Share via

Tutorial: Proteger Exchange Online email em dispositivos gerenciados com Microsoft Intune

  • Artigo

Este tutorial demonstra como usar políticas de conformidade de dispositivo da Microsoft com Microsoft Entra política de acesso condicional, para permitir que dispositivos iOS acessem o Exchange somente quando eles são gerenciados pelo Intune e usar um aplicativo de email aprovado.

Neste tutorial, você aprenderá a:

  • Criar uma política de conformidade do Intune para dispositivos iOS a fim de definir as condições que um dispositivo deve atender para ser considerado compatível.
  • Crie uma política de acesso condicional Microsoft Entra que exige que dispositivos iOS se registrem no Intune, cumpram as políticas do Intune e usem o aplicativo móvel aprovado do Outlook para acessar Exchange Online email.

Pré-requisitos

Você precisa de um locatário de teste com as seguintes assinaturas para este tutorial:

Entrar no Intune

Entre no centro de administração Microsoft Intune como um Administrador global ou um administrador do Serviço do Intune. Se você tiver uma assinatura de Avaliação do Intune, a conta com a qual você criou a assinatura será a Administrador global.

Criar um perfil de dispositivo de email

Este tutorial exige que você crie um perfil de Email de dispositivo iOS/iPadOS. Para fazer isso, siga as diretrizes na Etapa 11 – Criar um perfil de dispositivo na área Desativar tarefas do Intune da documentação do Intune. O perfil de email é usado para exigir que dispositivos iOS/iPad usem email de trabalho.

Ao criar o perfil de email, atribua o perfil ao mesmo grupo de dispositivos que você usa posteriormente para a política de conformidade do dispositivo e as políticas de acesso condicional que você cria nas etapas subsequentes deste tutorial.

Depois de criar o perfil de email, retorne aqui para continuar.

Criar a política de conformidade para o dispositivo iOS

Definir uma política de conformidade do Intune para dispositivos a fim de definir as condições que um dispositivo deve atender para ser considerado compatível. Para este tutorial, criamos uma política de conformidade de dispositivo para dispositivos iOS. As políticas de conformidade são específicas da plataforma, portanto, você precisa de uma política de conformidade separada para cada plataforma de dispositivo que deseja avaliar.

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecioneConformidadede dispositivos>.

  3. Na guia Políticas , escolha Criar política.

  4. Na página Criar uma política , para Plataforma , selecione iOS/iPadOS. Selecione Criar para continuar.

  5. Na guia Noções básicas, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o novo perfil. Para este exemplo, insira o teste de política de conformidade do iOS.
    • Descrição: Opcional – Insira o teste de política de conformidade do iOS.

    Selecione Avançar para continuar.

  6. Na guia Configurações de conformidade :

    1. Expanda Email e defina Não é possível configurar o email no dispositivo como Obrigatório.

    2. Expanda a integridade do dispositivo e defina dispositivos Jailbroken como Bloquear.

    3. Expanda a Segurança do Sistema e configure as seguintes configurações:

      • Exigir uma senha para desbloquear dispositivos móveis para exigir
      • Senhas simples para Bloquear
      • Tamanho mínimo da senha para 4

      Dica

      Os valores padrão esmaecidos e em itálico são apenas recomendações. É necessário substituir os valores recomendados para definir uma configuração.

      • Tipo de senha necessário para Alphanumeric
      • Máximo de minutos após o bloqueio de tela antes que a senha seja necessária para Imediatamente
      • Expiração de senha (dias) para 41
      • Número de senhas anteriores para impedir a reutilização para 5

    Para continuar, selecione Avançar.

    Configuração da política de conformidade do iOS.

  7. Selecione Avançar para ignorar Ações por descumprimento.

  8. Na guia Atribuições , para grupos incluídos, selecione Adicionar todos os dispositivos ou selecione um grupo que contenha apenas os dispositivos que devem receber essa política. Use a mesma atribuição que você usou para o perfil do dispositivo de email.

    Selecione Avançar para continuar.

  9. Na guia Revisar + criar , examine suas configurações. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído.

Criar a política de Acesso Condicional

Em seguida, use o centro de administração Microsoft Intune para criar uma política de Acesso Condicional. Você integra o Acesso Condicional ao Intune para ajudar a controlar os dispositivos e aplicativos que podem se conectar a emails e recursos de suas organizações.

A política de Acesso Condicional será:

  • Exija que dispositivos que executam qualquer plataforma se registrem no Intune e cumpram sua política de conformidade do Intune antes que esses dispositivos possam ser usados para acessar Exchange Online.
  • Exigir que os dispositivos usem o aplicativo Outlook para acesso por email.

As políticas de acesso condicional são configuráveis no centro de administração do Microsoft Entra ou no centro de administração Microsoft Intune. Como já estamos no centro de administração, podemos criar a política aqui.

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecioneAcesso> condicional de segurança do ponto de extremidade>Criar nova política.

  3. Em Nome, insira Política de teste para email do Microsoft 365.

  4. Em Atribuições, para Usuários, selecione 0 usuários e grupos selecionados. Na guia Incluir , selecione Todos os usuários. O valor para Usuários é atualizado para Todos os usuários.

  5. Também em Atribuições, selecione Recursos de destino. Para Selecionar o que essa política se aplica à lista suspensa, selecione Aplicativos de nuvem.

    Em seguida, como queremos proteger o Microsoft 365 Exchange Online email, selecione esse aplicativo seguindo estas etapas:

    1. Na guia Incluir, escolha Selecionar aplicativos.
    2. Para a categoria Selecionar, selecioneNenhum para abrir o painel Selecionar com sua lista de aplicativos.
    3. Na lista de aplicativos, selecione a caixa de seleção para Office 365 Exchange Online e escolha Selecionar.

    Selecione Office 365 Exchange Online.

  6. Também em Atribuições, selecione Condições Plataformas>de dispositivo para abrir o painel Plataformas de dispositivo .

    1. Defina Configurar como Sim.
    2. Na guia Incluir, selecione Todos os dispositivos e, em seguida, Concluído.

    Configurar as plataformas de dispositivo

  7. Mais uma vez, em Atribuições, selecione Condições>Aplicativos cliente.

    1. Defina Configurar como Sim.

    2. Para este tutorial, selecione Aplicativos móveis e clientes de área de trabalho, parte dos clientes de autenticação moderna (que se referem a aplicativos como Outlook para iOS e Outlook para Android). Desmarque todas as outras caixas de seleção.

    3. Selecione Concluído e, em seguida, Concluído novamente.

    Selecione aplicativos e clientes.

  8. Em Controles de acesso, selecione Conceder.

    1. No painel Conceder, selecione Conceder acesso.

    2. Selecione Exigir que o dispositivo seja marcado como em conformidade.

    3. Selecione Exigir aplicativo cliente aprovado.

    4. Em Para vários controles, selecione Exigir todos os controles selecionados. Essa configuração garante que os dois requisitos selecionados sejam aplicados quando um dispositivo tentar acessar o email.

    5. Escolha Selecionar.

    Selecionar controles

  9. Em Habilitar política, selecione Ativado.

    Habilitar política.

  10. Selecione Criar para salvar suas alterações. O perfil é atribuído.

Experimente

Com as políticas criadas, qualquer dispositivo iOS que tente entrar no email do Microsoft 365 deve se registrar no Intune e usar o aplicativo móvel do Outlook para iOS/iPadOS. Para testar esse cenário em um dispositivo iOS, tente entrar no Exchange Online usando credenciais para um usuário em seu locatário de teste. Você é solicitado a registrar o dispositivo e instalar o aplicativo móvel do Outlook.

  1. Para testar em um iPhone, acesse Ajustes>Senhas e Contas>Adicionar Conta>Exchange.

  2. Digite o endereço de email de um usuário em seu locatário de teste e, em seguida, pressione Avançar.

  3. Pressione Entrar.

  4. Insira a senha do usuário de teste e pressione Entrar.

  5. É exibida uma mensagem informando que seu dispositivo deve ser gerenciado para acessar o recurso, com uma opção para se inscrever.

Limpe os recursos

Quando as políticas de teste não forem mais necessárias, é possível removê-las.

  1. Entre no centro de administração Microsoft Intune como administrador global ou administrador de serviço do Intune.

  2. SelecioneConformidadede dispositivos>.

  3. Na lista Nome da política , selecione o menu de contexto (...) para sua política de teste e selecione Excluir. Selecione OK para confirmar.

  4. SelecionePolíticasde acesso> condicional de segurança do ponto de extremidade>.

  5. Na lista Nome da política , selecione o menu de contexto (...) para sua política de teste e selecione Excluir. Selecione Sim para confirmar.

Próximas etapas

Neste tutorial, você criou políticas que exigem que os dispositivos iOS se inscrevam no Intune e usem o aplicativo do Outlook para acessar o email do Exchange Online. Aprenda a usar o Intune com Acesso Condicional para proteger outros aplicativos e serviços, incluindo clientes do Exchange ActiveSync para o Exchange Online do Microsoft 365, em Configurar Acesso Condicional.