Delen via

Zelfstudie: Exchange Online e-mail op beheerde iOS-apparaten beveiligen met Microsoft Intune

  • Artikel

In deze zelfstudie ziet u hoe u microsoft-nalevingsbeleid voor apparaten gebruikt met Microsoft Entra beleid voor voorwaardelijke toegang, zodat iOS-apparaten alleen toegang krijgen tot Exchange wanneer ze worden beheerd door Intune en een goedgekeurde e-mail-app gebruiken.

In deze zelfstudie leert u het volgende:

  • Maak een Intune nalevingsbeleid voor iOS-apparaten om de voorwaarden in te stellen waaraan een apparaat moet voldoen om als compatibel te worden beschouwd.
  • Maak een Microsoft Entra beleid voor voorwaardelijke toegang waarvoor iOS-apparaten moeten worden ingeschreven bij Intune, moeten voldoen aan Intune-beleid en de goedgekeurde mobiele Outlook-app moeten worden gebruikt om toegang te krijgen tot Exchange Online e-mail.

Vereisten

Voor deze zelfstudie raden we u aan proefabonnementen voor niet-productie te gebruiken.

Proefabonnementen helpen u te voorkomen dat een productieomgeving met verkeerde configuraties wordt beïnvloed tijdens deze zelfstudie. Met proefversies kunnen we ook alleen het account gebruiken dat u hebt gemaakt bij het maken van het proefabonnement voor het configureren en beheren van Intune, omdat het machtigingen heeft om elke taak voor deze zelfstudie te voltooien. Als u dit account gebruikt, hoeft u geen beheerdersaccounts te maken en te beheren als onderdeel van de zelfstudie.

Voor deze zelfstudie is een testtenant met de volgende abonnementen vereist:

Aanmelden bij Intune

Voor deze zelfstudie meldt u zich aan bij het Microsoft Intune-beheercentrum met het account dat is gemaakt toen u zich registreerde voor het Intune proefabonnement. U blijft dit account gebruiken om u tijdens deze zelfstudie aan te melden bij het beheercentrum.

Een e-mailapparaatprofiel maken

Voor deze zelfstudie moet u een iOS-/iPadOS-apparaat maken Email profiel. Volg hiervoor de richtlijnen in Stap 11: een apparaatprofiel maken in het taakgebied Intune proberen van de Intune-documentatie. Het e-mailprofiel wordt gebruikt om te vereisen dat iOS-/iPad-apparaten zakelijke e-mail gebruiken.

Wanneer u het e-mailprofiel maakt, wijst u het profiel toe aan dezelfde groep apparaten die u later gebruikt voor het nalevingsbeleid voor apparaten en beleid voor voorwaardelijke toegang dat u in de volgende stappen van deze zelfstudie maakt.

Nadat u het e-mailprofiel hebt gemaakt, keert u hier terug om door te gaan.

Het nalevingsbeleid voor iOS-apparaten maken

Stel een Intune nalevingsbeleid voor apparaten in om de voorwaarden in te stellen waaraan een apparaat moet voldoen om als compatibel te worden beschouwd. Voor deze zelfstudie maken we een nalevingsbeleid voor iOS-apparaten. Nalevingsbeleid is platformspecifiek, dus u hebt een afzonderlijk nalevingsbeleid nodig voor elk apparaatplatform dat u wilt evalueren.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. SelecteerApparatencompatibiliteit>.

  3. Kies op het tabblad Beleidde optie Beleid maken.

  4. Selecteer op de pagina Een beleid maken voor Platformde optie iOS/iPadOS. Selecteer Maken om door te gaan.

  5. Voer op het tabblad Basisinformatie de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor het nieuwe profiel. Voer voor dit voorbeeld test voor iOS-nalevingsbeleid in.
    • Beschrijving: optioneel: voer de iOS-nalevingsbeleidstest in.

    Selecteer Volgende om door te gaan.

  6. Ga als volgt te werk op het tabblad Nalevingsinstellingen :

    1. Vouw Email uit en stel e-mail niet instellen op het apparaat in op Vereisen.

    2. Vouw Apparaatstatus uit en stel Gekraakte apparaten in op Blokkeren.

    3. Vouw Systeembeveiliging uit en configureer de volgende instellingen:

      • Een wachtwoord vereisen om mobiele apparaten te ontgrendelen naar Vereisen
      • Eenvoudige wachtwoorden om te blokkeren
      • Minimale wachtwoordlengte tot 4

      Tip

      Standaardwaarden die grijs en cursief worden weergegeven, zijn alleen aanbevelingen. U moet waarden vervangen die aanbevelingen zijn om een instelling te configureren.

      • Vereist wachtwoordtype naar alfanumeriek
      • Maximum aantal minuten na schermvergrendeling voordat wachtwoord is vereist tot Onmiddellijk
      • Wachtwoord verloopt (dagen) tot 41
      • Aantal eerdere wachtwoorden om hergebruik te voorkomen tot 5

    Als u wilt doorgaan, selecteert u Volgende.

    Configuratie van het iOS-nalevingsbeleid.

  7. Selecteer Volgende om Acties voor niet-naleving over te slaan.

  8. Selecteer op het tabblad Toewijzingen voor Opgenomen groepen de optie Alle apparaten toevoegen of selecteer een groep die alleen de apparaten bevat die dit beleid moeten ontvangen. Zorg ervoor dat u dezelfde toewijzing gebruikt als voor het e-mailapparaatprofiel.

    Selecteer Volgende om door te gaan.

  9. Controleer uw instellingen op het tabblad Controleren en maken . Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen.

Het beleid voor voorwaardelijke toegang maken

Gebruik vervolgens het Microsoft Intune-beheercentrum om een beleid voor voorwaardelijke toegang te maken. U integreert voorwaardelijke toegang met Intune om de apparaten en apps te beheren die verbinding kunnen maken met e-mail en resources van uw organisatie.

Het beleid voor voorwaardelijke toegang:

  • Vereisen dat apparaten waarop een platform wordt uitgevoerd, zich registreren bij Intune en voldoen aan uw Intune-nalevingsbeleid voordat deze apparaten kunnen worden gebruikt voor toegang tot Exchange Online.
  • Vereisen dat apparaten de Outlook-app gebruiken voor toegang tot e-mail.

Beleid voor voorwaardelijke toegang kan worden geconfigureerd in het Microsoft Entra-beheercentrum of het Microsoft Intune-beheercentrum. Omdat we ons al in het beheercentrum bevinden, kunnen we het beleid hier maken.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Voorwaardelijke toegang>Nieuw beleid maken.

  3. Voer bij Naamtestbeleid voor Microsoft 365-e-mail in.

  4. Selecteer onder Toewijzingen voor Gebruikers de optie 0 geselecteerde gebruikers en groepen. Selecteer op het tabblad Opnemende optie Alle gebruikers. De waarde voor Gebruikers wordt bijgewerkt naar Alle gebruikers.

  5. Selecteer ook onder Toewijzingende optie Doelresources. Selecteer cloud-appsvoor de vervolgkeuzelijst Selecteren waarop dit beleid van toepassing is.

    Omdat we vervolgens Microsoft 365 Exchange Online e-mail willen beveiligen, selecteert u die app door de volgende stappen uit te voeren:

    1. Kies op het tabblad Opnemen de optie Apps selecteren.
    2. Selecteer voor de categorie Selecterende optie Geen om het deelvenster Selecteren met de bijbehorende lijst met toepassingen te openen.
    3. Schakel in de lijst met toepassingen het selectievakje voor Office 365 Exchange Online in en kies vervolgens Selecteren.

    Selecteer Office 365 Exchange Online om toe te voegen aan het beleid.

  6. Selecteer ook onder Toewijzingende optie Voorwaarden>Apparaatplatforms om het deelvenster Apparaatplatforms te openen.

    1. Stel Configureren in op Ja.
    2. Selecteer op het tabblad Opnemende optie Elk apparaat en selecteer vervolgens Gereed.

    De apparaatplatforms configureren

  7. Selecteer nogmaals onder Toewijzingen de optie Voorwaarden>Client-apps.

    1. Stel Configureren in op Ja.

    2. Voor deze zelfstudie selecteert u Mobiele apps en bureaubladclients, onderdeel van moderne verificatieclients (die verwijst naar apps zoals Outlook voor iOS en Outlook voor Android). Schakel alle andere selectievakjes uit.

    3. Selecteer Gereed en selecteer vervolgens opnieuw Gereed .

    Selecteer apps en clients als voorwaarden voor het beleid.

  8. Selecteer onder Toegangsbeheerde optie Verlenen.

    1. Selecteer toegang verlenen in het deelvenster Verlenen.

    2. Selecteer Vereisen dat het apparaat als compatibel moet worden gemarkeerd.

    3. Selecteer Goedgekeurde client-app vereisen.

    4. Selecteer onder Voor meerdere besturingselementende optie Alle geselecteerde besturingselementen vereisen. Deze instelling zorgt ervoor dat beide vereisten die u hebt geselecteerd, worden afgedwongen wanneer een apparaat toegang probeert te krijgen tot e-mail.

    5. Kies Selecteren.

    Besturingselementen selecteren

  9. Selecteer onder Beleid inschakelen de optie Aan.

    Als u beleid wilt inschakelen, stelt u de schuifregelaar Beleid inschakelen in op Aan.

  10. Selecteer Maken om uw wijzigingen op te slaan. Het profiel wordt toegewezen.

Opmerking

Sommige afhankelijke services, zoals Microsoft Teams, kunnen worden geïntegreerd met Exchange Online-resources en worden beheerd door het afdwingen van het beleid in een vroeg stadium. Daarom moeten gebruikers voldoen aan het Exchange-beleid voordat ze zich aanmelden bij Microsoft Teams.

Als u een beleid voor voorwaardelijke toegang hebt dat verificatieaanvragen voor Exchange Online resources beperkt, moeten gebruikers voldoen aan de vereisten voor Exchange-beleid voordat ze zich aanmelden bij Teams. Als u niet voldoet aan dit beleid, is dit van invloed op de mogelijkheid om u aan te melden bij Teams.

Zie Microsoft-documentatie over serviceafhankelijkheden en beleidshandhaving voor meer informatie.

Probeer het uit

Met het beleid dat u hebt gemaakt, moet elk iOS-apparaat dat zich probeert aan te melden bij Microsoft 365-e-mail zich inschrijven bij Intune en de mobiele Outlook-app voor iOS/iPadOS gebruiken. Als u dit scenario op een iOS-apparaat wilt testen, probeert u zich aan te melden bij Exchange Online met behulp van referenties voor een gebruiker in uw testtenant. U wordt gevraagd het apparaat in te schrijven en de mobiele Outlook-app te installeren.

  1. Als u wilt testen op een iPhone, gaat u naar Instellingen>Wachtwoorden & Accounts>Account>Exchange toevoegen.

  2. Voer het e-mailadres in voor een gebruiker in uw testtenant en druk op Volgende.

  3. Druk op Aanmelden.

  4. Voer het wachtwoord van de testgebruiker in en druk op Aanmelden.

  5. Er wordt een bericht weergegeven waarin staat dat uw apparaat moet worden beheerd voor toegang tot de resource, samen met een optie voor inschrijving.

Bronnen opschonen

Wanneer het testbeleid niet meer nodig is, kunt u ze verwijderen.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. SelecteerApparatencompatibiliteit>.

  3. Selecteer in de lijst Beleidsnaam het contextmenu (...) voor uw testbeleid en selecteer vervolgens Verwijderen. Selecteer OK om te bevestigen.

  4. Selecteer Beleid voorvoorwaardelijke toegang>voor eindpuntbeveiliging>.

  5. Selecteer in de lijst Beleidsnaam het contextmenu (...) voor uw testbeleid en selecteer vervolgens Verwijderen. Selecteer Ja om te bevestigen.

Volgende stappen

In deze zelfstudie hebt u beleidsregels gemaakt waarvoor iOS-apparaten moeten worden ingeschreven bij Intune en de Outlook-app moeten worden gebruikt om toegang te krijgen tot Exchange Online e-mail. Zie Voorwaardelijke toegang instellen voor meer informatie over het gebruik van Intune met voorwaardelijke toegang om andere apps en services te beveiligen, waaronder Exchange ActiveSync-clients voor Microsoft 365-Exchange Online.