Udostępnij przez

Samouczek: ochrona poczty e-mail Exchange Online na urządzeniach niezarządzanych przy użyciu Microsoft Intune

  • Artykuł

W tym samouczku pokazano, jak używać zasad ochrony aplikacji Microsoft Intune z dostępem warunkowym Microsoft Entra w celu ochrony dostępu do Exchange Online. Ta ochrona uniemożliwia dostęp do programu Exchange użytkownikom korzystającym z niezarządzanego urządzenia lub aplikacji innej niż aplikacja mobilna Outlook w celu uzyskania dostępu do poczty e-mail platformy Microsoft 365. Wyniki tych zasad mają zastosowanie, gdy urządzenia nie są zarejestrowane w rozwiązaniu do zarządzania urządzeniami, takim jak usługa Intune.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie zasad ochrony aplikacji usługi Intune na potrzeby aplikacji Outlook. Ograniczysz możliwości użytkownika dotyczące danych aplikacji, uniemożliwiając zapisywanie jako i ograniczając akcje wycinania, kopiowania i wklejania .
  • Utwórz Microsoft Entra zasad dostępu warunkowego, które zezwalają tylko aplikacji Outlook na dostęp do firmowej poczty e-mail w Exchange Online. Będziesz również wymagać uwierzytelniania wieloskładnikowego (MFA) w przypadku klientów z nowoczesnym uwierzytelnianiem, takich jak program Outlook dla systemów iOS i Android.

Wymagania wstępne

Do ukończenia tego samouczka potrzebna jest dzierżawa testowa z następującymi subskrypcjami na potrzeby tego samouczka:

Logowanie się do usługi Intune

W tym samouczku po zalogowaniu się do centrum administracyjnego Microsoft Intune zaloguj się jako administrator globalny lub administrator usługi Intune. Jeśli utworzono subskrypcję wersji próbnej usługi Intune to konto, którego użyto do utworzenia subskrypcji, jest administratorem globalnym.

Tworzenie zasad ochrony aplikacji

W tym samouczku skonfigurujemy zasady ochrony aplikacji usługi Intune dla systemu iOS dla aplikacji Outlook w celu wprowadzenia ochrony na poziomie aplikacji. Do otwarcia aplikacji w kontekście służbowym będziemy wymagać kodu PIN. Ograniczymy również udostępnianie danych między aplikacjami i uniemożliwimy zapisywanie danych firmowych w lokalizacji prywatnej.

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycję Aplikacje>Ochrona aplikacji zasady>Utwórz zasady, a następnie wybierz pozycję iOS/iPadOS.

  3. Na stronie Podstawy skonfiguruj następujące ustawienia:

    • Nazwa: wprowadź wartość Test zasad aplikacji Outlook.
    • Opis: wprowadź Test zasad aplikacji Outlook.

    Wartość Platforma została ustawiona w poprzednim kroku, wybierając pozycję iOS/iPadOS.

    Wybierz przycisk Dalej, aby kontynuować.

  4. Na stronie Aplikacje wybierasz aplikacje zarządzane przez te zasady. W tym samouczku dodamy tylko program Microsoft Outlook:

    1. Upewnij się , że dla zasad docelowych ustawiono opcję Wybrane aplikacje.

    2. Wybierz pozycję + Wybierz aplikacje publiczne , aby otworzyć okienko Wybierz aplikacje do docelowego . Następnie z listy Aplikacje wybierz pozycję Microsoft Outlook , aby dodać ją do listy Wybrane aplikacje . Możesz wyszukać aplikację według identyfikatora pakietu lub nazwy. Wybierz pozycję Wybierz , aby zapisać wybór aplikacji.

      Znajdź i dodaj program Microsoft Outlook jako aplikację publiczną dla tych zasad.

      Okienko Wybieranie aplikacji do docelowego zostanie zamknięte, a program Microsoft Outlook pojawi się teraz w obszarze Aplikacje publiczne na stronie Aplikacje.

      Program Outlook został dodany do listy aplikacji publicznych dla tych zasad.

    Wybierz przycisk Dalej, aby kontynuować.

  5. Na stronie Ochrona danych skonfigurujesz ustawienia określające sposób interakcji użytkowników z danymi podczas korzystania z aplikacji chronionych przez te zasady ochrony aplikacji. Skonfiguruj następujące opcje:

    W kategorii Transfer danych skonfiguruj następujące ustawienia i pozostaw wszystkie inne ustawienia na wartościach domyślnych:

    • Wysyłanie danych organizacji do innych aplikacji — z listy rozwijanej wybierz pozycję Brak.
    • Odbieranie danych z innych aplikacji — z listy rozwijanej wybierz pozycję Brak.
    • Ogranicz wycinanie, kopiowanie i wklejanie między innymi aplikacjami — z listy rozwijanej wybierz pozycję Zablokowane.

    Wybierz ustawienia relokacji danych zasad ochrony aplikacji Outlook.

    Wybierz przycisk Dalej, aby kontynuować.

  6. Strona Wymagania dotyczące dostępu zawiera ustawienia umożliwiające konfigurowanie wymagań dotyczących numeru PIN i poświadczeń, które użytkownicy muszą spełnić, zanim będą mogli uzyskać dostęp do chronionych aplikacji w kontekście służbowym. Skonfiguruj następujące ustawienia, pozostawiając dla wszystkich pozostałych ustawień wartości domyślne:

    • W obszarze Kod PIN na potrzeby dostępu wybierz pozycję Wymagaj.
    • W obszarze Poświadczenia konta służbowego na potrzeby dostępu wybierz pozycję Wymagaj.

    Wybierz akcje dostępu zasad ochrony aplikacji Outlook.

    Wybierz przycisk Dalej, aby kontynuować.

  7. Na stronie Uruchamianie warunkowe skonfigurujesz wymagania dotyczące zabezpieczeń logowania dla tych zasad ochrony aplikacji. W tym samouczku nie trzeba konfigurować tych ustawień.

    Wybierz przycisk Dalej, aby kontynuować.

  8. Na stronie Przypisania są przypisywane zasady ochrony aplikacji do grup użytkowników. W tym samouczku nie przypiszemy tych zasad do grupy.

    Wybierz przycisk Dalej, aby kontynuować.

  9. Na stronie Następne: Przejrzyj i utwórz przejrzyj wartości i ustawienia wprowadzone dla tych zasad ochrony aplikacji. Wybierz pozycję Utwórz , aby utworzyć zasady ochrony aplikacji w usłudze Intune.

Zostały utworzone zasady ochrony aplikacji dla programu Outlook. Następnie skonfigurujesz dostęp warunkowy, aby urządzenia musiały korzystać z aplikacji Outlook.

Tworzenie zasad dostępu warunkowego

Następnie użyj centrum administracyjnego Microsoft Intune, aby utworzyć dwie zasady dostępu warunkowego w celu objęcia wszystkich platform urządzeń. Dostęp warunkowy można zintegrować z usługą Intune , aby ułatwić kontrolowanie urządzeń i aplikacji, które mogą łączyć się z pocztą e-mail i zasobami organizacji.

  • Pierwsze zasady wymagają, aby klienci nowoczesnego uwierzytelniania korzystali z zatwierdzonej aplikacji Outlook i uwierzytelniania wieloskładnikowego (MFA). Klienci z nowoczesnym uwierzytelnianiem to m.in. programy Outlook dla systemu iOS i Outlook dla systemu Android.

  • Drugie zasady wymagają, aby klienci Exchange ActiveSync korzystali z zatwierdzonej aplikacji Outlook. (Obecnie program Exchange Active Sync nie obsługuje warunków innych niż platforma urządzenia). Zasady dostępu warunkowego można skonfigurować w centrum administracyjne Microsoft Entra lub użyć centrum administracyjnego Microsoft Intune, które przedstawia interfejs użytkownika dostępu warunkowego z Microsoft Entra. Ponieważ jesteśmy już w centrum administracyjnym, możemy utworzyć zasady tutaj.

Podczas konfigurowania zasad dostępu warunkowego w centrum administracyjnym Microsoft Intune naprawdę konfigurujesz te zasady w blokach Dostępu warunkowego z Azure Portal. W związku z tym interfejs użytkownika jest nieco inny niż interfejs używany dla innych zasad usługi Intune.

Tworzenie zasad usługi MFA dla klientów z nowoczesnym uwierzytelnianiem

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycję Dostęp >warunkowyzabezpieczeń> punktu końcowegoUtwórz nowe zasady.

  3. W polu Nazwa wprowadź frazęTestowe zasady dla klientów z nowoczesnym uwierzytelnianiem.

  4. W obszarze Przypisania w polu Użytkownicy wybierz 0 wybranych użytkowników i grup. Na karcie Dołączanie wybierz pozycję Wszyscy użytkownicy. Wartość dla pozycji Użytkownicy jest aktualizowana dla wszystkich użytkowników.

    Rozpocznij konfigurację zasad dostępu warunkowego.

  5. W obszarze Przypisania w obszarze Zasoby docelowe wybierz pozycję Nie wybrano żadnych zasobów docelowych. Upewnij się, że ustawienie Wybierz, do czego mają zastosowanie te zasady , jest ustawione na aplikacje w chmurze. Ponieważ chcemy chronić Exchange Online wiadomości e-mail usługi Microsoft 365, wybierz ją, wykonując następujące kroki:

    1. Na karcie Dołączanie wybierz pozycję Wybierz aplikacje.
    2. W obszarze Wybierz kliknij pozycję Brak , aby otworzyć okienko Wybierz aplikacje w chmurze.
    3. Z listy aplikacji zaznacz pole wyboru Office 365 Exchange Online, a następnie wybierz pozycję Wybierz.
    4. Wybierz pozycję Gotowe, aby wrócić do okienka nowych zasad.

    Wybierz aplikację Office 365 Exchange Online.

  6. W obszarze Przypisania w obszarze Warunki wybierz pozycję 0 wybranych warunków, a następnie w obszarze Platformy urządzeń wybierz pozycję Nie skonfigurowano , aby otworzyć okienko Platformy urządzeń:

    1. Ustaw przełącznik Konfiguruj na wartość Tak.
    2. Na karcie Dołączanie wybierz pozycję Wybierz platformy urządzeń, a następnie zaznacz pola wyboru dla systemów Android i iOS.
    3. Wybierz pozycję Gotowe , aby zapisać konfigurację platformy urządzenia.

  7. Pozostań w okienku Warunki i wybierz pozycję Nie skonfigurowano dla aplikacji klienckich , aby otworzyć okienko Aplikacje klienckie:

    1. Ustaw przełącznik Konfiguruj na wartość Tak.
    2. Zaznacz pola wyboru dla aplikacji mobilnych i klientów klasycznych.
    3. Usuń zaznaczenia pozostałych pól wyboru.
    4. Wybierz pozycję Gotowe, aby wrócić do okienka nowych zasad.

    Wybierz pozycję Aplikacje mobilne i klienci.

  8. W obszarze Kontrola dostępu w polu Udziel wybierz 0 wybranych warunków, a następnie:

    1. W okienku Udzielanie wybierz pozycję Udziel dostępu.
    2. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego.
    3. Wybierz pozycję Wymagaj zatwierdzonej aplikacji klienckiej.
    4. Dla wielu kontrolek ustaw opcję Wymagaj wszystkich wybranych kontrolek. To ustawienie zapewnia, że obydwa wybrane wymagania są wymuszane, gdy urządzenie próbuje uzyskać dostęp do poczty e-mail.
    5. Wybierz pozycję Wybierz , aby zapisać konfigurację udzielania.

    Wybierz kontrolki dostępu.

  9. W obszarze Włącz zasady wybierz opcjęWłącz, a następnie wybierz pozycję Utwórz.

    Tworzenie zasad.

Zostały utworzone zasady dostępu warunkowego dla klientów z nowoczesnym uwierzytelnianiem. Teraz możesz utworzyć zasady dla klientów programu Exchange Active Sync.

Tworzenie zasad dla klientów programu Exchange Active Sync

Proces konfigurowania tych zasad jest podobny do poprzednich zasad dostępu warunkowego:

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycję Dostęp >warunkowyzabezpieczeń> punktu końcowegoUtwórz nowe zasady.

  3. W polu Nazwa wprowadź frazę Testowe zasady do obsługi klientów programu EAS.

  4. W obszarze Przypisania w polu Użytkownicy wybierz 0 użytkowników i grupy. Na karcie Dołączanie wybierz pozycję Wszyscy użytkownicy.

  5. W obszarze Przypisania w obszarze Zasoby docelowe wybierz pozycję Nie wybrano żadnych zasobów docelowych. Upewnij się, że opcja Wybierz, do czego mają zastosowanie te zasady, jest ustawiona na aplikacje w chmurze, a następnie skonfiguruj usługę Microsoft 365 Exchange Online poczty e-mail, wykonując następujące kroki:

    1. Na karcie Dołączanie wybierz pozycję Wybierz aplikacje.
    2. W obszarze Wybierz wybierz pozycję Brak.
    3. Z listy Aplikacje w chmurze zaznacz pole wyboru Office 365 Exchange Online, a następnie wybierz pozycję Wybierz.

  6. W obszarze Przypisania otwórz pozycję Warunki>Platformy urządzeń, a następnie:

    1. Ustaw przełącznik Konfiguruj na wartość Tak.
    2. Na karcie Dołączanie wybierz pozycję Dowolne urządzenie, a następnie wybierz pozycję Gotowe.

  7. Pozostań w okienku Warunki , rozwiń pozycję Aplikacje klienckie, a następnie:

    1. Ustaw przełącznik Konfiguruj na wartość Tak.
    2. Wybierz pozycję Aplikacje mobilne i klienci stacjonarni.
    3. Wybierz pozycję klienci programu Exchange ActiveSync.
    4. Usuń zaznaczenia wszystkich pozostałych pól wyboru.
    5. Wybierz pozycję Gotowe.

    Zastosuj do obsługiwanych platform.

  8. W obszarze Kontrola dostępu rozwiń węzeł Udziel , a następnie:

    1. W okienku Udzielanie wybierz pozycję Udziel dostępu.
    2. Wybierz pozycję Wymagaj zatwierdzonej aplikacji klienckiej. Wyczyść wszystkie inne pola wyboru, ale pozostaw konfigurację Dla wielu kontrolek ustawioną na Wymagaj wszystkich wybranych kontrolek.
    3. Zaznacz pozycję Wybierz.

    Wymagaj zatwierdzonej aplikacji klienckiej.

  9. W obszarze Włącz zasady wybierz opcjęWłącz, a następnie wybierz pozycję Utwórz.

Zasady ochrony aplikacji i dostęp warunkowy zostały teraz utworzone i są gotowe do testowania.

Wypróbuj to

Dzięki zasadom utworzonym w tym samouczku urządzenia muszą zostać zarejestrowane w usłudze Intune i korzystać z aplikacji mobilnej Outlook, aby można było użyć urządzenia do uzyskiwania dostępu do poczty e-mail platformy Microsoft 365. Aby przetestować ten scenariusz w urządzeniu z systemem iOS, zaloguj się do usługi Exchange Online przy użyciu poświadczeń dla użytkownika w dzierżawie testowej.

  1. Aby przetestować na telefonie iPhone, przejdź do pozycji Ustawienia>Hasła i konta>Dodaj konto>Exchange.

  2. Wprowadź adres e-mail użytkownika w dzierżawie testowej, a następnie wybierz pozycję Dalej.

  3. Wybierz pozycję Zaloguj się.

  4. Wprowadź hasło użytkownika testowego i wybierz pozycję Zaloguj się.

  5. Zostanie wyświetlony komunikat Wymagane dalsze informacje oznaczający, że należy skonfigurować usługę MFA. Skonfiguruj dodatkową metodę weryfikacji.

  6. Następnie zobaczysz komunikat informujący, że próbujesz otworzyć ten zasób przy użyciu aplikacji, która nie została zatwierdzona przez dział IT. Ten komunikat oznacza, że możliwość korzystania z natywnej aplikacji poczty jest blokowana. Anuluj logowanie.

  7. Otwórz aplikację Outlook i wybierz pozycję Ustawienia>Dodaj konto>Dodaj konto e-mail.

  8. Wprowadź adres e-mail użytkownika w dzierżawie testowej, a następnie wybierz pozycję Dalej.

  9. Naciśnij pozycję Zaloguj się przy użyciu usługi Office 365. Zostanie wyświetlony monit o dodatkowe uwierzytelnienie i rejestrację. Po zalogowaniu możesz przetestować akcje, takie jak wycinanie, kopiowanie, wklejanie i zapisywanie jako.

Czyszczenie zasobów

Gdy zasady testowe nie są już potrzebne, można je usunąć.

  1. Zaloguj się do centrum administracyjnego Microsoft Intune.

  2. Wybierz pozycję Zgodność urządzeń>.

  3. Na liście Nazwa zasad wybierz menu kontekstowe (...) dla zasad testowych, a następnie wybierz pozycję Usuń. Wybierz przycisk OK, aby potwierdzić.

  4. Przejdź do pozycji Zasady dostępu >warunkowegozabezpieczeń> punktu końcowego.

  5. Z listy Nazwa zasad wybierz menu kontekstowe (...) dla każdej z zasad testowych, a następnie wybierz pozycję Usuń. Wybierz pozycję Tak, aby potwierdzić.

Następne kroki

W tym samouczku utworzono zasady ochrony aplikacji, aby ograniczyć czynności, które użytkownik może wykonać w aplikacji Outlook. Utworzono również zasady dostępu warunkowego, aby wymagać użycia aplikacji Outlook i usługi MFA w przypadku nowoczesnych klientów uwierzytelniania. Aby dowiedzieć się więcej o ochronie innych aplikacji i usług za pomocą usługi Intune z dostępem warunkowym, zobacz artykuł Dowiedz się więcej o dostępie warunkowym i usłudze Intune.