Partilhar via


Tutorial: Proteger o e-mail do Exchange Online em dispositivos iOS não geridos com o Microsoft Intune

Este tutorial demonstra como utilizar políticas de proteção de aplicações do Microsoft Intune com o Acesso Condicional do Microsoft Entra para bloquear o acesso ao Exchange Online por utilizadores que estejam a utilizar um dispositivo iOS não gerido ou uma aplicação que não seja a aplicação Outlook para dispositivos móveis para aceder ao e-mail do Microsoft 365. Os resultados destas políticas aplicam-se quando os dispositivos iOS não estão inscritos numa solução de gestão de dispositivos como o Intune.

Neste tutorial, você aprenderá a:

  • Criar uma política de proteção de aplicativo do Intune para o aplicativo Outlook. Irá limitar o que o utilizador pode fazer com os dados da aplicação ao impedir guardar como e restringir as ações cortar, copiar e colar .
  • Crie políticas de Acesso Condicional do Microsoft Entra que permitem que apenas a aplicação Outlook aceda ao e-mail da empresa no Exchange Online. Você também exigirá a autenticação multifator (MFA) para clientes de autenticação moderna, como o Outlook para iOS e o Android.

Pré-requisitos

Para este tutorial, recomendamos a utilização de subscrições de avaliação de não produção.

As subscrições de avaliação ajudam-no a evitar afetar um ambiente de produção com configurações erradas durante este tutorial. As avaliações também nos permitem utilizar apenas a conta que criou ao criar a subscrição de avaliação para configurar e gerir o Intune, uma vez que tem permissões para concluir cada tarefa para este tutorial. A utilização desta conta elimina a necessidade de criar e gerir contas administrativas como parte do tutorial.

Este tutorial requer um inquilino de teste com as seguintes subscrições:

Entrar no Intune

Neste tutorial, quando iniciar sessão no centro de administração do Microsoft Intune, inicie sessão com a conta que foi criada quando se inscreveu na subscrição de avaliação do Intune. Continue a utilizar esta conta para iniciar sessão no centro de administração ao longo deste tutorial.

Criar a política de proteção do aplicativo

Neste tutorial, configuramos uma política de proteção de aplicações do Intune para iOS para a aplicação Outlook para implementar proteções ao nível da aplicação. Exigiremos um PIN para abrir um aplicativo em um contexto de trabalho. Também limitaremos o compartilhamento de dados entre aplicativos e impediremos a gravação de dados da empresa em um local pessoal.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Aplicações>Políticas de proteção de aplicações>Criar política e, em seguida, selecione iOS/iPadOS.

  3. Na página Noções básicas, defina as seguintes configurações:

    • Nome: Insira Teste de política de aplicativo do Outlook.
    • Descrição: Insira Teste de política de aplicativo do Outlook.

    O valor Plataforma foi definido no passo anterior ao selecionar iOS/iPadOS.

    Selecione Avançar para continuar.

  4. Na página Aplicações , selecione as aplicações que esta política gere. Neste tutorial, vamos adicionar apenas o Microsoft Outlook:

    1. Certifique-se de que a Política de destino para está definida como Aplicações selecionadas.

    2. Selecione + Selecionar aplicações públicas para abrir o painel Selecionar aplicações para o destino. Em seguida, na lista de Aplicações, selecione Microsoft Outlook para adicioná-lo à lista Aplicações Selecionadas . Pode procurar uma aplicação por ID do Pacote ou pelo nome. Selecione Selecionar para guardar a seleção da aplicação.

      Localize e adicione o Microsoft Outlook como uma aplicação pública para esta política.

      O painel Selecionar aplicações para destino é fechado e o Microsoft Outlook aparece agora em Aplicações públicas na página Aplicações.

      Selecione Outlook para adicioná-lo à lista Aplicações públicas para esta política.

    Selecione Avançar para continuar.

  5. Na página Proteção de dados , pode configurar as definições que determinam como os utilizadores podem interagir com os dados ao utilizar as aplicações protegidas por esta política de proteção de aplicações. Configure as seguintes opções:

    Para a categoria Transferência de Dados , configure as seguintes definições e deixe todas as outras definições nos respetivos valores predefinidos:

    • Enviar dados da organização para outras aplicações – na lista pendente, selecione Nenhum.
    • Receber dados de outras aplicações – na lista pendente, selecione Nenhum.
    • Restringir cortar, copiar e colar entre outras aplicações – na lista pendente, selecione Bloqueado.

    Selecione as configurações de realocação de dados da política de proteção do aplicativo Outlook.

    Selecione Avançar para continuar.

  6. A página Requisitos de acesso fornece definições que lhe permitem configurar os requisitos de PIN e credenciais que os utilizadores têm de cumprir antes de poderem aceder às aplicações protegidas num contexto de trabalho. Defina as seguintes configurações, deixando todas as outras configurações com seus valores padrão:

    • Para PIN para acesso, selecione Exigir.
    • Para Credenciais de conta corporativa ou de estudante para acesso, selecione Exigir.

    Selecione as ações de acesso da política de proteção do aplicativo Outlook.

    Selecione Avançar para continuar.

  7. Na página Iniciação condicional , configure os requisitos de segurança de início de sessão para esta política de proteção de aplicações. Para este tutorial, você não precisa definir essas configurações.

    Selecione Avançar para continuar.

  8. A página Atribuições é onde atribui a política de proteção de aplicações a grupos de utilizadores. Neste tutorial, não atribuímos esta política a um grupo.

    Selecione Avançar para continuar.

  9. No Seguinte: Revisão + criar página, revisar os valores e configurações que você inseriu para esta política de proteção do aplicativo. Selecione Criar para criar a política de proteção de aplicações no Intune.

A política de proteção de aplicativo para Outlook foi criada. Em seguida, você configurará o Acesso Condicional para exigir que os dispositivos usem o aplicativo Outlook.

Criar políticas de Acesso Condicional

Em seguida, utilize o centro de administração do Microsoft Intune para criar duas políticas de Acesso Condicional para abranger todas as plataformas de dispositivos. Pode integrar o Acesso Condicional com o Intune para ajudar a controlar os dispositivos e aplicações que podem ligar-se ao e-mail e aos recursos da sua organização.

  • A primeira política requer que os clientes de Autenticação Moderna utilizem a aplicação Outlook aprovada e a autenticação multifator (MFA). Os clientes de Autenticação Moderna incluem o Outlook para iOS e o Outlook para Android.

  • A segunda política requer que os clientes do Exchange ActiveSync utilizem a aplicação Outlook aprovada. Atualmente, Exchange Active Sync não dá suporte a condições além da plataforma de dispositivo. Pode configurar políticas de Acesso Condicional no centro de administração do Microsoft Entra ou utilizar o centro de administração do Microsoft Intune, que apresenta a IU de Acesso Condicional do Microsoft Entra. Uma vez que já estamos no centro de administração, podemos criar a política aqui.

Quando configura políticas de Acesso Condicional no centro de administração do Microsoft Intune, está realmente a configurar essas políticas nos painéis Acesso Condicional a partir do portal do Azure. Por conseguinte, a interface de utilizador é um pouco diferente da interface que utiliza para outras políticas do Intune.

Criar uma política de autenticação multifator para clientes de Autenticação Moderna

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Segurança > do ponto finalAcesso condicional>Criar nova política.

  3. Para Nome, insira Testar política para clientes de autenticação moderna.

  4. Em Atribuições, para Utilizadores, selecione 0 utilizadores e grupos selecionados. No separador Incluir , selecione Todos os utilizadores. O valor das atualizações de Utilizadores para Todos os utilizadores.

    Inicie a configuração da política de acesso condicional.

  5. Em Atribuições, para Recursos de destino, selecione Sem recursos de destino selecionados. Certifique-se de que Selecionar o que esta política se aplica está definido como Aplicações na cloud. Uma vez que queremos proteger o e-mail do Microsoft 365 Exchange Online, selecione-o seguindo estes passos:

    1. Na guia Incluir, escolha Selecionar aplicativos.
    2. Em Selecionar, clique em Nenhum para abrir o painel Selecionar aplicações na cloud.
    3. Na lista de aplicações, selecione a caixa de verificação do Office 365 Exchange Online e, em seguida, selecione Selecionar.
    4. Selecione Concluído para retornar ao painel Nova política.

    Selecione o aplicativo do Office 365 Exchange Online.

  6. Em Atribuições, para Condições, selecione 0 condições selecionadas e, em seguida, para Plataformas de dispositivos , selecione Não configurado para abrir o painel Plataformas de dispositivos:

    1. Defina o botão de alternar Configurar como Sim.
    2. No separador Incluir , selecione Selecionar plataformas de dispositivos e, em seguida, selecione as caixas de verificação para Android e para iOS.
    3. Selecione Concluído para guardar a configuração das Plataformas de dispositivos.
  7. Mantenha-se no painel Condições e selecione Não configurado para Aplicações cliente para abrir o painel Aplicações do cliente:

    1. Defina o botão de alternar Configurar como Sim.
    2. Selecione as caixas de verificação para Aplicações móveis e clientes de ambiente de trabalho.
    3. Desmarque as outras caixas de seleção.
    4. Selecione Concluído para retornar ao painel Nova política.

    Selecione Aplicações móveis e clientes como condições.

  8. Em Controlos de acesso, para Conceder, selecione 0 condições selecionadas e, em seguida:

    1. No painel Conceder, selecione Conceder acesso.
    2. Selecione Exigir autenticação multifator.
    3. Selecione Exigir aplicativo cliente aprovado.
    4. Defina Para vários controlos como Exigir todos os controlos selecionados. Essa configuração garante que os dois requisitos selecionados sejam aplicados quando um dispositivo tentar acessar o email.
    5. Selecione Selecionar para guardar a Configuração da concessão.

    Para configurar a Concessão, selecione controlos de acesso.

  9. Em Habilitar política, selecione Ativa e selecione Criar.

    Para ativar a política, defina o controlo de deslize Ativar política como Ativado.

A política de Acesso Condicional para clientes de autenticação moderna foi criada. Agora, você pode criar uma política para clientes do Exchange Active Sync.

Criar uma política para clientes do Exchange Active Sync

O processo para configurar esta política é semelhante à política de Acesso Condicional anterior:

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Segurança >de ponto finalAcesso> CondicionalCriar nova política.

  3. Para Nome, insira Política de teste para clientes de EAS.

  4. Em Atribuições, para Utilizadores, selecione 0 utilizadores e grupos. No separador Incluir , selecione Todos os utilizadores.

  5. Em Atribuições, para Recursos de destino, selecione Sem recursos de destino selecionados. Certifique-se de que Selecionar o que esta política se aplica está definido para Aplicações na cloud e, em seguida, configure o e-mail do Microsoft 365 Exchange Online com estes passos:

    1. Na guia Incluir, escolha Selecionar aplicativos.
    2. Em Selecionar, selecioneNenhum.
    3. Na lista Aplicações na nuvem, selecione a caixa de verificação do Office 365 Exchange Online e, em seguida, selecione Selecionar.
  6. Em Atribuições , abra As Condições>Plataformas de dispositivos e, em seguida:

    1. Defina o botão de alternar Configurar como Sim.
    2. Na guia Incluir, selecione Todos os dispositivos e, em seguida, Concluído.
  7. Mantenha-se no painel Condições , expanda Aplicações cliente e, em seguida:

    1. Defina o botão de alternar Configurar como Sim.
    2. Selecione Aplicativos móveis e clientes de área de trabalho.
    3. Selecione Clientes do Exchange ActiveSync.
    4. Desmarque todas as outras caixas de seleção.
    5. Selecione Concluído.

    Configurar aplicações cliente para a categoria Condições.

  8. Em Controlos de acesso, expanda Conceder e, em seguida:

    1. No painel Conceder, selecione Conceder acesso.
    2. Selecione Exigir aplicativo cliente aprovado. Desmarque todas as outras caixas de verificação, mas deixe a configuração Para vários controlos definida como Exigir todos os controlos selecionados.
    3. Escolha Selecionar.

    configure Exigir aplicação cliente aprovada para a categoria Concessão.

  9. Em Habilitar política, selecione Ativa e selecione Criar.

Suas políticas de proteção de aplicativo e o Acesso Condicional estão em vigor e prontos para teste.

Experimente

Com as políticas que criou neste tutorial, os dispositivos têm de se inscrever no Intune e utilizar a aplicação Outlook para dispositivos móveis antes de o dispositivo poder ser utilizado para aceder ao e-mail do Microsoft 365. Para testar esse cenário em um dispositivo iOS, tente entrar no Exchange Online usando credenciais para um usuário em seu locatário de teste.

  1. Para testar em um iPhone, acesse Ajustes>Senhas e Contas>Adicionar Conta>Exchange.

  2. Digite o endereço de email de um usuário em seu locatário de teste e, em seguida, pressione Avançar.

  3. Pressione Entrar.

  4. Insira a senha do usuário de teste e pressione Entrar.

  5. A mensagem Precisa de mais informações é exibida, ou seja, você está recebendo a solicitação para configurar a MFA. Vá em frente e configure outro método de verificação.

  6. Em seguida, você verá uma mensagem informando que você está tentando abrir este recurso com um aplicativo que não foi aprovado pelo departamento de TI. A mensagem significa que você está sendo impedido de usar o aplicativo de email nativo. Cancele a entrada.

  7. Abra o aplicativo Outlook e selecione Configurações>Adicionar Conta>Adicionar Conta de Email.

  8. Digite o endereço de email de um usuário em seu locatário de teste e, em seguida, pressione Avançar.

  9. Pressione Entrar com o Office 365. Ser-lhe-á pedido para fazer outra autenticação e registo. Depois de iniciar sessão, pode testar ações como cortar, copiar, colar e Guardar Como.

Limpe os recursos

Quando as políticas de teste não forem mais necessárias, é possível removê-las.

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecioneConformidade deDispositivos>.

  3. Na lista Nome da política, selecione o menu de contexto (...) da política de teste e, em seguida, selecione Eliminar. Selecione OK para confirmar.

  4. Aceda a Segurança >do ponto finalPolíticasde acesso> condicional.

  5. Na lista Nome da política, selecione o menu de contexto (...) para cada uma de suas políticas de teste e, em seguida, selecione Excluir. Selecione Sim para confirmar.

Próximas etapas

Neste tutorial, você criou políticas de proteção de aplicativo para limitar as ações do usuário no aplicativo Outlook, e criou as políticas de Acesso Condicional para exigir o aplicativo Outlook e exigir MFA para clientes de autenticação moderna. Para saber como usar o Intune com o acesso condicional para proteger outros aplicativos e serviços, confira Saiba mais sobre o acesso condicional e o Intune.