Esercitazione: Proteggere la posta elettronica Exchange Online nei dispositivi gestiti con Microsoft Intune

  • Articolo

Questa esercitazione illustra come usare i criteri di conformità dei dispositivi Microsoft con Microsoft Entra criteri di accesso condizionale, per consentire ai dispositivi iOS di accedere a Exchange solo quando sono gestiti da Intune e usare un'app di posta elettronica approvata.

In questa esercitazione si apprenderà come:

  • Creare un criterio di conformità dei dispositivi iOS di Intune per impostare le condizioni che un dispositivo deve soddisfare per essere considerato conforme.
  • Creare un Microsoft Entra criterio di accesso condizionale che richiede ai dispositivi iOS di registrarsi in Intune, rispettare i criteri di Intune e usare l'app Outlook per dispositivi mobili approvata per accedere Exchange Online posta elettronica.

Prerequisiti

Per questa esercitazione è necessario un tenant di test con le sottoscrizioni seguenti:

Accedere a Intune

Accedere all'interfaccia di amministrazione Microsoft Intune come amministratore globale o amministratore del servizio Intune. Se si dispone di una sottoscrizione di valutazione di Intune, l'account con cui è stata creata la sottoscrizione è il amministratore globale.

Creare un profilo di posta elettronica del dispositivo

Questa esercitazione richiede la creazione di un profilo di dispositivo iOS/iPadOS Email. A tale scopo, seguire le indicazioni riportate in Passaggio 11: Creare un profilo di dispositivo dall'area Attività di Prova Intune della documentazione di Intune. Il profilo di posta elettronica viene usato per richiedere ai dispositivi iOS/iPad di usare la posta elettronica di lavoro.

Quando si crea il profilo di posta elettronica, assegnare il profilo allo stesso gruppo di dispositivi che verranno usati in un secondo momento per i criteri di conformità dei dispositivi e di accesso condizionale creati nei passaggi successivi di questa esercitazione.

Dopo aver creato il profilo di posta elettronica, tornare qui per continuare.

Creare i criteri di conformità dei dispositivi iOS

Configurare un criterio di conformità del dispositivo di Intune per impostare le condizioni che un dispositivo deve soddisfare per essere considerato conforme. Per questa esercitazione vengono creati criteri di conformità dei dispositivi per i dispositivi iOS. I criteri di conformità sono specifici della piattaforma, quindi è necessario un criterio di conformità separato per ogni piattaforma del dispositivo che si vuole valutare.

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Conformità dispositivi>.

  3. Nella scheda Criteri scegliere Crea criterio.

  4. Nella pagina Crea un criterio selezionare iOS/iPadOS per Piattaforma. Selezionare Crea per continuare.

  5. Nella scheda Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il nuovo profilo. Per questo esempio immettere test dei criteri di conformità iOS.
    • Descrizione: facoltativo: immettere il test dei criteri di conformità iOS.

    Selezionare Avanti per continuare.

  6. Nella scheda Impostazioni di conformità :

    1. Espandere Email e quindi impostare Non è possibile configurare la posta elettronica nel dispositivo suRichiedi.

    2. Espandere Integrità dispositivo e impostare Dispositivi Jailbroken su Blocca.

    3. Espandere Sicurezza di sistema e configurare le impostazioni seguenti:

      • Richiedere una password per sbloccare i dispositivi mobili da richiedere
      • Password semplici da bloccare
      • Lunghezza minima della password a 4

      Consiglio

      I valori predefiniti disattivati e in corsivo sono solo consigli. È necessario sostituire i valori consigliati per configurare un'impostazione.

      • Tipo di password obbligatorio per alfanumerico
      • Numero massimo di minuti dopo il blocco dello schermo prima che la password sia necessaria per l'accesso immediato
      • Scadenza password (giorni) a 41
      • Numero di password precedenti per impedire il riutilizzo a 5

    Per continuare, selezionare Avanti.

    Configurazione dei criteri di conformità iOS.

  7. Selezionare Avanti per ignorare Azioni per la mancata conformità.

  8. Nella scheda Assegnazioni selezionare Aggiungi tutti i dispositivi per Gruppi inclusi oppure selezionare un gruppo che contiene solo i dispositivi che devono ricevere questo criterio. Assicurarsi di usare la stessa assegnazione usata per il profilo del dispositivo di posta elettronica.

    Selezionare Avanti per continuare.

  9. Nella scheda Rivedi e crea esaminare le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato.

Creare i criteri di accesso condizionale

Usare quindi l'interfaccia di amministrazione Microsoft Intune per creare criteri di accesso condizionale. È possibile integrare l'accesso condizionale con Intune per controllare i dispositivi e le app che possono connettersi alla posta elettronica e alle risorse dell'organizzazione.

I criteri di accesso condizionale:

  • Richiedere ai dispositivi che eseguono qualsiasi piattaforma di registrarsi in Intune e di rispettare i criteri di conformità di Intune prima che questi dispositivi possano essere usati per accedere a Exchange Online.
  • Richiedere ai dispositivi di usare l'app Outlook per l'accesso tramite posta elettronica.

I criteri di accesso condizionale sono configurabili nell'interfaccia di amministrazione Interfaccia di amministrazione di Microsoft Entra o Microsoft Intune. Poiché si è già nell'interfaccia di amministrazione, è possibile creare i criteri qui.

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Endpoint security>Conditional Access>Create new policy (Crea nuovi criteri).

  3. In Nome immettere Criteri di test per la posta elettronica di Microsoft 365.

  4. In Assegnazioni selezionare 0 utenti e gruppi selezionati in Utenti. Nella scheda Includi selezionare Tutti gli utenti. Il valore di Users viene aggiornato a Tutti gli utenti.

  5. In Assegnazioni selezionare Risorse di destinazione. Per Selezionare l'applicazione di questo criterio all'elenco a discesa selezionare App cloud.

    Successivamente, poiché si vuole proteggere microsoft 365 Exchange Online posta elettronica, selezionare l'app seguendo questa procedura:

    1. Nella scheda Includi scegliere Seleziona app.
    2. Per La categoria Seleziona selezionare Nessuno per aprire il riquadro Seleziona con il relativo elenco di applicazioni.
    3. Nell'elenco delle applicazioni selezionare la casella di controllo per Office 365 Exchange Online e quindi scegliere Seleziona.

    Selezionare Office 365 Exchange Online.

  6. In Assegnazioni selezionare Anche Condizioni>Piattaforme dispositivo per aprire il riquadro Piattaforme del dispositivo.

    1. Impostare Configura su .
    2. Nella scheda Includi selezionare Qualsiasi dispositivo, quindi selezionare Fine.

    Configurare le piattaforme dei dispositivi

  7. Ancora una volta, in Assegnazioni selezionare Condizioni>App client.

    1. Impostare Configura su .

    2. Per questa esercitazione selezionare App per dispositivi mobili e client desktop, parte dei client di autenticazione moderna (che si riferisce ad app come Outlook per iOS e Outlook per Android). Deselezionare tutte le altre caselle di controllo.

    3. Selezionare Fine, quindi selezionare Fine.

    Selezionare app e client.

  8. In Controlli di accesso selezionare Concedi.

    1. Nel riquadro Concedi selezionare Concedi accesso.

    2. Selezionare Richiedi che il dispositivo sia contrassegnato come conforme.

    3. Selezionare Richiedi app client approvata.

    4. In Per più controlli selezionare Richiedi tutti i controlli selezionati. Questa impostazione garantisce che entrambi i requisiti selezionati vengano applicati quando un dispositivo tenta di accedere alla posta elettronica.

    5. Scegliere Seleziona.

    Selezionare i controlli

  9. In Abilita criterio selezionare .

    Abilitare i criteri.

  10. Selezionare Crea per salvare le modifiche. Il profilo viene assegnato.

Procedura

Con i criteri creati, qualsiasi dispositivo iOS che tenta di accedere alla posta elettronica di Microsoft 365 deve registrarsi in Intune e usare l'app Outlook per dispositivi mobili per iOS/iPadOS. Per testare questo scenario in un dispositivo iOS, provare ad accedere a Exchange Online usando le credenziali di un utente nel tenant di test. Viene richiesto di registrare il dispositivo e installare l'app Outlook per dispositivi mobili.

  1. Per eseguire il test in un iPhone, passare a Impostazioni>Password e account>Aggiungi account>Exchange.

  2. Immettere l'indirizzo di posta elettronica per un utente nel tenant e quindi premere Avanti.

  3. Premere Accedi.

  4. Immettere la password dell'utente di test e premere Accedi.

  5. Viene visualizzato un messaggio che indica che il dispositivo deve essere gestito per accedere alla risorsa, insieme a un'opzione per la registrazione.

Pulire le risorse

Quando i criteri di test non sono più necessari, è possibile rimuoverli.

  1. Accedere all'interfaccia di amministrazione Microsoft Intune come amministratore globale o amministratore del servizio Intune.

  2. Selezionare Conformità dispositivi>.

  3. Nell'elenco Nome criterio selezionare il menu di scelta rapida (...) per i criteri di test e quindi selezionare Elimina. Selezionare OK per confermare.

  4. Selezionare Endpoint securityConditional access policies(Criteri di accesso > condizionale per sicurezza > endpoint).

  5. Nell'elenco Nome criterio selezionare il menu di scelta rapida (...) per i criteri di test e quindi selezionare Elimina. Selezionare per confermare.

Passaggi successivi

In questa esercitazione sono stati creati criteri che richiedono ai dispositivi iOS di registrarsi in Intune e usare l'app Outlook per accedere Exchange Online posta elettronica. Per informazioni sull'uso di Intune con l'accesso condizionale per proteggere altre app e servizi, inclusi i client Exchange ActiveSync per Microsoft 365 Exchange Online, vedere Configurare l'accesso condizionale.