Sdílet prostřednictvím


Kurz: Ochrana Exchange Online e-mailu na spravovaných zařízeních s iOSem pomocí Microsoft Intune

V tomto kurzu se dozvíte, jak používat zásady dodržování předpisů pro zařízení od Microsoftu se zásadami Microsoft Entra podmíněného přístupu, abyste zařízením s iOSem umožnili přístup k Exchangi jenom v případě, že jsou spravovaná Intune a používají schválenou e-mailovou aplikaci.

V tomto kurzu se naučíte:

  • Vytvořte Intune zásady dodržování předpisů zařízením s iOSem a nastavte podmínky, které zařízení musí splňovat, aby bylo považováno za vyhovující.
  • Vytvořte zásady podmíněného přístupu Microsoft Entra, které vyžadují, aby se zařízení s iOSem zaregistrovala do Intune, dodržovala zásady Intune a používala schválenou mobilní aplikaci Outlook pro přístup k Exchange Online e-mailu.

Požadavky

Pro účely tohoto kurzu doporučujeme používat neprodukční zkušební předplatná.

Zkušební předplatná vám během tohoto kurzu pomohou vyhnout se ovlivnění produkčního prostředí nesprávnými konfiguracemi. Zkušební verze nám také umožňují používat ke konfiguraci a správě Intune jenom účet, který jste vytvořili při vytváření zkušebního předplatného, protože má oprávnění k dokončení jednotlivých úloh v tomto kurzu. Použití tohoto účtu eliminuje nutnost vytvářet a spravovat účty pro správu v rámci tohoto kurzu.

Tento kurz vyžaduje testovacího tenanta s následujícími předplatnými:

Přihlásit se k Intune

Pro účely tohoto kurzu se při přihlášení do Centra pro správu Microsoft Intune přihlaste pomocí účtu, který jste vytvořili při registraci zkušebního předplatného Intune. Tento účet budete dál používat k přihlášení do Centra pro správu v průběhu tohoto kurzu.

Vytvoření e-mailového profilu zařízení

Tento kurz vyžaduje, abyste vytvořili profil Email zařízení s iOS/iPadOS. Postupujte podle pokynů v kroku 11 – Vytvoření profilu zařízení v oblasti Vyzkoušet Intune úlohy v dokumentaci k Intune. E-mailový profil se používá k tomu, aby zařízení s iOS/iPad používala pracovní e-mail.

Když vytvoříte e-mailový profil, přiřaďte ho stejné skupině zařízení, kterou později použijete pro zásady dodržování předpisů zařízením a zásady podmíněného přístupu , které vytvoříte v následujících krocích tohoto kurzu.

Po vytvoření e-mailového profilu se vraťte sem a pokračujte.

Vytvoření zásad dodržování předpisů zařízením s iOSem

Nastavte Intune zásad dodržování předpisů zařízením a nastavte podmínky, které zařízení musí splňovat, aby bylo považováno za vyhovující. Pro účely tohoto kurzu vytvoříme zásady dodržování předpisů pro zařízení s iOSem. Zásady dodržování předpisů jsou specifické pro konkrétní platformu, takže potřebujete samostatné zásady dodržování předpisů pro každou platformu zařízení, kterou chcete vyhodnotit.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. VyberteDodržování předpisůzařízením>.

  3. Na kartě Zásady zvolte Vytvořit zásadu.

  4. Na stránce Vytvořit zásadu v části Platforma vyberte iOS/iPadOS. Pokračujte výběrem možnosti Vytvořit .

  5. Na kartě Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název nového profilu. V tomto příkladu zadejte test zásad dodržování předpisů pro iOS.
    • Popis: Volitelné – Zadejte test zásad dodržování předpisů pro iOS.

    Pokračujte výběrem možnosti Další.

  6. Na kartě Nastavení dodržování předpisů :

    1. Rozbalte Email a nastavte Možnost Nejde nastavit e-mail na zařízení na Vyžadovat.

    2. Rozbalte položku Stav zařízení a nastavte Zařízení s jailbreakem na Blokovat.

    3. Rozbalte položku Zabezpečení systému a nakonfigurujte následující nastavení:

      • Vyžadovat heslo k odemknutí mobilních zařízení
      • Jednoduchá hesla k blokování
      • Minimální délka hesla na 4

      Tip

      Výchozí hodnoty, které jsou šedě a kurzívou, jsou pouze doporučení. Hodnoty, které jsou doporučeními ke konfiguraci nastavení, musíte nahradit.

      • Požadovaný typ hesla pro alfanumerické znaky
      • Maximum minutes after screen lock before password is required to Immediately
      • Vypršení platnosti hesla (dny)41
      • Počet předchozích hesel, aby se zabránilo opakovanému použití na 5

    Pokud chcete pokračovat, vyberte Další.

    Konfigurace zásad dodržování předpisů pro iOS

  7. Výběrem možnosti Další přeskočíte akce pro nedodržování předpisů.

  8. Na kartě Přiřazení v části Zahrnuté skupiny vyberte Přidat všechna zařízení nebo vyberte skupinu obsahující jenom ta zařízení, která by měla tuto zásadu přijímat. Nezapomeňte použít stejné přiřazení, které jste použili pro e-mailový profil zařízení.

    Pokračujte výběrem možnosti Další.

  9. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí.

Vytvoření zásady podmíněného přístupu

Dále pomocí Centra pro správu Microsoft Intune vytvořte zásady podmíněného přístupu. Podmíněný přístup integrujete s Intune, abyste mohli řídit zařízení a aplikace, které se můžou připojit k e-mailu a prostředkům vaší organizace.

Zásady podmíněného přístupu:

  • Vyžadovat, aby se zařízení s libovolnou platformou zaregistrovala do Intune a dodržovala vaše zásady dodržování předpisů Intune, než bude možné tato zařízení použít pro přístup k Exchange Online.
  • Vyžadovat, aby zařízení používala aplikaci Outlook pro přístup k e-mailu.

Zásady podmíněného přístupu se dají konfigurovat v Centrum pro správu Microsoft Entra nebo v Centru pro správu Microsoft Intune. Vzhledem k tomu, že už jsme v Centru pro správu, můžeme zásady vytvořit tady.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Zabezpečení koncového bodu>Podmíněný přístup>Vytvořit novou zásadu.

  3. Jako Název zadejte Testovací zásady pro e-mail Microsoftu 365.

  4. V části Přiřazení v části Uživatelé vyberte 0 vybraných uživatelů a skupin. Na kartě Zahrnout vyberte Všichni uživatelé. Hodnota Uživatelé se aktualizuje na Všichni uživatelé.

  5. V části Přiřazení také vyberte Cílové prostředky. V rozevíracím seznamu Vyberte, na co se tato zásada vztahuje , vyberte Cloudové aplikace.

    Teď, protože chceme chránit Microsoft 365 Exchange Online e-mailu, vyberte tuto aplikaci následujícím postupem:

    1. Na kartě Zahrnout zvolte Vybrat aplikace.
    2. V kategorii Vybrat vyberte Žádný . Otevře se podokno Vybrat se seznamem aplikací.
    3. V seznamu aplikací zaškrtněte políčko pro Office 365 Exchange Online a pak zvolte Vybrat.

    Vyberte Office 365 Exchange Online, které chcete přidat do zásady.

  6. V části Přiřazení také vyberte Podmínky>Platformy zařízení a otevřete podokno Platformy zařízení .

    1. Nastavte Konfigurovat na Ano.
    2. Na kartě Zahrnout vyberte Libovolné zařízení a pak vyberte Hotovo.

    Konfigurace platforem zařízení

  7. Znovu v části Přiřazení vyberte Podmínky>Klientské aplikace.

    1. Nastavte Konfigurovat na Ano.

    2. Pro účely tohoto kurzu vyberte Možnost Mobilní aplikace a desktopoví klienti, která je součástí moderního ověřování klientů (což se týká aplikací, jako je Outlook pro iOS a Outlook pro Android). Zrušte zaškrtnutí všech ostatních políček.

    3. Vyberte Hotovo a pak znovu vyberte Hotovo .

    Jako podmínky pro zásadu vyberte aplikace a klienty.

  8. V části Řízení přístupu vyberte Udělit.

    1. V podokně Udělení vyberte Udělit přístup.

    2. Vyberte Vyžadovat, aby zařízení bylo označené jako vyhovující.

    3. Vyberte Vyžadovat schválenou klientskou aplikaci.

    4. V části Pro více ovládacích prvků vyberte Vyžadovat všechny vybrané ovládací prvky. Toto nastavení zajišťuje, že se při pokusu zařízení o přístup k e-mailu vynucují oba požadavky, které jste vybrali.

    5. Zvolte Vybrat.

    Vybrat ovládací prvky

  9. V části Povolit zásadu vyberte Zapnuto.

    Pokud chcete zásadu povolit, nastavte posuvník Povolit zásadu na Zapnuto.

  10. Vyberte Vytvořit a uložte změny. Profil je přiřazený.

Poznámka

Některé závislé služby, jako je Microsoft Teams, se integrují s Exchange Online prostředky a řídí se vynucením zásad v rané fázi. V důsledku toho musí uživatelé před přihlášením k Microsoft Teams dodržovat zásady Exchange.

Pokud máte zásady podmíněného přístupu, které omezují žádosti o ověření pro Exchange Online prostředky, musí uživatelé před přihlášením k Teams splňovat požadavky zásad Exchange. Nedodržení těchto zásad má vliv na možnost přihlásit se k Teams.

Další informace najdete v dokumentaci Microsoftu k závislostem služeb a vynucování zásad.

Vyzkoušet

Se zásadami, které jste vytvořili, se každé zařízení s iOSem, které se pokusí přihlásit k e-mailu Microsoft 365, se musí zaregistrovat do Intune a používat mobilní aplikaci Outlook pro iOS/iPadOS. Pokud chcete tento scénář otestovat na zařízení s iOSem, zkuste se přihlásit k Exchange Online pomocí přihlašovacích údajů pro uživatele v testovacím tenantovi. Zobrazí se výzva k registraci zařízení a instalaci mobilní aplikace Outlook.

  1. Pokud chcete testovat na iPhonu, přejděte na Nastavení>Hesla & Účty>Přidat účet>Exchange.

  2. Zadejte e-mailovou adresu uživatele v testovacím tenantovi a stiskněte Další.

  3. Stiskněte Přihlásit se.

  4. Zadejte heslo testovacího uživatele a stiskněte Přihlásit se.

  5. Zobrazí se zpráva s informací, že vaše zařízení musí být spravované pro přístup k prostředku a možnost registrace.

Vyčistit prostředky

Pokud už testovací zásady nepotřebujete, můžete je odebrat.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. VyberteDodržování předpisůzařízením>.

  3. V seznamu Název zásady vyberte místní nabídku (...) pro testovací zásadu a pak vyberte Odstranit. Potvrďte to výběrem OK .

  4. VyberteZásadypodmíněného přístupu> zabezpečení >koncových bodů.

  5. V seznamu Název zásady vyberte místní nabídku (...) pro testovací zásadu a pak vyberte Odstranit. Potvrďte to výběrem možnosti Ano .

Další kroky

V tomto kurzu jste vytvořili zásady, které vyžadují, aby se zařízení s iOSem zaregistrovala do Intune a používala aplikaci Outlook pro přístup k Exchange Online e-mailu. Informace o používání Intune s podmíněným přístupem k ochraně dalších aplikací a služeb, včetně protokol Exchange ActiveSync klientů pro Microsoft 365 Exchange Online, najdete v tématu Nastavení podmíněného přístupu.