Samouczek: ochrona poczty e-mail Exchange Online na urządzeniach zarządzanych przy użyciu Microsoft Intune

W tym samouczku pokazano, jak używać zasad zgodności urządzeń firmy Microsoft z Microsoft Entra zasad dostępu warunkowego, aby zezwolić urządzeniom z systemem iOS na dostęp do programu Exchange tylko wtedy, gdy są one zarządzane przez usługę Intune i używają zatwierdzonej aplikacji poczty e-mail.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

• Utwórz zasady zgodności urządzeń z systemem iOS w usłudze Intune, aby ustawić warunki, które urządzenie musi spełniać, aby było uznawane za zgodne.
• Utwórz zasady dostępu warunkowego Microsoft Entra, które wymagają, aby urządzenia z systemem iOS rejestrowały się w usłudze Intune, były zgodne z zasadami usługi Intune i korzystały z zatwierdzonej aplikacji mobilnej Outlook w celu uzyskania dostępu do Exchange Online poczty e-mail.

Wymagania wstępne

Do tego samouczka potrzebna jest dzierżawa testowa z następującymi subskrypcjami:

• Microsoft Intune subskrypcji planu 1 (utwórz konto bezpłatnej wersji próbnej)
• Tożsamość Microsoft Entra P1 (bezpłatna wersja próbna)
• Subskrypcja aplikacji Microsoft 365 dla firm obejmująca program Exchange (bezpłatna wersja próbna)

Logowanie się do usługi Intune

Zaloguj się do centrum administracyjnego Microsoft Intune jako administrator globalny lub administrator usługi Intune. Jeśli masz subskrypcję wersji próbnej usługi Intune, konto, za pomocą których utworzono subskrypcję, jest administrator globalny.

Tworzenie profilu urządzenia poczty e-mail

Ten samouczek wymaga utworzenia profilu Email urządzenia z systemem iOS/iPadOS. Aby to zrobić, postępuj zgodnie ze wskazówkami w kroku 11 — tworzenie profilu urządzenia z obszaru Zadania usługi Try Intune w dokumentacji usługi Intune. Profil poczty e-mail służy do wymagania używania służbowej poczty e-mail przez urządzenia z systemem iOS/iPad.

Podczas tworzenia profilu poczty e-mail przypisz profil do tej samej grupy urządzeń, których użyjesz później dla zasad zgodności urządzeń i zasad dostępu warunkowego utworzonych w kolejnych krokach tego samouczka.

Po utworzeniu profilu poczty e-mail wróć tutaj, aby kontynuować.

Tworzenie zasad zgodności urządzeń z systemem iOS

Skonfiguruj zasady zgodności urządzeń usługi Intune, aby ustawić warunki, które urządzenie musi spełnić, aby było uznawane za zgodne. W tym samouczku utworzymy zasady zgodności urządzeń z systemem iOS. Zasady zgodności są specyficzne dla platformy, dlatego potrzebne są oddzielne zasady zgodności dla każdej platformy urządzeń, którą chcesz ocenić.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Zgodność urządzeń>.

3. Na karcie Zasady wybierz pozycję Utwórz zasady.

4. Na stronie Tworzenie zasad w obszarze Platforma wybierz pozycję iOS/iPadOS. Wybierz pozycję Utwórz , aby kontynuować.

5. Na karcie Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę nowego profilu. W tym przykładzie wprowadź test zasad zgodności systemu iOS.
   • Opis: Opcjonalnie — wprowadź test zasad zgodności systemu iOS.

   Wybierz przycisk Dalej, aby kontynuować.

6. Na karcie Ustawienia zgodności :

   1. Rozwiń Email, a następnie ustaw opcję Nie można skonfigurować poczty e-mail na urządzeniu na wartość Wymagaj.

   2. Rozwiń pozycję Kondycja urządzenia i ustaw opcję Urządzenia ze zdjętymi zabezpieczeniami systemu na Wartość Blokuj.

   3. Rozwiń węzeł Zabezpieczenia systemu i skonfiguruj następujące ustawienia:

      • Wymagaj hasła do odblokowania urządzeń przenośnych , aby wymagać
      • Proste hasła do zablokowania
      • Minimalna długość hasła do 4

      Porada

      Wartości domyślne, które są wyszarzone i kursywą, to tylko zalecenia. Aby skonfigurować ustawienie, należy zastąpić wartości, które są zaleceniami.

      • Wymagany typ hasła do alfanumeryczne
      • Maksymalna liczba minut po zablokowaniu ekranu, zanim hasło będzie wymaganenatychmiast
      • Wygaśnięcie hasła (dni) do 41
      • Liczba poprzednich haseł, aby zapobiec ponownemu użyciu do 5

   Aby kontynuować, wybierz pozycję Dalej.

   

7. Wybierz pozycję Dalej , aby pominąć akcje w przypadku niezgodności.

8. Na karcie Przypisania w obszarze Uwzględnione grupy wybierz pozycję Dodaj wszystkie urządzenia lub wybierz grupę zawierającą tylko te urządzenia, które powinny otrzymać te zasady. Pamiętaj, aby użyć tego samego przypisania, które zostało użyte dla profilu urządzenia poczty e-mail.

   Wybierz przycisk Dalej, aby kontynuować.

9. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany.

Tworzenie zasad dostępu warunkowego

Następnie użyj centrum administracyjnego Microsoft Intune, aby utworzyć zasady dostępu warunkowego. Dostęp warunkowy można zintegrować z usługą Intune , aby ułatwić kontrolowanie urządzeń i aplikacji, które mogą łączyć się z pocztą e-mail i zasobami organizacji.

Zasady dostępu warunkowego:

• Wymagaj, aby urządzenia z dowolną platformą rejestrowały się w usłudze Intune i były zgodne z zasadami zgodności usługi Intune, zanim te urządzenia będą mogły uzyskiwać dostęp do Exchange Online.
• Wymagaj, aby urządzenia korzystały z aplikacji Outlook w celu uzyskania dostępu do poczty e-mail.

Zasady dostępu warunkowego można skonfigurować w centrum administracyjne Microsoft Entra lub w centrum administracyjnym Microsoft Intune. Ponieważ jesteśmy już w centrum administracyjnym, możemy utworzyć zasady tutaj.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Dostęp >warunkowyzabezpieczeń> punktu końcowegoUtwórz nowe zasady.

3. W polu Nazwa wprowadź zasady testowania dla poczty e-mail platformy Microsoft 365.

4. W obszarze Przypisania w polu Użytkownicy wybierz 0 wybranych użytkowników i grup. Na karcie Dołączanie wybierz pozycję Wszyscy użytkownicy. Wartość dla pozycji Użytkownicy jest aktualizowana dla wszystkich użytkowników.

5. Również w obszarze Przypisania wybierz pozycję Zasoby docelowe. W obszarze Wybierz, co te zasady mają zastosowanie do listy rozwijanej, wybierz pozycję Aplikacje w chmurze.

   Następnie, ponieważ chcemy chronić Exchange Online e-mail platformy Microsoft 365, wybierz tę aplikację, wykonując następujące kroki:

   1. Na karcie Dołączanie wybierz pozycję Wybierz aplikacje.
   2. W polu Wybierz kategorię wybierz pozycję Brak , aby otworzyć okienko Wybierz z listą aplikacji.
   3. Z listy aplikacji zaznacz pole wyboru Office 365 Exchange Online, a następnie wybierz pozycję Wybierz.

   

6. Również w obszarze Przypisania wybierz pozycję Warunki>Platformy urządzeń , aby otworzyć okienko Platformy urządzeń .

   1. Ustaw pozycję Konfiguruj na wartość Tak.
   2. Na karcie Dołączanie wybierz pozycję Dowolne urządzenie, a następnie wybierz pozycję Gotowe.

   

7. Ponownie w obszarze Przypisania wybierz pozycję Warunki>Aplikacje klienckie.

   1. Ustaw pozycję Konfiguruj na wartość Tak.

   2. W tym samouczku wybierz pozycję Aplikacje mobilne i klienci klasyczni, część klientów nowoczesnego uwierzytelniania (która odnosi się do aplikacji, takich jak Outlook dla systemów iOS i Outlook dla systemu Android). Usuń zaznaczenia wszystkich pozostałych pól wyboru.

   3. Wybierz pozycję Gotowe, a następnie ponownie wybierz pozycję Gotowe.

   

8. W obszarze Kontrole dostępu wybierz pozycję Udziel.

   1. W okienku Udzielanie wybierz pozycję Udziel dostępu.

   2. Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.

   3. Wybierz pozycję Wymagaj zatwierdzonej aplikacji klienckiej.

   4. W obszarze W przypadku wielu kontrolek wybierz pozycję Wymagaj wszystkich wybranych kontrolek. To ustawienie zapewnia, że obydwa wybrane wymagania są wymuszane, gdy urządzenie próbuje uzyskać dostęp do poczty e-mail.

   5. Zaznacz pozycję Wybierz.

   

9. W obszarze Włącz zasady wybierz pozycję Włączone.

   

10. Wybierz pozycję Utwórz , aby zapisać zmiany. Profil jest przypisany.

Wypróbuj to

Po utworzeniu zasad każde urządzenie z systemem iOS, które próbuje zalogować się do poczty e-mail platformy Microsoft 365, musi zarejestrować się w usłudze Intune i korzystać z aplikacji mobilnej Outlook dla systemu iOS/iPadOS. Aby przetestować ten scenariusz w urządzeniu z systemem iOS, zaloguj się do usługi Exchange Online przy użyciu poświadczeń dla użytkownika w dzierżawie testowej. Zostanie wyświetlony monit o zarejestrowanie urządzenia i zainstalowanie aplikacji mobilnej Outlook.

1. Aby przetestować na telefonie iPhone, przejdź do pozycji Ustawienia>Hasła i konta>Dodaj konto>Exchange.

2. Wprowadź adres e-mail użytkownika w dzierżawie testowej, a następnie wybierz pozycję Dalej.

3. Wybierz pozycję Zaloguj się.

4. Wprowadź hasło użytkownika testowego i wybierz pozycję Zaloguj się.

5. Zostanie wyświetlony komunikat z informacją, że urządzenie musi być zarządzane w celu uzyskania dostępu do zasobu wraz z opcją rejestracji.

Czyszczenie zasobów

Gdy zasady testowe nie są już potrzebne, można je usunąć.

1. Zaloguj się do centrum administracyjnego Microsoft Intune jako administrator globalny lub administrator usługi Intune.

2. Wybierz pozycję Zgodność urządzeń>.

3. Na liście Nazwa zasad wybierz menu kontekstowe (...) dla zasad testowych, a następnie wybierz pozycję Usuń. Wybierz przycisk OK, aby potwierdzić.

4. Wybierz pozycjęZasadydostępu> warunkowego zabezpieczeń> punktu końcowego.

5. Na liście Nazwa zasad wybierz menu kontekstowe (...) dla zasad testowych, a następnie wybierz pozycję Usuń. Wybierz pozycję Tak, aby potwierdzić.

Następne kroki

W tym samouczku utworzono zasady, które wymagają zarejestrowania urządzeń z systemem iOS w usłudze Intune i uzyskiwania dostępu do Exchange Online poczty e-mail przy użyciu aplikacji Outlook. Aby dowiedzieć się więcej na temat korzystania z usługi Intune z dostępem warunkowym w celu ochrony innych aplikacji i usług, w tym klientów Exchange ActiveSync dla Exchange Online platformy Microsoft 365, zobacz Konfigurowanie dostępu warunkowego.