Share via


Zelfstudie: Exchange Online-e-mail op onbeheerde apparaten beveiligen met Microsoft Intune

In deze zelfstudie ziet u hoe u microsoft Intune-app-beveiligingsbeleid gebruikt met voorwaardelijke toegang van Microsoft Entra om de toegang tot Exchange Online te beveiligen. Deze beveiliging voorkomt toegang tot Exchange voor gebruikers die een onbeheerd apparaat of een andere app dan de mobiele Outlook-app gebruiken voor toegang tot Microsoft 365-e-mail. De resultaten van deze beleidsregels zijn van toepassing wanneer apparaten niet zijn ingeschreven bij een apparaatbeheeroplossing zoals Intune.

In deze zelfstudie leert u het volgende:

  • Maak een Intune-app-beveiligingsbeleid voor de Outlook-app. U beperkt wat de gebruiker met app-gegevens kan doen door Opslaan als te voorkomen en knip-, kopieer- en plakacties te beperken.
  • Maak beleid voor voorwaardelijke toegang van Microsoft Entra waarmee alleen de Outlook-app toegang heeft tot bedrijfs-e-mail in Exchange Online. U hebt ook meervoudige verificatie (MFA) nodig voor moderne verificatieclients, zoals Outlook voor iOS en Android.

Voorwaarden

Voor deze zelfstudie raden we u aan proefabonnementen voor niet-productie te gebruiken.

Proefabonnementen helpen u te voorkomen dat een productieomgeving met verkeerde configuraties wordt beïnvloed tijdens deze zelfstudie. Met proefversies kunnen we ook alleen het account gebruiken dat u hebt gemaakt bij het maken van het proefabonnement om Intune te configureren en te beheren, omdat het machtigingen heeft om elke taak voor deze zelfstudie te voltooien. Als u dit account gebruikt, hoeft u geen beheerdersaccounts te maken en te beheren als onderdeel van de zelfstudie.

Voor deze zelfstudie is een testtenant met de volgende abonnementen vereist:

Aanmelden bij Intune

Voor deze zelfstudie meldt u zich aan bij het Microsoft Intune-beheercentrum met het account dat is gemaakt toen u zich registreerde voor het Intune-proefabonnement. Blijf dit account gebruiken om u tijdens deze zelfstudie aan te melden bij het beheercentrum.

Het app-beveiligingsbeleid maken

In deze zelfstudie stellen we een Intune-beleid voor app-beveiliging in voor iOS voor de Outlook-app om beveiliging op app-niveau tot stand te brengen. Er is een pincode vereist om de app te openen in een werkcontext. We beperken ook het delen van gegevens tussen apps en voorkomen dat bedrijfsgegevens worden opgeslagen op een persoonlijke locatie.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apps>App-beveiligingsbeleid>Beleid maken en selecteer vervolgens iOS/iPadOS.

  3. Configureer op de pagina Basisbeginselen de volgende instellingen:

    • Naam: Voer outlook-app-beleidstest in.
    • Beschrijving: Voer outlook-app-beleidstest in.

    De waarde Platform is in de vorige stap ingesteld door iOS/iPadOS te selecteren.

    Selecteer Volgende om door te gaan.

  4. Op de pagina Apps kiest u de apps die door dit beleid worden beheerd. Voor deze zelfstudie voegen we alleen Microsoft Outlook toe:

    1. Zorg ervoor dat doelbeleid is ingesteld op Geselecteerde apps.

    2. Kies + Openbare apps selecteren om het deelvenster Apps selecteren voor doel te openen. Selecteer vervolgens Microsoft Outlook in de lijst met apps om het toe te voegen aan de lijst Met geselecteerde apps . U kunt zoeken naar een app op bundel-id of op naam. Kies Selecteren om de app-selectie op te slaan.

      Zoek en voeg Microsoft Outlook toe als een openbare app voor dit beleid.

      Het deelvenster Apps selecteren voor doel wordt gesloten en Microsoft Outlook wordt nu weergegeven onder Openbare apps op de pagina Apps.

      Selecteer Outlook om het toe te voegen aan de lijst met openbare apps voor dit beleid.

    Selecteer Volgende om door te gaan.

  5. Op de pagina Gegevensbescherming configureert u de instellingen die bepalen hoe gebruikers met gegevens kunnen werken terwijl ze de apps gebruiken die worden beveiligd door dit app-beveiligingsbeleid. Configureer de volgende opties:

    Configureer voor de categorie Gegevensoverdracht de volgende instellingen en laat alle andere instellingen op hun standaardwaarden staan:

    • Organisatiegegevens verzenden naar andere apps : selecteer Geen in de vervolgkeuzelijst.
    • Gegevens ontvangen van andere apps : selecteer Geen in de vervolgkeuzelijst.
    • Knippen, kopiëren en plakken tussen andere apps beperken: selecteer Geblokkeerd in de vervolgkeuzelijst.

    Selecteer de instellingen voor gegevensverplaatsing van outlook-app-beveiligingsbeleid.

    Selecteer Volgende om door te gaan.

  6. De pagina Toegangsvereisten bevat instellingen waarmee u pincode- en referentievereisten kunt configureren waaraan gebruikers moeten voldoen voordat ze toegang hebben tot de beveiligde apps in een werkcontext. Configureer de volgende instellingen en laat alle andere instellingen op de standaardwaarden staan:

    • Selecteer Vereisenvoor pincode voor toegang.
    • Selecteer Vereisenvoor werk- of schoolaccountreferenties voor toegang.

    Selecteer de toegangsacties voor outlook-app-beveiligingsbeleid.

    Selecteer Volgende om door te gaan.

  7. Op de pagina Voorwaardelijk starten configureert u de beveiligingsvereisten voor aanmelding voor dit app-beveiligingsbeleid. Voor deze zelfstudie hoeft u deze instellingen niet te configureren.

    Selecteer Volgende om door te gaan.

  8. Op de pagina Toewijzingen wijst u het app-beveiligingsbeleid toe aan groepen gebruikers. Voor deze zelfstudie wijzen we dit beleid niet toe aan een groep.

    Selecteer Volgende om door te gaan.

  9. Controleer op de pagina Volgende: Controleren en maken de waarden en instellingen die u hebt ingevoerd voor dit app-beveiligingsbeleid. Selecteer Maken om het beveiligingsbeleid voor apps in Intune te maken.

Het app-beveiligingsbeleid voor Outlook wordt gemaakt. Vervolgens gaat u voorwaardelijke toegang instellen om te vereisen dat apparaten de Outlook-app gebruiken.

Beleid voor voorwaardelijke toegang maken

Gebruik vervolgens het Microsoft Intune-beheercentrum om twee beleidsregels voor voorwaardelijke toegang te maken voor alle apparaatplatforms. U integreert voorwaardelijke toegang met Intune om de apparaten en apps te beheren die verbinding kunnen maken met e-mail en resources van uw organisatie.

  • Het eerste beleid vereist dat clients voor moderne verificatie de goedgekeurde Outlook-app en meervoudige verificatie (MFA) gebruiken. Moderne verificatieclients omvatten Outlook voor iOS en Outlook voor Android.

  • Het tweede beleid vereist dat Exchange ActiveSync-clients de goedgekeurde Outlook-app gebruiken. (Momenteel biedt Exchange Active Sync geen ondersteuning voor andere voorwaarden dan het apparaatplatform). U kunt beleid voor voorwaardelijke toegang configureren in het Microsoft Entra-beheercentrum of het Microsoft Intune-beheercentrum gebruiken, waarin de gebruikersinterface voor voorwaardelijke toegang van Microsoft Entra wordt weergegeven. Omdat we ons al in het beheercentrum bevinden, kunnen we het beleid hier maken.

Wanneer u beleid voor voorwaardelijke toegang configureert in het Microsoft Intune-beheercentrum, configureert u dit beleid in de blade Voorwaardelijke toegang vanuit Azure Portal. Daarom is de gebruikersinterface een beetje anders dan de interface die u gebruikt voor andere beleidsregels voor Intune.

Een MFA-beleid maken voor moderne verificatieclients

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Voorwaardelijke toegang>Nieuw beleid maken.

  3. Voer bij Naamtestbeleid voor moderne verificatieclients in.

  4. Selecteer onder Toewijzingen voor Gebruikers de optie 0 geselecteerde gebruikers en groepen. Selecteer op het tabblad Opnemende optie Alle gebruikers. De waarde voor Gebruikers wordt bijgewerkt naar Alle gebruikers.

    Begin met de configuratie van het beleid voor voorwaardelijke toegang.

  5. Selecteer onder Toewijzingen bij Doelresourcesde optie Geen doelresources geselecteerd. Zorg ervoor dat Selecteren waarop dit beleid van toepassing is is ingesteld op Cloud-apps. Omdat we e-mail van Microsoft 365 Exchange Online willen beveiligen, selecteert u deze door deze stappen uit te voeren:

    1. Kies op het tabblad Opnemen de optie Apps selecteren.
    2. Klik bij Selecteren op Geen om het deelvenster Cloud-apps selecteren te openen .
    3. Schakel in de lijst met toepassingen het selectievakje voor Office 365 Exchange Online in en kies vervolgens Selecteren.
    4. Selecteer Gereed om terug te keren naar het deelvenster Nieuw beleid.

    Selecteer de Office 365 Exchange Online-app.

  6. Selecteer onder Toewijzingen bij Voorwaarden de optie 0 geselecteerde voorwaarden en selecteer vervolgens voor Apparaatplatformsde optie Niet geconfigureerd om het deelvenster Apparaatplatforms te openen:

    1. Stel de wisselknop Configureren in op Ja.
    2. Kies op het tabblad Opnemende optie Apparaatplatforms selecteren en schakel vervolgens de selectievakjes voor Android en voor iOS in.
    3. Selecteer Gereed om de configuratie van apparaatplatforms op te slaan.
  7. Blijf in het deelvenster Voorwaarden en selecteer Niet geconfigureerd voor Client-apps om het deelvenster Client-apps te openen:

    1. Stel de wisselknop Configureren in op Ja.
    2. Schakel de selectievakjes voor mobiele apps en desktopclients in.
    3. Schakel de andere selectievakjes uit.
    4. Selecteer Gereed om terug te keren naar het deelvenster Nieuw beleid.

    Selecteer Mobiele apps en clients als voorwaarden.

  8. Selecteer onder Toegangsbeheer voor Verlenende optie 0 geselecteerde voorwaarden en vervolgens:

    1. Selecteer toegang verlenen in het deelvenster Verlenen.
    2. Selecteer Meervoudige verificatie vereisen.
    3. Selecteer Goedgekeurde client-app vereisen.
    4. Stel Voor meerdere besturingselementen in op Alle geselecteerde besturingselementen vereisen. Deze instelling zorgt ervoor dat beide vereisten die u hebt geselecteerd, worden afgedwongen wanneer een apparaat toegang probeert te krijgen tot e-mail.
    5. Kies Selecteren om de toekenningsconfiguratie op te slaan.

    Als u Toekenning wilt configureren, selecteert u toegangsbeheer.

  9. Selecteer onder Beleid inschakelen de optie Aan en selecteer vervolgens Maken.

    Als u beleid wilt inschakelen, stelt u de schuifregelaar Beleid inschakelen in op Aan.

Het beleid voor voorwaardelijke toegang voor clients met moderne verificatie wordt gemaakt. U kunt nu beleid maken voor Exchange Active Sync-clients.

Een beleid maken voor Exchange Active Sync-clients

Het proces voor het configureren van dit beleid is vergelijkbaar met het vorige beleid voor voorwaardelijke toegang:

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Voorwaardelijke toegang>Nieuw beleid maken.

  3. Voer bij Naamtestbeleid voor EAS-clients in.

  4. Selecteer onder Toewijzingen voor Gebruikers de optie 0 gebruikers en groepen. Selecteer op het tabblad Opnemende optie Alle gebruikers.

  5. Selecteer onder Toewijzingen bij Doelresourcesde optie Geen doelresources geselecteerd. Zorg ervoor dat Selecteren waarop dit beleid van toepassing is is ingesteld op Cloud-apps en configureer vervolgens e-mail van Microsoft 365 Exchange Online met de volgende stappen:

    1. Kies op het tabblad Opnemen de optie Apps selecteren.
    2. Bij Selecteren kiest u Geen.
    3. Schakel in de lijst Cloud-apps het selectievakje voor Office 365 Exchange Online in en kies vervolgens Selecteren.
  6. Open onder ToewijzingenVoorwaarden>Apparaatplatforms en vervolgens:

    1. Stel de wisselknop Configureren in op Ja.
    2. Selecteer op het tabblad Opnemende optie Elk apparaat en selecteer vervolgens Gereed.
  7. Blijf in het gedeelte Voorwaarden , vouw Client-apps uit en ga als volgende te werk:

    1. Stel de wisselknop Configureren in op Ja.
    2. Selecteer Mobiele apps en desktopclients.
    3. Selecteer Exchange ActiveSync-clients.
    4. Schakel alle andere selectievakjes uit.
    5. Selecteer Gereed.

    Client-apps configureren voor de categorie Voorwaarden.

  8. Vouw onder Toegangsbeheerverlenen uit en vervolgens:

    1. Selecteer toegang verlenen in het deelvenster Verlenen.
    2. Selecteer Goedgekeurde client-app vereisen. Schakel alle andere selectievakjes uit, maar laat de configuratie Voor meerdere besturingselementen ingesteld op Alle geselecteerde besturingselementen vereisen.
    3. Kies Selecteren.

    configureer Goedgekeurde client-app vereisen voor de categorie Toekenning.

  9. Selecteer onder Beleid inschakelen de optie Aan en selecteer vervolgens Maken.

Uw app-beveiligingsbeleid en voorwaardelijke toegang zijn nu ingesteld en kunnen worden getest.

Probeer het uit

Met het beleid dat u in deze zelfstudie hebt gemaakt, moeten apparaten zich registreren bij Intune en de mobiele Outlook-app gebruiken voordat het apparaat kan worden gebruikt voor toegang tot e-mail van Microsoft 365. Als u dit scenario wilt testen op een iOS-apparaat, probeert u zich aan te melden bij Exchange Online met behulp van referenties voor een gebruiker in uw testtenant.

  1. Als u wilt testen op een iPhone, gaat u naar Instellingen>Wachtwoorden & Accounts>Account>Exchange toevoegen.

  2. Voer het e-mailadres in voor een gebruiker in uw testtenant en druk op Volgende.

  3. Druk op Aanmelden.

  4. Voer het wachtwoord van de testgebruiker in en druk op Aanmelden.

  5. Het bericht Meer informatie is vereist wordt weergegeven, wat betekent dat u wordt gevraagd om MFA in te stellen. Stel een andere verificatiemethode in.

  6. Vervolgens ziet u een bericht met de mededeling dat u deze resource probeert te openen met een app die niet is goedgekeurd door uw IT-afdeling. Het bericht betekent dat u wordt geblokkeerd voor het gebruik van de systeemeigen e-mail-app. De aanmelding annuleren.

  7. Open de Outlook-app en selecteer Instellingen>Account> toevoegenE-mailaccount toevoegen.

  8. Voer het e-mailadres in voor een gebruiker in uw testtenant en druk op Volgende.

  9. Druk op Aanmelden met Office 365. U wordt gevraagd om een andere verificatie en registratie. Zodra u zich hebt aangemeld, kunt u acties testen, zoals knippen, kopiëren, plakken en Opslaan als.

Resources opschonen

Wanneer het testbeleid niet meer nodig is, kunt u ze verwijderen.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. SelecteerApparatencompatibiliteit>.

  3. Selecteer in de lijst Beleidsnaam het contextmenu (...) voor uw testbeleid en selecteer vervolgens Verwijderen. Selecteer OK om te bevestigen.

  4. Ga naar Beleid voorvoorwaardelijke toegang> voor eindpuntbeveiliging>.

  5. Selecteer in de lijst Beleidsnaam het contextmenu (...) voor elk van uw testbeleid en selecteer vervolgens Verwijderen. Selecteer Ja om te bevestigen.

Volgende stappen

In deze zelfstudie hebt u app-beveiligingsbeleid gemaakt om te beperken wat de gebruiker kan doen met de Outlook-app en hebt u beleid voor voorwaardelijke toegang gemaakt om de Outlook-app te vereisen en MFA te vereisen voor clients met moderne verificatie. Zie Meer informatie over voorwaardelijke toegang en Intune voor meer informatie over het gebruik van Intune met voorwaardelijke toegang om andere apps en services te beveiligen.