教學課程：使用 Microsoft Intune 保護非受控裝置上 Exchange Online 電子郵件

本教學課程示範如何使用 Microsoft Intune 應用程式保護原則搭配 Microsoft Entra 條件式存取，以保護對 Exchange Online 的存取。 這項保護可防止使用非受控裝置或 Outlook 行動應用程式以外的應用程式來存取 Microsoft 365 電子郵件的使用者存取 Exchange。 當裝置未在 Intune 之類的裝置管理解決方案中註冊時，就會套用這些原則的結果。

在本教學課程中，您將瞭解如何：

• 建立 Outlook 應用程式的 Intune 應用程式保護原則。 您可以防止另存 新 檔並限制 剪下、 複製和 貼上 動作，以限制使用者對應用程式數據可以執行的動作。
• 建立 Microsoft Entra 條件式存取原則，只允許 Outlook 應用程式在 Exchange Online 中存取公司電子郵件。 您也需要多重要素驗證 (新式驗證用戶端的 MFA) ，例如 iOS 版 Outlook 和 Android 版。

必要條件

若要完成本教學課程，您需要在本教學課程中具有下列訂用帳戶的測試租使用者：

• Microsoft Entra ID P1 - 免費試用
• Microsoft Intune 方案 1 訂用帳戶 - 免費試用
• 包含 Exchange 的 Microsoft 365 Apps 商務版 訂用帳戶 - 免費試用

登入 Intune

在本教學課程中，當您登入 Microsoft Intune 系統管理中心時，請以 全域管理員 或 Intune 服務管理員身分登入。 如果您已建立 Intune 試用版訂用帳戶，您使用 建立訂用帳戶的帳戶就是 全域管理員。

建立應用程式保護原則

在本教學課程中，我們會為 Outlook 應用程式設定適用於 iOS 的 Intune 應用程式保護 原則，以在應用層級設定保護。 我們需要 PIN 才能在工作內容中開啟應用程式。 我們也會限制應用程式之間的數據共用，並防止公司數據儲存到個人位置。

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [應用程式>應用程式防護 原則>建立原則]，然後選取 [iOS/iPadOS]。

3. 在 [ 基本] 頁面上，設定下列設定：

   • 名稱：輸入 Outlook 應用程式原則測試。
   • 描述：輸入 Outlook 應用程式原則測試。

   平臺值是在上一個步驟中選取 iOS/iPadOS 所設定。

   選取 [下一步] 繼續。

4. 在 [ 應用程式] 頁面上，您可以選擇此原則所管理的應用程式。 在本教學課程中，我們只會新增 Microsoft Outlook：

   1. 確定 [目標原則 ] 設為 [ 選取的應用程式]。

   2. 選擇 [+ 選擇公用應用程式] 以開啟 [ 選取要設定目標的應用程式] 窗 格。 然後，從 [應用程式] 清單中，選取 [Microsoft Outlook ] 將其新增至 [選取的應用程式] 清單。 您可以依套件組合識別碼或名稱來搜尋應用程式。 選擇 [選取 ] 以儲存應用程式選取專案。

      

      [ 選取要設為目標的應用程式 ] 窗格隨即關閉，而 Microsoft Outlook 現在會出現在 [應用程式] 頁面上的 [公用應用程式 ] 底下。

      

   選取 [下一步] 繼續。

5. 在 [ 資料保護 ] 頁面上，您會設定，以決定使用者在使用受此應用程式保護原則保護的應用程式時，如何與數據互動。設定下列選項：

   針對 [資料傳輸 ] 類別，請設定下列設定，並將所有其他設定保留為其預設值：

   • 將組織數據傳送至其他應用程式 - 從下拉式清單中，選取 [ 無]。
   • 從其他應用程式接收數據 - 從下拉式清單中，選取 [ 無]。
   • 限制其他應用程式之間的剪下、複製和貼上- 從下拉式清單中，選取 [ 封鎖]。

   

   選取 [下一步] 繼續。

6. [ 存取需求 ] 頁面提供設定，可讓您設定用戶必須符合的 PIN 和認證需求，才能在工作內容中存取受保護的應用程式。 設定下列設定，將所有其他設定保留為其預設值：

   • 針對 [PIN 以進行存取]，選取 [ 需要]。
   • 針對 [公司或學校帳戶認證] 進行存取，選取 [ 需要]。

   

   選取 [下一步] 繼續。

7. 在 [條件式啟動 ] 頁面上，您可以設定此應用程式保護原則的登入安全性需求。 在本教學課程中，您不需要設定這些設定。

   選取 [下一步] 繼續。

8. [ 指派] 頁面是您將應用程式保護原則指派給使用者群組的位置。 在本教學課程中，我們不會將此原則指派給群組。

   選取 [下一步] 繼續。

9. 在 [ 下一步：檢閱 + 建立] 頁面上，檢閱您為此應用程式保護原則輸入的值和設定。 選 取 [建立 ] 以在 Intune 中建立應用程式保護原則。

已建立 Outlook 的應用程式保護原則。 接下來，您將設定條件式存取，以要求裝置使用 Outlook 應用程式。

建立條件式存取原則

接下來，使用 Microsoft Intune 系統管理中心來建立兩個條件式存取原則，以涵蓋所有裝置平臺。 您將 條件式存取與 Intune 整合，以協助控制可連線到組織電子郵件和資源的裝置和應用程式。

• 第一個原則要求新式驗證用戶端使用已核准的 Outlook 應用程式和多重要素驗證 (MFA) 。 新式驗證用戶端包括iOS版 Outlook 和 Android 版 Outlook。

• 第二個原則要求 Exchange ActiveSync 用戶端使用核准的 Outlook 應用程式。 (目前，Exchange Active Sync 不支援裝置平臺) 以外的條件。 您可以在 Microsoft Entra 系統管理中心 中設定條件式存取原則，或使用 Microsoft Intune 系統管理中心，以顯示來自 Microsoft Entra 的條件式存取 UI。 因為我們已經在系統管理中心，所以我們可以在這裡建立原則。

當您在 Microsoft Intune 系統管理中心設定條件式存取原則時，實際上是在 Azure 入口網站 的 [條件式存取] 刀鋒視窗中設定這些原則。 因此，使用者介面與您用於 Intune 其他原則的介面稍有不同。

建立新式驗證用戶端的 MFA 原則

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [端點安全>性條件式存取>][建立新原則]。

3. 針對 [名稱]，輸入 新式驗證客戶端的測試原則。

4. 在 [ 指派] 底下，針對 [ 使用者] 選 取 [0 個已選取的使用者和群組]。 在 [ 包含] 索引標籤上，選取 [ 所有使用者]。 [ 使用者 ] 的值會更新為 [所有使用者]。

   

5. 在 [ 指派] 底下，針對 [目標資源] 選 取 [未選取目標資源]。 請確定 [選取此原則適用的內容 ] 已設定為 [雲端應用程式]。 因為我們想要保護 Microsoft 365 Exchange Online 電子郵件，請遵循下列步驟加以選取：

   1. 在 [ 包含] 索引標籤上，選擇 [選取應用程式]。
   2. 針對 [選取]，按兩下 [ 無] 以開啟 [雲端應用程式 選取 ] 窗格。
   3. 從應用程式清單中，選取 Office 365 Exchange Online的複選框，然後選擇 [選取]。
   4. 選 取 [完成 ] 以返回 [新增原則] 窗格。

   

6. 在 [ 指派] 底下，針對 [條件] 選 取 [選取 0 個條件]，然後針對 [ 裝置平臺 ] 選取 [ 未 設定] 以開啟 [裝置平臺] 窗格：

   1. 將 [ 設定] 切換開關設定為 [是]。
   2. 在 [ 包含] 索引標籤上，選擇 [選取裝置平臺]，然後選取 Android 和 iOS 的複選框。
   3. 選 取 [完成 ] 以儲存裝置平台設定。

7. 保留在 [ 條件] 窗格上，然後選取 [ 未 設定 用戶端應用程式 ] 以開啟 [用戶端應用程式] 窗格：

   1. 將 [ 設定] 切換開關設定為 [是]。
   2. 選取行動 應用程式和桌面客戶端的複選框。
   3. 清除其他複選框。
   4. 選 取 [完成 ] 以返回 [新增原則] 窗格。

   

8. 在 [訪問控制] 下方，針對 [ 授與] 選 取 [選取 0 個條件]，然後：

   1. 在 [ 授與] 窗格上，選取 [ 授與存取權]。
   2. 選 取 [需要多重要素驗證]。
   3. 選 取 [需要核准的用戶端應用程式]。
   4. 將 [針對多個控件] 設定為 [需要所有選取的控件]。 此設定可確保當裝置嘗試存取電子郵件時，會強制執行您選取的兩個需求。
   5. 選擇 [選取 ] 以儲存授與設定。

   

9. 在 [ 啟用原則] 底下，選取 [ 開啟]，然後選取 [ 建立]。

   

系統會建立新式驗證客戶端的條件式存取原則。 現在您可以建立 Exchange Active Sync 客戶端的原則。

建立 Exchange Active Sync 客戶端的原則

設定此原則的程式與先前的條件式存取原則類似：

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [端點安全>性條件式存取>] [建立新原則]。

3. 針對 [名稱]，輸入 EAS用戶端的測試原則。

4. 在 [ 指派] 底下，針對 [ 使用者] 選取 [0 個使用者和群組]。 在 [ 包含] 索引標籤上，選取 [ 所有使用者]。

5. 在 [ 指派] 底下，針對 [目標資源] 選 取 [未選取目標資源]。 請確定 [選取此原則適用的內容] 設定為 [雲端應用程式]，然後使用下列步驟設定 Microsoft 365 Exchange Online 電子郵件：

   1. 在 [ 包含] 索引標籤上，選擇 [選取應用程式]。
   2. 針對 [選取]，選擇 [ 無]。
   3. 從 [雲端應用程式] 清單中，選取 [Office 365 Exchange Online] 的複選框，然後選擇 [選取]。

6. 在 [ 指派] 下 ，開啟 [條件>裝置平臺]，然後：

   1. 將 [ 設定] 切換開關設定為 [是]。
   2. 在 [ 包含] 索 引標籤上，選取 [ 任何裝置]，然後選取 [ 完成]。

7. 保留在 [ 條件] 窗格上，展開 [ 用戶端應用程式]，然後：

   1. 將 [ 設定] 切換開關設定為 [是]。
   2. 選 取 [行動應用程式和桌面用戶端]。
   3. 選 Exchange ActiveSync 用戶端。
   4. 清除所有其他複選框。
   5. 選取 [完成]。

   

8. 在 [ 訪問控制] 底下，展開 [授與 ]，然後：

   1. 在 [ 授與] 窗格上，選取 [ 授與存取權]。
   2. 選 取 [需要核准的用戶端應用程式]。 清除所有其他複選框，但將 [ 多個控件 的設定] 設定為 [需要所有選取的控件]。
   3. 選擇 [選取]。

   

9. 在 [ 啟用原則] 底下，選取 [ 開啟]，然後選取 [ 建立]。

您的應用程式保護原則和條件式存取現在已就緒並準備好進行測試。

進行測試

使用您在本教學課程中建立的原則，裝置必須先在 Intune 中註冊並使用 Outlook 行動應用程式，裝置才能存取 Microsoft 365 電子郵件。 若要在 iOS 裝置上測試此案例，請嘗試使用測試租用戶中使用者的認證登入 Exchange Online。

1. 若要在 iPhone 上測試，請移至 [ 設定>密碼 & 帳戶>新增帳戶>交換]。

2. 輸入測試租用戶中用戶的電子郵件地址，然後按 [下一步]。

3. 按 [登入]。

4. 輸入測試用戶的密碼，然後按 [ 登入]。

5. [ 需要更多資訊] 訊息隨即出現，這表示系統會提示您設定 MFA。 繼續並設定其他驗證方法。

6. 接下來，您會看到一則訊息，指出您正嘗試使用 IT 部門未核准的應用程式來開啟此資源。 訊息表示您遭到封鎖，無法使用原生郵件應用程式。 取消登入。

7. 開啟 Outlook 應用程式，然後選取> [設定][新增帳戶>][新增 Email 帳戶]。

8. 輸入測試租用戶中用戶的電子郵件地址，然後按 [下一步]。

9. 按 [使用 Office 365 登入]。 系統會提示您進行其他驗證和註冊。 登入之後，您可以測試剪下、複製、貼上和另 存新檔等動作。

清除資源

當不再需要測試原則時，您可以將其移除。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>合規性]。

3. 在 [ 原則名稱] 清單中，選取測試原則的操作功能表 (...) ，然後選取 [ 刪除]。 選取 [確定 ] 以確認。

4. 移至 [端點安全>性條件式存取> 原則]。

5. 在 [ 原則名稱] 清單中，選取每個測試原則 (...) 操作功能表，然後選取 [ 刪除]。 選取 [是] 加以確認。

後續步驟

在本教學課程中，您已建立應用程式保護原則來限制使用者可以使用 Outlook 應用程式執行的動作，並建立了條件式存取原則來要求 Outlook 應用程式，並要求新式驗證用戶端使用 MFA。 若要深入瞭解如何使用 Intune 搭配條件式存取來保護其他應用程式和服務，請參閱 瞭解條件式存取和 Intune。