Zelfstudie: Exchange Online e-mail op onbeheerde apparaten beveiligen met Microsoft Intune

In deze zelfstudie ziet u hoe u Microsoft Intune app-beveiligingsbeleid gebruikt met Microsoft Entra voorwaardelijke toegang om de toegang tot Exchange Online te beveiligen. Deze beveiliging voorkomt toegang tot Exchange voor gebruikers die een onbeheerd apparaat of een andere app dan de mobiele Outlook-app gebruiken voor toegang tot Microsoft 365-e-mail. Het resultaat van deze beleidsregels is van toepassing wanneer apparaten niet zijn ingeschreven bij een apparaatbeheeroplossing zoals Intune.

In deze zelfstudie leert u het volgende:

• Maak een Intune-app-beveiligingsbeleid voor de Outlook-app. U beperkt wat de gebruiker met app-gegevens kan doen door Opslaan als te voorkomen en knip-, kopieer- en plakacties te beperken.
• Maak Microsoft Entra beleid voor voorwaardelijke toegang waarmee alleen de Outlook-app toegang heeft tot bedrijfs-e-mail in Exchange Online. U hebt ook meervoudige verificatie (MFA) nodig voor moderne verificatieclients, zoals Outlook voor iOS en Android.

Vereisten

Voor deze zelfstudie hebt u een testtenant met de volgende abonnementen nodig voor deze zelfstudie:

• Microsoft Entra ID P1 - gratis proefversie
• Microsoft Intune Abonnement 1 - gratis proefversie
• Microsoft 365-apps voor bedrijven abonnement met Exchange - gratis proefversie

Aanmelden bij Intune

Wanneer u zich voor deze zelfstudie aanmeldt bij het Microsoft Intune-beheercentrum, meldt u zich aan als een Globale beheerder of een Intune-servicebeheerder. Als u een Intune-proefabonnement hebt gemaakt, is het account waarmee u het abonnement hebt gemaakt het Globale beheerder.

Het app-beveiligingsbeleid maken

In deze zelfstudie stellen we een Intune-beleid voor app-beveiliging in voor iOS voor de Outlook-app om beveiliging op app-niveau tot stand te brengen. Er is een pincode vereist om de app te openen in een werkcontext. We beperken ook het delen van gegevens tussen apps en voorkomen dat bedrijfsgegevens worden opgeslagen op een persoonlijke locatie.

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Apps>App-beveiliging beleid>Beleid maken en selecteer vervolgens iOS/iPadOS.

3. Configureer op de pagina Basisbeginselen de volgende instellingen:

   • Naam: Voer outlook-app-beleidstest in.
   • Beschrijving: Voer outlook-app-beleidstest in.

   De waarde Platform is in de vorige stap ingesteld door iOS/iPadOS te selecteren.

   Selecteer Volgende om door te gaan.

4. Op de pagina Apps kiest u de apps die door dit beleid worden beheerd. Voor deze zelfstudie voegen we alleen Microsoft Outlook toe:

   1. Zorg ervoor dat doelbeleid is ingesteld op Geselecteerde apps.

   2. Kies + Openbare apps selecteren om het deelvenster Apps selecteren voor doel te openen. Selecteer vervolgens Microsoft Outlook in de lijst met apps om het toe te voegen aan de lijst Met geselecteerde apps . U kunt zoeken naar een app op bundel-id of op naam. Kies Selecteren om de app-selectie op te slaan.

      

      Het deelvenster Apps selecteren voor doel wordt gesloten en Microsoft Outlook wordt nu weergegeven onder Openbare apps op de pagina Apps.

      

   Selecteer Volgende om door te gaan.

5. Op de pagina Gegevensbescherming configureert u de instellingen die bepalen hoe gebruikers met gegevens kunnen werken terwijl ze de apps gebruiken die worden beveiligd door dit app-beveiligingsbeleid. Configureer de volgende opties:

   Configureer voor de categorie Gegevensoverdracht de volgende instellingen en laat alle andere instellingen op hun standaardwaarden staan:

   • Organisatiegegevens verzenden naar andere apps : selecteer Geen in de vervolgkeuzelijst.
   • Gegevens ontvangen van andere apps : selecteer Geen in de vervolgkeuzelijst.
   • Knippen, kopiëren en plakken tussen andere apps beperken: selecteer Geblokkeerd in de vervolgkeuzelijst.

   

   Selecteer Volgende om door te gaan.

6. De pagina Toegangsvereisten bevat instellingen waarmee u pincode- en referentievereisten kunt configureren waaraan gebruikers moeten voldoen voordat ze toegang hebben tot de beveiligde apps in een werkcontext. Configureer de volgende instellingen en laat alle andere instellingen op de standaardwaarden staan:

   • Selecteer Vereisenvoor pincode voor toegang.
   • Selecteer Vereisenvoor werk- of schoolaccountreferenties voor toegang.

   

   Selecteer Volgende om door te gaan.

7. Op de pagina Voorwaardelijk starten configureert u de beveiligingsvereisten voor aanmelding voor dit app-beveiligingsbeleid. Voor deze zelfstudie hoeft u deze instellingen niet te configureren.

   Selecteer Volgende om door te gaan.

8. Op de pagina Toewijzingen wijst u het app-beveiligingsbeleid toe aan groepen gebruikers. Voor deze zelfstudie wijzen we dit beleid niet toe aan een groep.

   Selecteer Volgende om door te gaan.

9. Controleer op de pagina Volgende: Controleren en maken de waarden en instellingen die u hebt ingevoerd voor dit app-beveiligingsbeleid. Selecteer Maken om het beveiligingsbeleid voor apps in Intune te maken.

Het app-beveiligingsbeleid voor Outlook wordt gemaakt. Vervolgens gaat u voorwaardelijke toegang instellen om te vereisen dat apparaten de Outlook-app gebruiken.

Beleid voor voorwaardelijke toegang maken

Gebruik vervolgens het Microsoft Intune-beheercentrum om twee beleidsregels voor voorwaardelijke toegang te maken voor alle apparaatplatforms. U integreert voorwaardelijke toegang met Intune om de apparaten en apps te beheren die verbinding kunnen maken met e-mail en resources van uw organisatie.

• Het eerste beleid vereist dat clients voor moderne verificatie de goedgekeurde Outlook-app en meervoudige verificatie (MFA) gebruiken. Moderne verificatieclients omvatten Outlook voor iOS en Outlook voor Android.

• Het tweede beleid vereist dat Exchange ActiveSync clients de goedgekeurde Outlook-app gebruiken. (Momenteel biedt Exchange Active Sync geen ondersteuning voor andere voorwaarden dan het apparaatplatform). U kunt beleid voor voorwaardelijke toegang configureren in de Microsoft Entra-beheercentrum of het Microsoft Intune-beheercentrum gebruiken, waarin de gebruikersinterface voor voorwaardelijke toegang van Microsoft Entra wordt weergegeven. Omdat we ons al in het beheercentrum bevinden, kunnen we het beleid hier maken.

Wanneer u beleid voor voorwaardelijke toegang configureert in het Microsoft Intune-beheercentrum, configureert u dit beleid in de blade Voorwaardelijke toegang vanuit de Azure Portal. Daarom is de gebruikersinterface een beetje anders dan de interface die u gebruikt voor andere beleidsregels voor Intune.

Een MFA-beleid maken voor moderne verificatieclients

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Eindpuntbeveiliging>Voorwaardelijke toegang>Nieuw beleid maken.

3. Voer bij Naamtestbeleid voor moderne verificatieclients in.

4. Selecteer onder Toewijzingen voor Gebruikers de optie 0 geselecteerde gebruikers en groepen. Selecteer op het tabblad Opnemende optie Alle gebruikers. De waarde voor Gebruikers wordt bijgewerkt naar Alle gebruikers.

   

5. Selecteer onder Toewijzingen bij Doelresourcesde optie Geen doelresources geselecteerd. Zorg ervoor dat Selecteren waarop dit beleid van toepassing is is ingesteld op Cloud-apps. Omdat we Microsoft 365 Exchange Online e-mail willen beveiligen, selecteert u deze door deze stappen uit te voeren:

   1. Kies op het tabblad Opnemen de optie Apps selecteren.
   2. Klik bij Selecteren op Geen om het deelvenster Cloud-apps selecteren te openen .
   3. Schakel in de lijst met toepassingen het selectievakje voor Office 365 Exchange Online in en kies vervolgens Selecteren.
   4. Selecteer Gereed om terug te keren naar het deelvenster Nieuw beleid.

   

6. Selecteer onder Toewijzingen bij Voorwaarden de optie 0 geselecteerde voorwaarden en selecteer vervolgens voor Apparaatplatformsde optie Niet geconfigureerd om het deelvenster Apparaatplatforms te openen:

   1. Stel de wisselknop Configureren in op Ja.
   2. Kies op het tabblad Opnemende optie Apparaatplatforms selecteren en schakel vervolgens de selectievakjes voor Android en voor iOS in.
   3. Selecteer Gereed om de configuratie van apparaatplatforms op te slaan.

7. Blijf in het deelvenster Voorwaarden en selecteer Niet geconfigureerd voor Client-apps om het deelvenster Client-apps te openen:

   1. Stel de wisselknop Configureren in op Ja.
   2. Schakel de selectievakjes voor mobiele apps en desktopclients in.
   3. Schakel de andere selectievakjes uit.
   4. Selecteer Gereed om terug te keren naar het deelvenster Nieuw beleid.

   

8. Selecteer onder Toegangsbeheer voor Verlenende optie 0 geselecteerde voorwaarden en vervolgens:

   1. Selecteer toegang verlenen in het deelvenster Verlenen.
   2. Selecteer Meervoudige verificatie vereisen.
   3. Selecteer Goedgekeurde client-app vereisen.
   4. Stel Voor meerdere besturingselementen in op Alle geselecteerde besturingselementen vereisen. Deze instelling zorgt ervoor dat beide vereisten die u hebt geselecteerd, worden afgedwongen wanneer een apparaat toegang probeert te krijgen tot e-mail.
   5. Kies Selecteren om de toekenningsconfiguratie op te slaan.

   

9. Selecteer onder Beleid inschakelen de optie Aan en selecteer vervolgens Maken.

   

Het beleid voor voorwaardelijke toegang voor clients met moderne verificatie wordt gemaakt. U kunt nu beleid maken voor Exchange Active Sync-clients.

Een beleid maken voor Exchange Active Sync-clients

Het proces voor het configureren van dit beleid is vergelijkbaar met het vorige beleid voor voorwaardelijke toegang:

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. Selecteer Eindpuntbeveiliging>Voorwaardelijke toegang>Nieuw beleid maken.

3. Voer bij Naamtestbeleid voor EAS-clients in.

4. Selecteer onder Toewijzingen voor Gebruikers de optie 0 gebruikers en groepen. Selecteer op het tabblad Opnemende optie Alle gebruikers.

5. Selecteer onder Toewijzingen bij Doelresourcesde optie Geen doelresources geselecteerd. Zorg ervoor dat Selecteren waarop dit beleid van toepassing is is ingesteld op Cloud-apps en configureer vervolgens Microsoft 365 Exchange Online e-mail met de volgende stappen:

   1. Kies op het tabblad Opnemen de optie Apps selecteren.
   2. Bij Selecteren kiest u Geen.
   3. Schakel in de lijst Cloud-apps het selectievakje voor Office 365 Exchange Online in en kies vervolgens Selecteren.

6. Open onder ToewijzingenVoorwaarden>Apparaatplatforms en vervolgens:

   1. Stel de wisselknop Configureren in op Ja.
   2. Selecteer op het tabblad Opnemende optie Elk apparaat en selecteer vervolgens Gereed.

7. Blijf in het gedeelte Voorwaarden , vouw Client-apps uit en ga als volgende te werk:

   1. Stel de wisselknop Configureren in op Ja.
   2. Selecteer Mobiele apps en desktopclients.
   3. Selecteer Exchange ActiveSync clients.
   4. Schakel alle andere selectievakjes uit.
   5. Selecteer Gereed.

   

8. Vouw onder Toegangsbeheerverlenen uit en vervolgens:

   1. Selecteer toegang verlenen in het deelvenster Verlenen.
   2. Selecteer Goedgekeurde client-app vereisen. Schakel alle andere selectievakjes uit, maar laat de configuratie Voor meerdere besturingselementen ingesteld op Alle geselecteerde besturingselementen vereisen.
   3. Kies Selecteren.

   

9. Selecteer onder Beleid inschakelen de optie Aan en selecteer vervolgens Maken.

Uw app-beveiligingsbeleid en voorwaardelijke toegang zijn nu ingesteld en kunnen worden getest.

Probeer het uit

Met het beleid dat u in deze zelfstudie hebt gemaakt, moeten apparaten zich registreren bij Intune en de mobiele Outlook-app gebruiken voordat het apparaat kan worden gebruikt voor toegang tot e-mail van Microsoft 365. Als u dit scenario op een iOS-apparaat wilt testen, probeert u zich aan te melden bij Exchange Online met behulp van referenties voor een gebruiker in uw testtenant.

1. Als u wilt testen op een iPhone, gaat u naar Instellingen>Wachtwoorden & Accounts>Account>Exchange toevoegen.

2. Voer het e-mailadres in voor een gebruiker in uw testtenant en druk op Volgende.

3. Druk op Aanmelden.

4. Voer het wachtwoord van de testgebruiker in en druk op Aanmelden.

5. Het bericht Meer informatie is vereist wordt weergegeven, wat betekent dat u wordt gevraagd om MFA in te stellen. Stel een extra verificatiemethode in.

6. Vervolgens ziet u een bericht met de mededeling dat u deze resource probeert te openen met een app die niet is goedgekeurd door uw IT-afdeling. Het bericht betekent dat u wordt geblokkeerd voor het gebruik van de systeemeigen e-mail-app. De aanmelding annuleren.

7. Open de Outlook-app en selecteer Instellingen>Account> toevoegenEmail account toevoegen.

8. Voer het e-mailadres in voor een gebruiker in uw testtenant en druk op Volgende.

9. Druk op Aanmelden met Office 365. U wordt gevraagd om aanvullende verificatie en registratie. Zodra u zich hebt aangemeld, kunt u acties testen, zoals knippen, kopiëren, plakken en Opslaan als.

Resources opschonen

Wanneer het testbeleid niet meer nodig is, kunt u ze verwijderen.

1. Meld u aan bij het Microsoft Intune-beheercentrum.

2. SelecteerApparatencompatibiliteit>.

3. Selecteer in de lijst Beleidsnaam het contextmenu (...) voor uw testbeleid en selecteer vervolgens Verwijderen. Selecteer OK om te bevestigen.

4. Ga naar Beleid voorvoorwaardelijke toegang> voor eindpuntbeveiliging>.

5. Selecteer in de lijst Beleidsnaam het contextmenu (...) voor elk van uw testbeleid en selecteer vervolgens Verwijderen. Selecteer Ja om te bevestigen.

Volgende stappen

In deze zelfstudie hebt u app-beveiligingsbeleid gemaakt om te beperken wat de gebruiker kan doen met de Outlook-app en hebt u beleid voor voorwaardelijke toegang gemaakt om de Outlook-app te vereisen en MFA te vereisen voor clients met moderne verificatie. Zie Meer informatie over voorwaardelijke toegang en Intune voor meer informatie over het gebruik van Intune met voorwaardelijke toegang om andere apps en services te beveiligen.