Tutorial: Protección de Exchange Online correo electrónico en dispositivos iOS administrados con Microsoft Intune
En este tutorial se muestra cómo usar las directivas de cumplimiento de dispositivos de Microsoft con Microsoft Entra directiva de acceso condicional, para permitir que los dispositivos iOS accedan a Exchange solo cuando se administran mediante Intune y usan una aplicación de correo electrónico aprobada.
En este tutorial, aprenderá a:
- Crear una directiva de cumplimiento para dispositivos iOS para establecer las condiciones que debe cumplir un dispositivo para que se considere compatible.
- Cree una directiva de acceso condicional de Microsoft Entra que requiera que los dispositivos iOS se inscriban en Intune, cumplan las directivas de Intune y usen la aplicación móvil de Outlook aprobada para acceder a Exchange Online correo electrónico.
Requisitos previos
Para este tutorial, se recomienda usar suscripciones de prueba que no sean de producción.
Las suscripciones de prueba le ayudan a evitar afectar a un entorno de producción con configuraciones incorrectas durante este tutorial. Las pruebas también nos permiten usar solo la cuenta que creó al crear la suscripción de prueba para configurar y administrar Intune, ya que tiene permisos para completar cada tarea de este tutorial. El uso de esta cuenta elimina la necesidad de crear y administrar cuentas administrativas como parte del tutorial.
Este tutorial requiere un inquilino de prueba con las siguientes suscripciones:
- Plan 1 de Microsoft Intune suscripción (regístrese para obtener una cuenta de evaluación gratuita)
- Microsoft Entra ID P1 (evaluación gratuita)
- Suscripción de Aplicaciones de Microsoft 365 para empresas que incluya Exchange (evaluación gratuita)
Iniciar sesión en Intune
En este tutorial, al iniciar sesión en el centro de administración de Microsoft Intune, inicie sesión con la cuenta que se creó al registrarse para la suscripción de prueba de Intune. Seguirá usando esta cuenta para iniciar sesión en el centro de administración a lo largo de este tutorial.
Crear un perfil de dispositivo de correo electrónico
Este tutorial requiere que cree un perfil de Email de dispositivo iOS/iPadOS. Para ello, siga las instrucciones del paso 11: Creación de un perfil de dispositivo en el área Probar tareas Intune de la documentación de Intune. El perfil de correo electrónico se usa para requerir que los dispositivos iOS/iPad usen correo electrónico de trabajo.
Al crear el perfil de correo electrónico, asigne el perfil al mismo grupo de dispositivos que usará más adelante para la directiva de cumplimiento de dispositivos y las directivas de acceso condicional que cree en los pasos posteriores de este tutorial.
Después de crear el perfil de correo electrónico, vuelva aquí para continuar.
Cree una directiva de cumplimiento para dispositivos iOS
Configure una directiva de cumplimiento para dispositivos Intune para establecer las condiciones que debe cumplir un dispositivo para que se considere compatible. Para este tutorial, creamos una directiva de cumplimiento de dispositivos para dispositivos iOS. Las directivas de cumplimiento son específicas de la plataforma, por lo que necesita una directiva de cumplimiento independiente para cada plataforma de dispositivo que va a evaluar.
Inicie sesión en el Centro de administración de Microsoft Intune.
SeleccioneCumplimiento dedispositivos>.
En la pestaña Directivas , elija Crear directiva.
En la página Crear una directiva , en Plataforma , seleccione iOS/iPadOS. Seleccione Crear para continuar.
En la pestaña Aspectos básicos , escriba las propiedades siguientes:
- Nombre: escriba un nombre descriptivo para el nuevo perfil. En este ejemplo, escriba prueba de directiva de cumplimiento de iOS.
- Descripción: opcional: escriba la prueba de directiva de cumplimiento de iOS.
Seleccione Siguiente para continuar.
En la pestaña Configuración de cumplimiento :
Expanda Email y, a continuación, establezca No se puede configurar el correo electrónico en el dispositivo enRequerir.
Expanda Estado del dispositivo y establezca Dispositivos jailbreak en Bloquear.
Expanda Seguridad del sistema y configure los siguientes valores:
- Requerir una contraseña para desbloquear dispositivos móviles para requerir
- Contraseñas sencillas para bloquear
- Longitud mínima de la contraseña a 4
Sugerencia
Los valores predeterminados que aparecen atenuados y en cursiva son solo recomendaciones. Debe reemplazar los valores que son recomendaciones para configurar una opción.
- Tipo de contraseña necesario para Alfanumérico
- Máximo de minutos después del bloqueo de pantalla antes de que se requiera la contraseña para inmediatamente
- Expiración de contraseña (días) a 41
- Número de contraseñas anteriores para evitar su reutilización a 5
Para continuar, seleccione Siguiente.
Seleccione Siguiente para omitir Acciones por incumplimiento.
En la pestaña Asignaciones , en Grupos incluidos, seleccione Agregar todos los dispositivos o seleccione un grupo que contenga solo los dispositivos que deben recibir esta directiva. Asegúrese de usar la misma asignación que usó para el perfil de dispositivo de correo electrónico.
Seleccione Siguiente para continuar.
En la pestaña Revisar y crear , revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil.
Cree la directiva de acceso condicional
A continuación, use el centro de administración de Microsoft Intune para crear una directiva de acceso condicional. Integre el acceso condicional con Intune para ayudar a controlar los dispositivos y aplicaciones que se pueden conectar a los recursos y el correo electrónico de las organizaciones.
La directiva de acceso condicional:
- Requerir que los dispositivos que ejecutan cualquier plataforma se inscriban en Intune y cumplan con la directiva de cumplimiento de Intune antes de que se puedan usar para acceder a Exchange Online.
- Requerir que los dispositivos usen la aplicación Outlook para el acceso al correo electrónico.
Las directivas de acceso condicional se pueden configurar en el Centro de administración Microsoft Entra o en el centro de administración de Microsoft Intune. Dado que ya estamos en el centro de administración, podemos crear la directiva aquí.
Inicie sesión en el Centro de administración de Microsoft Intune.
SeleccioneAcceso condicional de> seguridad >de punto de conexiónCrear nueva directiva.
En Nombre, escriba Probar directiva para el correo electrónico de Microsoft 365.
En Asignaciones, en Usuarios, seleccione 0 usuarios y grupos seleccionados. En la pestaña Incluir , seleccione Todos los usuarios. El valor de Usuarios se actualiza a Todos los usuarios.
También en Asignaciones, seleccione Recursos de destino. En La lista desplegable Seleccionar lo que se aplica a esta directiva , seleccione Aplicaciones en la nube.
A continuación, dado que queremos proteger Microsoft 365 Exchange Online correo electrónico, seleccione esa aplicación siguiendo estos pasos:
- En la pestaña Incluir, elija Seleccionar aplicaciones.
- En la categoría Seleccionar , seleccione Ninguno para abrir el panel Seleccionar con su lista de aplicaciones.
- En la lista de aplicaciones, active la casilla de Office 365 Exchange Online y, a continuación, elija Seleccionar.
También en Asignaciones, seleccione Condiciones Plataformas>de dispositivos para abrir el panel Plataformas de dispositivos.
- Establezca Configurar en Sí.
- En la pestaña Incluir, seleccione Cualquier dispositivo y luego seleccione Listo.
Una vez más, en Asignaciones, seleccione Condiciones Aplicaciones>cliente.
Establezca Configurar en Sí.
En este tutorial, seleccione Aplicaciones móviles y clientes de escritorio, parte de los clientes de autenticación moderna (que hace referencia a aplicaciones como Outlook para iOS y Outlook para Android). Desactive todas las demás casillas.
Seleccione Listo y después vuelva a seleccionar Listo.
En Controles de acceso, seleccione Conceder.
En el panel Conceder, seleccione Conceder acceso.
Seleccione Requerir que el dispositivo esté marcado como compatible.
Seleccione Requerir aplicación cliente aprobada.
En Para varios controles, seleccione Requerir todos los controles seleccionados. Esta configuración garantiza que ambos requisitos que ha seleccionado se aplican cuando un dispositivo intenta acceder al correo electrónico.
Elija Seleccionar.
En Habilitar directiva, seleccione Activar.
Seleccione Crear para guardar los cambios. Se asigna el perfil.
Nota:
Algunos servicios dependientes, como Microsoft Teams, se integran con Exchange Online recursos y se rigen por la aplicación de directivas enlazadas de forma anticipada. Por lo tanto, los usuarios deben cumplir las directivas de Exchange antes de iniciar sesión en Microsoft Teams.
Si tiene una directiva de acceso condicional que restringe las solicitudes de autenticación para Exchange Online recursos, los usuarios deben cumplir los requisitos de la directiva de Exchange antes de iniciar sesión en Teams. El incumplimiento de estas directivas afecta a la capacidad de iniciar sesión en Teams.
Para obtener más información, consulte la documentación de Microsoft sobre las dependencias del servicio y la aplicación de directivas.
Pruébelo
Con las directivas que ha creado, cualquier dispositivo iOS que intente iniciar sesión en el correo electrónico de Microsoft 365 debe inscribirse en Intune y usar la aplicación móvil de Outlook para iOS/iPadOS. Para probar este escenario en un dispositivo iOS, intente iniciar sesión en Exchange Online con las credenciales de un usuario en su inquilino de prueba. Se le pedirá que inscriba el dispositivo e instale la aplicación móvil de Outlook.
Para realizar pruebas en un iPhone, vaya a Configuración>Contraseñas y cuentas>Agregar cuenta>Exchange .
Escriba la dirección de correo electrónico de un usuario en su inquilino de prueba y después presione Siguiente.
Presione Iniciar sesión.
Escriba la contraseña del usuario de prueba y luego presione Iniciar sesión.
Aparece un mensaje que dice que el dispositivo debe administrarse para tener acceso al recurso, junto con una opción para inscribirlo.
Limpie los recursos
Cuando ya no se necesiten las directivas de prueba, puede quitarlas.
Inicie sesión en el Centro de administración de Microsoft Intune.
SeleccioneCumplimiento dedispositivos>.
En la lista Nombre de directiva, seleccione el menú contextual (...) de la directiva de prueba y, a continuación, seleccione Eliminar. Seleccione Aceptar para confirmar.
Seleccione Directivas deacceso> condicional de seguridad >de punto de conexión.
En la lista Nombre de directiva, seleccione el menú contextual (...) de la directiva de prueba y, a continuación, seleccione Eliminar. Seleccione Sí para confirmar.
Siguientes pasos
En este tutorial, se han creado las directivas que exigen que los dispositivos iOS se inscriban en Intune y usen la aplicación Outlook para acceder al correo electrónico de Exchange Online. Para obtener información sobre cómo usar Intune con acceso condicional para proteger otras aplicaciones y servicios, incluidos los clientes de Exchange ActiveSync para Microsoft 365 Exchange Online, consulte la configuración del acceso condicional.