Udostępnij za pośrednictwem

Samouczek: ochrona poczty e-mail Exchange Online na zarządzanych urządzeniach z systemem iOS przy użyciu Microsoft Intune

  • Artykuł

W tym samouczku pokazano, jak używać zasad zgodności urządzeń firmy Microsoft z zasadami dostępu warunkowego Microsoft Entra, aby zezwolić urządzeniom z systemem iOS na dostęp do programu Exchange tylko wtedy, gdy są one zarządzane przez Intune i korzystać z zatwierdzonej aplikacji poczty e-mail.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Utwórz Intune zasad zgodności urządzeń z systemem iOS, aby ustawić warunki, które urządzenie musi spełniać, aby było uznawane za zgodne.
  • Utwórz zasady dostępu warunkowego Microsoft Entra, które wymagają, aby urządzenia z systemem iOS rejestrowały się w Intune, były zgodne z zasadami Intune i korzystały z zatwierdzonej aplikacji mobilnej Outlook w celu uzyskania dostępu do Exchange Online poczty e-mail.

Wymagania wstępne

W tym samouczku zalecamy używanie subskrypcji wersji próbnej nieprodukcyjnej.

Subskrypcje wersji próbnej pomagają uniknąć wpływu na środowisko produkcyjne z nieprawidłowymi konfiguracjami podczas tego samouczka. Wersje próbne umożliwiają nam również używanie tylko konta utworzonego podczas tworzenia subskrypcji wersji próbnej w celu skonfigurowania Intune i zarządzania nimi, ponieważ ma ona uprawnienia do wykonywania każdego zadania dla tego samouczka. Użycie tego konta eliminuje konieczność tworzenia kont administracyjnych i zarządzania nimi w ramach samouczka.

Ten samouczek wymaga dzierżawy testowej z następującymi subskrypcjami:

Logowanie się do usługi Intune

W tym samouczku po zalogowaniu się do centrum administracyjnego Microsoft Intune zaloguj się przy użyciu konta utworzonego podczas rejestracji w ramach subskrypcji Intune wersji próbnej. Będziesz nadal używać tego konta do logowania się do centrum administracyjnego w tym samouczku.

Tworzenie profilu urządzenia poczty e-mail

Ten samouczek wymaga utworzenia profilu Email urządzenia z systemem iOS/iPadOS. Aby to zrobić, postępuj zgodnie ze wskazówkami w sekcji Krok 11 — tworzenie profilu urządzenia w obszarze Try Intune tasks (Wypróbuj zadania) w dokumentacji Intune. Profil poczty e-mail służy do wymagania używania służbowej poczty e-mail przez urządzenia z systemem iOS/iPad.

Podczas tworzenia profilu poczty e-mail przypisz profil do tej samej grupy urządzeń, których użyjesz później dla zasad zgodności urządzeń i zasad dostępu warunkowego utworzonych w kolejnych krokach tego samouczka.

Po utworzeniu profilu poczty e-mail wróć tutaj, aby kontynuować.

Tworzenie zasad zgodności urządzeń z systemem iOS

Skonfiguruj zasady zgodności urządzeń Intune, aby ustawić warunki, które urządzenie musi spełniać, aby było uznawane za zgodne. W tym samouczku utworzymy zasady zgodności urządzeń z systemem iOS. Zasady zgodności są specyficzne dla platformy, dlatego potrzebne są oddzielne zasady zgodności dla każdej platformy urządzeń, którą chcesz ocenić.

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Zgodność urządzeń>.

  3. Na karcie Zasady wybierz pozycję Utwórz zasady.

  4. Na stronie Tworzenie zasad w obszarze Platforma wybierz pozycję iOS/iPadOS. Wybierz pozycję Utwórz , aby kontynuować.

  5. Na karcie Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę nowego profilu. W tym przykładzie wprowadź test zasad zgodności systemu iOS.
    • Opis: Opcjonalnie — wprowadź test zasad zgodności systemu iOS.

    Wybierz przycisk Dalej, aby kontynuować.

  6. Na karcie Ustawienia zgodności :

    1. Rozwiń Email, a następnie ustaw opcję Nie można skonfigurować poczty e-mail na urządzeniu na wartość Wymagaj.

    2. Rozwiń pozycję Kondycja urządzenia i ustaw opcję Urządzenia ze zdjętymi zabezpieczeniami systemu na Wartość Blokuj.

    3. Rozwiń węzeł Zabezpieczenia systemu i skonfiguruj następujące ustawienia:

      • Wymagaj hasła do odblokowania urządzeń przenośnych , aby wymagać
      • Proste hasła do zablokowania
      • Minimalna długość hasła do 4

      Porada

      Wartości domyślne, które są wyszarzone i kursywą, to tylko zalecenia. Aby skonfigurować ustawienie, należy zastąpić wartości, które są zaleceniami.

      • Wymagany typ hasła do alfanumeryczne
      • Maksymalna liczba minut po zablokowaniu ekranu, zanim hasło będzie wymaganenatychmiast
      • Wygaśnięcie hasła (dni) do 41
      • Liczba poprzednich haseł, aby zapobiec ponownemu użyciu do 5

    Aby kontynuować, wybierz pozycję Dalej.

    Konfigurowanie zasad zgodności systemu iOS.

  7. Wybierz pozycję Dalej , aby pominąć akcje w przypadku niezgodności.

  8. Na karcie Przypisania w obszarze Uwzględnione grupy wybierz pozycję Dodaj wszystkie urządzenia lub wybierz grupę zawierającą tylko te urządzenia, które powinny otrzymać te zasady. Pamiętaj, aby użyć tego samego przypisania, które zostało użyte dla profilu urządzenia poczty e-mail.

    Wybierz przycisk Dalej, aby kontynuować.

  9. Na karcie Przeglądanie i tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany.

Tworzenie zasad dostępu warunkowego

Następnie użyj centrum administracyjnego Microsoft Intune, aby utworzyć zasady dostępu warunkowego. Dostęp warunkowy można zintegrować z Intune, aby ułatwić kontrolowanie urządzeń i aplikacji, które mogą łączyć się z pocztą e-mail i zasobami organizacji.

Zasady dostępu warunkowego:

  • Wymagaj, aby urządzenia z dowolną platformą rejestrowały się w Intune i przestrzegały zasad zgodności Intune, zanim te urządzenia będą mogły uzyskiwać dostęp do Exchange Online.
  • Wymagaj, aby urządzenia korzystały z aplikacji Outlook w celu uzyskania dostępu do poczty e-mail.

Zasady dostępu warunkowego można skonfigurować w centrum administracyjne Microsoft Entra lub w centrum administracyjnym Microsoft Intune. Ponieważ jesteśmy już w centrum administracyjnym, możemy utworzyć zasady tutaj.

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Dostęp >warunkowyzabezpieczeń> punktu końcowegoUtwórz nowe zasady.

  3. W polu Nazwa wprowadź zasady testowania dla poczty e-mail platformy Microsoft 365.

  4. W obszarze Przypisania w polu Użytkownicy wybierz 0 wybranych użytkowników i grup. Na karcie Dołączanie wybierz pozycję Wszyscy użytkownicy. Wartość dla pozycji Użytkownicy jest aktualizowana dla wszystkich użytkowników.

  5. Również w obszarze Przypisania wybierz pozycję Zasoby docelowe. W obszarze Wybierz, co te zasady mają zastosowanie do listy rozwijanej, wybierz pozycję Aplikacje w chmurze.

    Następnie, ponieważ chcemy chronić Exchange Online e-mail platformy Microsoft 365, wybierz tę aplikację, wykonując następujące kroki:

    1. Na karcie Dołączanie wybierz pozycję Wybierz aplikacje.
    2. W polu Wybierz kategorię wybierz pozycję Brak , aby otworzyć okienko Wybierz z listą aplikacji.
    3. Z listy aplikacji zaznacz pole wyboru Office 365 Exchange Online, a następnie wybierz pozycję Wybierz.

    Wybierz pozycję Office 365 Exchange Online, aby dodać do zasad.

  6. Również w obszarze Przypisania wybierz pozycję Warunki>Platformy urządzeń , aby otworzyć okienko Platformy urządzeń .

    1. Ustaw pozycję Konfiguruj na wartość Tak.
    2. Na karcie Dołączanie wybierz pozycję Dowolne urządzenie, a następnie wybierz pozycję Gotowe.

    Konfigurowanie platform urządzeń

  7. Ponownie w obszarze Przypisania wybierz pozycję Warunki>Aplikacje klienckie.

    1. Ustaw pozycję Konfiguruj na wartość Tak.

    2. W tym samouczku wybierz pozycję Aplikacje mobilne i klienci klasyczni, część klientów nowoczesnego uwierzytelniania (która odnosi się do aplikacji, takich jak Outlook dla systemów iOS i Outlook dla systemu Android). Usuń zaznaczenia wszystkich pozostałych pól wyboru.

    3. Wybierz pozycję Gotowe, a następnie ponownie wybierz pozycję Gotowe.

    Wybierz aplikacje i klientów jako warunki dla zasad.

  8. W obszarze Kontrole dostępu wybierz pozycję Udziel.

    1. W okienku Udzielanie wybierz pozycję Udziel dostępu.

    2. Wybierz pozycję Wymagaj, aby urządzenie było oznaczone jako zgodne.

    3. Wybierz pozycję Wymagaj zatwierdzonej aplikacji klienckiej.

    4. W obszarze W przypadku wielu kontrolek wybierz pozycję Wymagaj wszystkich wybranych kontrolek. To ustawienie zapewnia, że obydwa wybrane wymagania są wymuszane, gdy urządzenie próbuje uzyskać dostęp do poczty e-mail.

    5. Zaznacz pozycję Wybierz.

    Wybieranie kontrolek

  9. W obszarze Włącz zasady wybierz pozycję Włączone.

    Aby włączyć zasady, ustaw suwak Włącz zasady na wartość Włączone.

  10. Wybierz pozycję Utwórz , aby zapisać zmiany. Profil jest przypisany.

Uwaga

Niektóre usługi zależne, takie jak Microsoft Teams, integrują się z zasobami Exchange Online i podlegają wczesnemu wymuszaniu zasad. W związku z tym użytkownicy muszą przestrzegać zasad programu Exchange przed zalogowaniem się do usługi Microsoft Teams.

Jeśli masz zasady dostępu warunkowego, które ograniczają żądania uwierzytelniania dla Exchange Online zasobów, użytkownicy muszą spełnić wymagania zasad programu Exchange przed zalogowaniem się do aplikacji Teams. Niezgodność z tymi zasadami ma wpływ na możliwość logowania się do aplikacji Teams.

Aby uzyskać więcej informacji, zobacz dokumentację firmy Microsoft dotyczącą zależności usług i wymuszania zasad.

Wypróbuj to

Po utworzeniu zasad każde urządzenie z systemem iOS, które próbuje zalogować się do poczty e-mail platformy Microsoft 365, musi zarejestrować się w Intune i korzystać z aplikacji mobilnej Outlook dla systemu iOS/iPadOS. Aby przetestować ten scenariusz w urządzeniu z systemem iOS, zaloguj się do usługi Exchange Online przy użyciu poświadczeń dla użytkownika w dzierżawie testowej. Zostanie wyświetlony monit o zarejestrowanie urządzenia i zainstalowanie aplikacji mobilnej Outlook.

  1. Aby przetestować na telefonie iPhone, przejdź do pozycji Ustawienia>Hasła i konta>Dodaj konto>Exchange.

  2. Wprowadź adres e-mail użytkownika w dzierżawie testowej, a następnie wybierz pozycję Dalej.

  3. Wybierz pozycję Zaloguj się.

  4. Wprowadź hasło użytkownika testowego i wybierz pozycję Zaloguj się.

  5. Zostanie wyświetlony komunikat z informacją, że urządzenie musi być zarządzane w celu uzyskania dostępu do zasobu wraz z opcją rejestracji.

Czyszczenie zasobów

Gdy zasady testowe nie są już potrzebne, można je usunąć.

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Zgodność urządzeń>.

  3. Na liście Nazwa zasad wybierz menu kontekstowe (...) dla zasad testowych, a następnie wybierz pozycję Usuń. Wybierz przycisk OK, aby potwierdzić.

  4. Wybierz pozycjęZasadydostępu> warunkowego zabezpieczeń> punktu końcowego.

  5. Na liście Nazwa zasad wybierz menu kontekstowe (...) dla zasad testowych, a następnie wybierz pozycję Usuń. Wybierz pozycję Tak, aby potwierdzić.

Następne kroki

W tym samouczku utworzono zasady, które wymagają zarejestrowania urządzeń z systemem iOS w Intune i uzyskiwania dostępu do Exchange Online poczty e-mail przy użyciu aplikacji Outlook. Aby dowiedzieć się więcej na temat korzystania z Intune z dostępem warunkowym w celu ochrony innych aplikacji i usług, w tym klientów Exchange ActiveSync dla Exchange Online platformy Microsoft 365, zobacz Konfigurowanie dostępu warunkowego.