教程:使用 Microsoft Intune 保护托管 iOS 设备上的 Exchange Online 电子邮件

本教程演示如何将Microsoft设备符合性策略与 Microsoft Entra 条件访问策略结合使用,以仅允许 iOS 设备在由 Intune 管理并使用批准的电子邮件应用时访问 Exchange。

在本教程中,你将学习如何:

  • 创建 Intune iOS 设备合规性策略以设置设备必须满足才能被视为符合的条件。
  • 创建Microsoft Entra 条件访问策略,该策略要求 iOS 设备在 Intune 中注册、符合 Intune 策略,并使用批准的 Outlook 移动应用访问 Exchange Online 电子邮件。

先决条件

对于本教程,我们建议使用非生产试用版订阅。

在本教程中,试用订阅有助于避免影响配置错误的生产环境。 试用版还允许我们仅使用在创建试用订阅时创建的帐户来配置和管理 Intune,因为它有权完成本教程的每个任务。 使用此帐户无需在本教程中创建和管理管理帐户。

本教程需要具有以下订阅的测试租户:

登录到 Intune

在本教程中,登录到 Microsoft Intune 管理中心时,请使用注册 Intune 试用订阅时创建的帐户登录。 在整个本教程中,你将继续使用此帐户登录到管理中心。

创建电子邮件设备配置文件

本教程要求创建 iOS/iPadOS 设备电子邮件配置文件。 为此,请按照 Intune 文档的“尝试 Intune 任务”区域中的步骤 11 - 创建设备配置文件中的指导进行操作。 电子邮件配置文件用于要求 iOS/iPad 设备使用工作电子邮件。

创建电子邮件配置文件时,请将配置文件分配给稍后用于在本教程后续步骤中创建 的设备符合性 策略和 条件访问 策略的同一组设备。

创建电子邮件配置文件后,请返回此处继续。

创建 iOS 设备合规性策略

设置 Intune 设备合规性策略以设置设备必须满足才能被视为符合的条件。 在本教程中,我们将为 iOS 设备创建设备符合性策略。 合规性策略是特定于平台的,因此针对要评估的每个设备平台需要单独的合规性策略。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“ 设备>符合性”。

  3. 在“ 策略 ”选项卡上,选择“ 创建策略”。

  4. “创建策略 ”页上,对于 “平台 ”,选择“ iOS/iPadOS”。 选择“ 创建 ”以继续。

  5. 在“ 基本信息 ”选项卡上,输入以下属性:

    • 名称:输入新配置文件的描述性名称。 对于此示例,请输入 iOS 符合性策略测试
    • 说明:可选 - 输入 iOS 符合性策略测试

    选择“下一步”以继续。

  6. “符合性设置 ”选项卡上:

    1. 展开 “电子邮件”,然后将“ 无法在设备上设置电子邮件” 设置为 “需要”。

    2. 展开 “设备运行状况”,并将 “越狱 设备”设置为 “阻止”。

    3. 展开 “系统安全性”,并配置以下设置:

      • 需要密码才能将移动设备解锁“需要”
      • 阻止简单密码
      • 最短密码长度4

      提示

      灰显和斜体默认值只是建议值。 必须替换配置设置建议的值。

      • 所需的密码类型字母数字
      • 屏幕锁定后的最大分钟数,然后需要密码立即
      • 密码过期 (天) 41 天
      • 防止重复使用的先前密码数5

    若要继续,请选择“ 下一步”。

    配置 iOS 符合性策略。

  7. 选择“ 下一步 ”以跳过 不符合的操作

  8. 在“ 分配 ”选项卡上,对于“ 包含的组”,选择“ 添加所有设备”,或选择仅包含应接收此策略的设备的组。 请确保使用与 用于电子邮件设备配置文件相同的分配。

    选择“下一步”以继续。

  9. 在“ 审阅 + 创建 ”选项卡上,查看设置。 选择“创建”时,将保存所做的更改并分配配置文件

创建条件访问策略

接下来,使用 Microsoft Intune 管理中心创建条件访问策略。 将 条件访问与 Intune 集成,以帮助控制可以连接到组织电子邮件和资源的设备与应用。

条件访问策略将:

  • 要求运行任何平台的设备在 Intune 中注册并符合 Intune 合规性策略,然后才能使用这些设备访问 Exchange Online。
  • 要求设备使用 Outlook 应用进行电子邮件访问。

条件访问策略可在 Microsoft Entra 管理中心或 Microsoft Intune 管理中心进行配置。 由于我们已经在管理中心,因此可以在此处创建策略。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择 “终结点安全性>条件访问>”“创建新策略”。

  3. 对于“名称”,请输入“Microsoft 365 电子邮件的测试策略”。

  4. “分配”下,对于“ 用户”,选择 选择了 0 个用户和组。 在“ 包括 ”选项卡上,选择“ 所有用户”。 “用户”的值更新为“所有用户”。

  5. 此外,在 “分配”下,选择“ 目标资源”。 对于 “选择此策略应用于什么 ”下拉列表,选择“ 云应用”。

    接下来,由于我们要保护 Microsoft 365 Exchange Online 电子邮件,因此请按照以下步骤选择该应用:

    1. 在“包含”选项卡上,选择“选择应用”。
    2. 对于 “选择” 类别,选择“ ”以打开“ 选择 ”窗格及其应用程序列表。
    3. 从应用程序列表中,选中 Office 365 Exchange Online 的复选框,然后选择 “选择”。

    选择 Office 365 Exchange Online 以添加到策略。

  6. 此外,在 “分配”下,选择“ 条件>设备平台 ”以打开 “设备平台 ”窗格。

    1. “配置” 设置为 “是”。
    2. 在“包含”选项卡上,选择“任何设备”,然后选择“完成”。

    配置设备平台

  7. 再次,在 “分配”下,选择“ 条件>客户端应用”。

    1. “配置” 设置为 “是”。

    2. 对于本教程,请选择“ 移动应用和桌面客户端”,这是 新式身份验证客户端 的一部分, (它指的是 Outlook for iOS 和 Outlook for Android) 等应用。 清除所有其他复选框。

    3. 选择“完成”,然后再次选择“完成”。

    选择“应用和客户端”作为策略的条件。

  8. 在“访问控制”下,选择“授予”。

    1. 在“授予”窗格上,选择“授予访问权限”

    2. 选择“需要将设备标记为兼容”

    3. 选择“需要已批准的客户端应用”

    4. 在“对于多个控件”下,选择“需要所有已选控件”。 此设置可确保当设备尝试访问电子邮件时强制执行所选的这两项要求。

    5. 选择“选择”。

    选择控件

  9. 在“启用策略”下,选择“开启”

    若要启用策略,请将“启用策略”滑块设置为“打开”。

  10. 选择“ 创建 ”以保存更改。 已分配配置文件。

注意

某些依赖服务(如 Microsoft Teams)与 Exchange Online 资源集成,并受早期绑定策略强制实施的约束。 因此,在登录到 Microsoft Teams 之前,用户必须遵守 Exchange 策略。

如果你有限制 Exchange Online 资源的身份验证请求的条件访问策略,则用户在登录 Teams 之前必须满足 Exchange Policy 要求。 不遵守这些策略会影响登录到 Teams 的能力。

有关详细信息,请参阅 有关服务依赖项和策略实施Microsoft文档

试用

使用已创建的策略,任何尝试登录到 Microsoft 365 电子邮件的 iOS 设备都必须在 Intune 中注册并使用适用于 iOS/iPadOS 的 Outlook 移动应用。 若要在 iOS 设备上测试此方案,请尝试使用测试租户中用户的凭据登录到 Exchange Online。 系统会提示注册设备并安装 Outlook 移动应用。

  1. 若要在 iPhone 上测试,请转到“设置”>“密码和帐户”>“添加帐户”>“Exchange”。

  2. 在测试租户中,为用户输入电子邮件地址,然后按“下一步”

  3. 按“登录”

  4. 输入测试用户的密码,然后按“登录”

  5. 此时将显示一条消息,指出你的设备必须进行托管才能访问资源,并显示一个注册选项。

清理资源

当不再需要测试策略时,可以删除它们。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“ 设备>符合性”。

  3. “策略名称 ”列表中,选择测试策略 (...) 上下文菜单,然后选择“ 删除”。 选择“确定”以确认。

  4. 选择 “终结点安全性>”“条件访问>策略”。

  5. “策略名称 ”列表中,选择测试策略 (...) 上下文菜单,然后选择“ 删除”。 选择“”进行确认。

后续步骤

在本教程中,创建了需要在 Intune 中注册 iOS 设备并使用 Outlook 应用访问 Exchange Online 电子邮件的策略。 若要了解如何将 Intune 与条件访问结合使用来保护其他应用和服务(包括适用于 Microsoft 365 Exchange Online 的 Exchange ActiveSync 客户端),请参阅设置条件访问