教學課程:使用 Microsoft Intune 保護受控 iOS 裝置上的 Exchange Online 電子郵件
本教學課程示範如何使用Microsoft裝置合規性原則搭配Microsoft內部條件式存取原則,只在受 Intune 管理並使用已核准的電子郵件應用程式時,才允許 iOS 裝置存取 Exchange。
在本教學課程中,您將瞭解如何:
- 建立 Intune iOS 裝置合規性政策,以設定裝置必須符合才能視為符合規範的條件。
- 建立Microsoft Entra 條件式存取原則,要求iOS裝置在Intune中註冊、遵守 Intune 原則,以及使用核准的 Outlook 行動應用程式來存取 Exchange Online 電子郵件。
先決條件
在本教學課程中,我們建議使用非生產試用訂用帳戶。
試用版訂用帳戶可協助您避免在本教學課程期間使用錯誤的設定影響生產環境。 試用版也可讓我們只使用您在建立試用版訂用帳戶時所建立的帳戶來設定和管理 Intune,因為它有許可權可完成本教學課程的每個工作。 使用此帳戶不需要在本教學課程中建立和管理系統管理帳戶。
本教學課程需要具有下列訂用帳戶的測試租使用者:
- Microsoft Intune 方案 1 訂用帳戶 (註冊免費試用帳戶)
- Microsoft Entra ID P1 (免費試 用)
- Microsoft 365 Apps 商務版訂用帳戶,其中包含 Exchange (免費試 用)
登入 Intune
在本教學課程中,當您登入 Microsoft Intune 系統管理中心時,請使用註冊 Intune 試用訂閱時所建立的帳戶登入。 在本教學課程中,您將繼續使用此帳戶來登入系統管理中心。
建立電子郵件裝置設定檔
本教學課程會要求您建立 iOS/iPadOS 裝置電子郵件設置檔。 若要這樣做,請遵循 Intune 檔的試用 Intune 工作區域中的步驟 11 – 建立裝置配置檔中的指引。 電子郵件設置檔是用來要求 iOS/iPad 裝置使用工作電子郵件。
當您建立電子郵件設置檔時,請將配置檔指派給您稍後用於 裝置合規性 原則的相同裝置群組,以及您在本教學課程後續步驟中建立 的條件式存取 原則。
建立電子郵件設置檔之後,請返回這裏繼續。
建立 iOS 裝置合規性政策
設定 Intune 裝置合規性政策,以設定裝置必須符合才能視為符合規範的條件。 在本教學課程中,我們會建立 iOS 裝置的裝置合規性政策。 合規性原則是平臺特定的,因此您需要針對您想要評估的每個裝置平臺使用個別的合規性政策。
選 取 [裝置>合規性]。
在 [ 原則] 索引 標籤上,選擇 [ 建立原則]。
在 [ 建立原則] 頁面上,針對 [ 平臺 ] 選取 [iOS/iPadOS]。 選 取 [建立 ] 以繼續。
在 [ 基本] 索引標籤上 ,輸入下列屬性:
- 名稱:輸入新配置檔的描述性名稱。 在此範例中,輸入 iOS 合規性政策測試。
- 描述:選擇性 - 輸入 iOS 合規性政策測試。
選取 [下一步] 繼續。
在 [ 合規性設定] 索引標籤上 :
展開 [電子郵件],然後將 [無法在裝置上設定電子郵件 ] 設定為 [ 需要]。
展開 [裝置健康情況],並將 [已越獄 的裝置] 設定為 [封鎖]。
展開 [系統安全性],然後設定下列設定:
- 需要密碼才能將行動裝置解除鎖定 為 [需要]
- 要封鎖的簡單密碼
- 密碼長度下限 為 4
提示
呈現灰色並斜體化的預設值只是建議。 您必須取代建議的值,才能設定設定。
- 英數位元所需的密碼類型
- 屏幕鎖定后的分鐘數上限,密碼必須是 [立即]
- 密碼到期 (天) 為 41 天
- 防止重複使用的先前密碼數目 為 5
若要繼續,請選取 [下一步]。
選 取 [下一步 ] 以略過 不符合規範的動作。
在 [ 指派] 索引標籤上 ,針對 [ 包含的群組] 選取 [ 新增所有裝置],或選取只包含應接收此原則之裝置的群組。 請務必使用與用於 電子郵件裝置配置檔相同的指派。
選取 [下一步] 繼續。
在 [ 檢閱 + 建立] 索引 標籤上,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。
建立條件式存取原則
接下來,使用 Microsoft Intune 系統管理中心來建立條件式存取原則。 您將 條件式存取與 Intune 整合,以協助控制可連線到組織電子郵件和資源的裝置和應用程式。
條件式存取原則會:
- 要求執行任何平台的裝置在 Intune 中註冊,並遵循您的 Intune 合規性政策,才能使用這些裝置來存取 Exchange Online。
- 要求裝置使用 Outlook 應用程式進行電子郵件存取。
條件式存取原則可在 Microsoft Entra 系統管理中心或 Microsoft Intune 系統管理中心進行設定。 因為我們已經在系統管理中心,所以我們可以在這裡建立原則。
選 取 [端點安全>性條件式存取>] [建立新原則]。
針對 [名稱],輸入 Microsoft 365 電子郵件的測試原則。
在 [ 指派] 底下,針對 [ 使用者] 選 取 [0 個已選取的使用者和群組]。 在 [ 包含] 索引標籤上,選取 [ 所有使用者]。 [ 使用者 ] 的值會更新為 [所有使用者]。
此外,在 [ 指派] 底下,選取 [ 目標資源]。 針對 [選取此原則適用於的內容 ] 下拉式清單,選取 [ 雲端應用程式]。
接下來,因為我們想要保護 Microsoft 365 Exchange Online 電子郵件,請遵循下列步驟來選取該應用程式:
- 在 [ 包含] 索引標籤上,選擇 [選取應用程式]。
- 針對 [ 選取 ] 類別,選取 [ 無] 以開啟 [ 選 取] 窗格及其應用程式清單。
- 從應用程式清單中,選取 Office 365 Exchange Online 的複選框,然後選擇 [ 選取]。
此外,在 [ 指派] 下,選取 [ 條件>裝置平臺 ] 以開啟 [ 裝置平臺 ] 窗格。
- 將 [設定] 設定為 [是]。
- 在 [ 包含] 索 引標籤上,選取 [ 任何裝置],然後選取 [ 完成]。
同樣地,在 [ 指派] 底下,選取 [ 條件>用戶端應用程式]。
將 [設定] 設定為 [是]。
在本教學課程中,請選取 [ 行動應用程式和桌面客戶端],這是新式 驗證客戶 端 (的一部分,參考 iOS 版 Outlook 和 Android 版 Outlook) 等應用程式。 清除所有其他複選框。
選 取 [完成],然後再次選取 [ 完成 ]。
在 [ 訪問控制] 底下,選取 [ 授與]。
在 [ 授與] 窗格上,選取 [ 授與存取權]。
選 取 [需要將裝置標示為符合規範]。
選 取 [需要核准的用戶端應用程式]。
在 [針對多個控件] 下,選取 [需要所有選取的控件]。 此設定可確保當裝置嘗試存取電子郵件時,會強制執行您選取的兩個需求。
選擇 [選取]。
在 [ 啟用原則] 底下,選取 [ 開啟]。
選 取 [建立 ] 以儲存您的變更。 配置檔已指派。
注意事項
某些相依服務,例如Microsoft Teams,會與 Exchange Online 資源整合,並受到早期綁定原則強制執行的控管。 因此,用戶必須遵守 Exchange 原則,才能登入 Microsoft Teams。
如果您有限制 Exchange Online 資源驗證要求的條件式存取原則,用戶必須先符合 Exchange 原則需求,才能登入 Teams。 不符合這些原則會影響登入Teams的能力。
如需詳細資訊, 請參閱Microsoft服務相依性和原則強制執行的檔。
進行測試
使用您已建立的原則,任何嘗試登入 Microsoft 365 電子郵件的 iOS 裝置都必須在 Intune 中註冊,並使用適用於 iOS/iPadOS 的 Outlook 行動應用程式。 若要在 iOS 裝置上測試此案例,請嘗試使用測試租用戶中使用者的認證登入 Exchange Online。 系統會提示您註冊裝置並安裝 Outlook 行動應用程式。
若要在 iPhone 上測試,請移至 [ 設定>密碼 & 帳戶>新增帳戶>交換]。
輸入測試租用戶中用戶的電子郵件地址,然後按 [下一步]。
按 [登入]。
輸入測試用戶的密碼,然後按 [ 登入]。
出現一則訊息,指出您的裝置必須受管理才能存取資源,以及註冊選項。
清除資源
當不再需要測試原則時,您可以將其移除。
選 取 [裝置>合規性]。
在 [ 原則名稱] 清單中,選取測試原則的操作功能表 (...) ,然後選取 [ 刪除]。 選取 [確定 ] 以確認。
選 取 [端點安全>性條件式存取>原則]。
在 [ 原則名稱] 清單中,選取測試原則的操作功能表 (...) ,然後選取 [ 刪除]。 選取 [是] 加以確認。
後續步驟
在本教學課程中,您已建立原則,要求 iOS 裝置在 Intune 中註冊,並使用 Outlook 應用程式來存取 Exchange Online 電子郵件。 若要瞭解如何使用 Intune 搭配條件式存取來保護其他應用程式和服務,包括適用於 Microsoft 365 Exchange Online 的 Exchange ActiveSync 用戶端,請參閱 設定條件式存取。