletet.

Következő lépések

Ebben az oktatóanyagban olyan szabályzatokat hozott létre, amelyek megkövetelik, hogy az iOS-eszközök regisztráljanak az Intune-ban, és az Outlook alkalmazással férhessenek hozzá az Exchange Online e-mailjeihez. Ha tudni szeretné, hogyan használhatja az Intune-t feltételes hozzáféréssel más alkalmazások és szolgáltatások védelmére, beleértve a Microsoft 365 Exchange Online-hoz készült Exchange ActiveSync-ügyfeleket, olvassa el a Feltételes hozzáférés beállítása című témakört.