Partilhar via

Tutorial: Proteger o e-mail do Exchange Online em dispositivos iOS geridos com o Microsoft Intune

  • Artigo

Este tutorial demonstra como utilizar políticas de conformidade de dispositivos Microsoft com a política de Acesso Condicional do Microsoft Entra, para permitir que os dispositivos iOS acedam ao Exchange apenas quando são geridos pelo Intune e utilizam uma aplicação de e-mail aprovada.

Neste tutorial, você aprenderá a:

  • Criar uma política de conformidade do Intune para dispositivos iOS a fim de definir as condições que um dispositivo deve atender para ser considerado compatível.
  • Crie uma política de Acesso Condicional do Microsoft Entra que exija que os dispositivos iOS se inscrevam no Intune, cumpram as políticas do Intune e utilizem a aplicação outlook para dispositivos móveis aprovada para aceder ao e-mail do Exchange Online.

Pré-requisitos

Para este tutorial, recomendamos a utilização de subscrições de avaliação de não produção.

As subscrições de avaliação ajudam-no a evitar afetar um ambiente de produção com configurações erradas durante este tutorial. As avaliações também nos permitem utilizar apenas a conta que criou ao criar a subscrição de avaliação para configurar e gerir o Intune, uma vez que tem permissões para concluir cada tarefa para este tutorial. A utilização desta conta elimina a necessidade de criar e gerir contas administrativas como parte do tutorial.

Este tutorial requer um inquilino de teste com as seguintes subscrições:

Entrar no Intune

Neste tutorial, quando iniciar sessão no centro de administração do Microsoft Intune, inicie sessão com a conta que foi criada quando se inscreveu na subscrição de avaliação do Intune. Irá continuar a utilizar esta conta para iniciar sessão no centro de administração ao longo deste tutorial.

Criar um perfil de dispositivo de email

Este tutorial requer que crie um perfil de E-mail de dispositivo iOS/iPadOS. Para tal, siga as orientações no Passo 11 – Criar um perfil de dispositivo a partir da área Experimentar tarefas do Intune da documentação do Intune. O perfil de e-mail é utilizado para exigir que os dispositivos iOS/iPad utilizem o e-mail de trabalho.

Quando criar o perfil de e-mail, atribua o perfil ao mesmo grupo de dispositivos que utiliza mais tarde para a política de conformidade do dispositivo e as políticas de Acesso Condicional que criar nos passos subsequentes deste tutorial.

Depois de criar o perfil de e-mail, regresse aqui para continuar.

Criar a política de conformidade para o dispositivo iOS

Definir uma política de conformidade do Intune para dispositivos a fim de definir as condições que um dispositivo deve atender para ser considerado compatível. Neste tutorial, vamos criar uma política de conformidade de dispositivos para dispositivos iOS. As políticas de conformidade são específicas da plataforma, portanto, você precisa de uma política de conformidade separada para cada plataforma de dispositivo que deseja avaliar.

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecioneConformidade deDispositivos>.

  3. No separador Políticas , selecione Criar política.

  4. Na página Criar uma política , para Plataforma , selecione iOS/iPadOS. Selecione Criar para continuar.

  5. No separador Informações básicas , introduza as seguintes propriedades:

    • Nome: insira um nome descritivo para o novo perfil. Neste exemplo, introduza o teste da política de conformidade do iOS.
    • Descrição: Opcional – introduza o teste da política de conformidade do iOS.

    Selecione Avançar para continuar.

  6. No separador Definições de compatibilidade :

    1. Expanda e-mail e, em seguida, defina Não é possível configurar o e-mail no dispositivo como Exigir.

    2. Expanda Estado de Funcionamento do Dispositivo e defina Dispositivos desbloqueados por jailbreak como Bloquear.

    3. Expanda Segurança do Sistema e configure as seguintes definições:

      • Exigir uma palavra-passe para desbloquear dispositivos móveis para Exigir
      • Palavras-passe simples para Bloquear
      • Comprimento mínimo da palavra-passe para 4

      Dica

      Os valores padrão esmaecidos e em itálico são apenas recomendações. É necessário substituir os valores recomendados para definir uma configuração.

      • Tipo de palavra-passe necessário para Alfanumérico
      • Máximo de minutos após o bloqueio de ecrã antes de a palavra-passe ser necessária para Imediatamente
      • Expiração da palavra-passe (dias) para 41
      • Número de palavras-passe anteriores para impedir a reutilização para 5

    Para continuar, selecione Seguinte.

    Configuração da política de conformidade do iOS.

  7. Selecione Seguinte para ignorar Ações para não conformidade.

  8. No separador Atribuições , para Grupos incluídos, selecione Adicionar todos os dispositivos ou selecione um grupo que contenha apenas os dispositivos que devem receber esta política. Certifique-se de que utiliza a mesma atribuição que utilizou para o perfil do dispositivo de e-mail.

    Selecione Avançar para continuar.

  9. No separador Rever + criar , reveja as suas definições. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído.

Criar a política de Acesso Condicional

Em seguida, utilize o centro de administração do Microsoft Intune para criar uma política de Acesso Condicional. Pode integrar o Acesso Condicional com o Intune para ajudar a controlar os dispositivos e aplicações que podem ligar-se ao e-mail e aos recursos da sua organização.

A política de Acesso Condicional:

  • Exigir que os dispositivos que executam qualquer plataforma se inscrevam no Intune e que cumpram a política de conformidade do Intune antes de esses dispositivos poderem ser utilizados para aceder ao Exchange Online.
  • Exigir que os dispositivos utilizem a aplicação Outlook para acesso ao e-mail.

As políticas de Acesso Condicional são configuráveis no centro de administração do Microsoft Entra ou no centro de administração do Microsoft Intune. Uma vez que já estamos no centro de administração, podemos criar a política aqui.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Segurança >de ponto finalAcesso> CondicionalCriar nova política.

  3. Em Nome, insira Política de teste para email do Microsoft 365.

  4. Em Atribuições, para Utilizadores, selecione 0 utilizadores e grupos selecionados. No separador Incluir , selecione Todos os utilizadores. O valor das atualizações de Utilizadores para Todos os utilizadores.

  5. Também em Atribuições, selecione Recursos de destino. Para Selecionar o que esta política se aplica ao menu pendente, selecione Aplicações na cloud.

    Em seguida, uma vez que queremos proteger o e-mail do Microsoft 365 Exchange Online , selecione essa aplicação seguindo estes passos:

    1. Na guia Incluir, escolha Selecionar aplicativos.
    2. Para a categoria Selecionar , selecione Nenhum para abrir o painel Selecionar com a respetiva lista de aplicações.
    3. Na lista de aplicações, selecione a caixa de verificação do Office 365 Exchange Online e, em seguida, selecione Selecionar.

    Selecione Office 365 Exchange Online para adicionar à política.

  6. Também em Atribuições, selecione Condições>Plataformas de dispositivos para abrir o painel Plataformas de dispositivos .

    1. Defina Configurar como Sim.
    2. Na guia Incluir, selecione Todos os dispositivos e, em seguida, Concluído.

    Configurar as plataformas de dispositivos

  7. Mais uma vez, em Atribuições, selecione Condições>Aplicações do cliente.

    1. Defina Configurar como Sim.

    2. Neste tutorial, selecione Aplicações móveis e clientes de ambiente de trabalho, parte dos clientes de autenticação Moderna (que se refere a aplicações como o Outlook para iOS e o Outlook para Android). Desmarque todas as outras caixas de seleção.

    3. Selecione Concluído e, em seguida, Concluído novamente.

    Selecione aplicações e clientes como condições para a política.

  8. Em Controles de acesso, selecione Conceder.

    1. No painel Conceder, selecione Conceder acesso.

    2. Selecione Exigir que o dispositivo seja marcado como em conformidade.

    3. Selecione Exigir aplicativo cliente aprovado.

    4. Em Para vários controles, selecione Exigir todos os controles selecionados. Essa configuração garante que os dois requisitos selecionados sejam aplicados quando um dispositivo tentar acessar o email.

    5. Escolha Selecionar.

    Selecionar controles

  9. Em Habilitar política, selecione Ativado.

    Para ativar a política, defina o controlo de deslize Ativar política como Ativado.

  10. Selecione Criar para guardar as alterações. O perfil está atribuído.

Observação

Alguns serviços dependentes, como o Microsoft Teams, integram-se com recursos do Exchange Online e são regidos pela imposição de Políticas vinculadas antecipadamente. Consequentemente, os utilizadores têm de cumprir as políticas do Exchange antes de iniciarem sessão no Microsoft Teams.

Se tiver uma Política de Acesso Condicional que restrinja pedidos de autenticação para recursos do Exchange Online, os utilizadores têm de cumprir os requisitos da Política do Exchange antes de iniciarem sessão no Teams. O não cumprimento destas políticas afeta a capacidade de iniciar sessão no Teams.

Para obter mais informações, veja a documentação da Microsoft sobre dependências de serviço e imposição de políticas.

Experimente

Com as políticas que criou, qualquer dispositivo iOS que tente iniciar sessão no e-mail do Microsoft 365 tem de se inscrever no Intune e utilizar a aplicação Outlook para dispositivos móveis para iOS/iPadOS. Para testar esse cenário em um dispositivo iOS, tente entrar no Exchange Online usando credenciais para um usuário em seu locatário de teste. É-lhe pedido para inscrever o dispositivo e instalar a aplicação Outlook para dispositivos móveis.

  1. Para testar em um iPhone, acesse Ajustes>Senhas e Contas>Adicionar Conta>Exchange.

  2. Digite o endereço de email de um usuário em seu locatário de teste e, em seguida, pressione Avançar.

  3. Pressione Entrar.

  4. Insira a senha do usuário de teste e pressione Entrar.

  5. É exibida uma mensagem informando que seu dispositivo deve ser gerenciado para acessar o recurso, com uma opção para se inscrever.

Limpe os recursos

Quando as políticas de teste não forem mais necessárias, é possível removê-las.

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecioneConformidade deDispositivos>.

  3. Na lista Nome da política, selecione o menu de contexto (...) da política de teste e, em seguida, selecione Eliminar. Selecione OK para confirmar.

  4. SelecionePolíticas deacesso> condicional de segurança> de ponto final.

  5. Na lista Nome da política, selecione o menu de contexto (...) da política de teste e, em seguida, selecione Eliminar. Selecione Sim para confirmar.

Próximas etapas

Neste tutorial, você criou políticas que exigem que os dispositivos iOS se inscrevam no Intune e usem o aplicativo do Outlook para acessar o email do Exchange Online. Aprenda a usar o Intune com Acesso Condicional para proteger outros aplicativos e serviços, incluindo clientes do Exchange ActiveSync para o Exchange Online do Microsoft 365, em Configurar Acesso Condicional.