Udostępnij za pośrednictwem

Samouczek: ochrona poczty e-mail Exchange Online na niezarządzanych urządzeniach z systemem iOS przy użyciu Microsoft Intune

  • Artykuł

W tym samouczku pokazano, jak używać zasad ochrony aplikacji Microsoft Intune z dostępem warunkowym Microsoft Entra w celu blokowania dostępu do Exchange Online przez użytkowników korzystających z niezarządzanego urządzenia z systemem iOS lub aplikacji innej niż aplikacja mobilna Outlook w celu uzyskania dostępu do poczty e-mail platformy Microsoft 365. Wyniki tych zasad mają zastosowanie, gdy urządzenia z systemem iOS nie są zarejestrowane w rozwiązaniu do zarządzania urządzeniami, takim jak Intune.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Tworzenie zasad ochrony aplikacji usługi Intune na potrzeby aplikacji Outlook. Ograniczysz możliwości użytkownika dotyczące danych aplikacji, uniemożliwiając zapisywanie jako i ograniczając akcje wycinania, kopiowania i wklejania .
  • Utwórz Microsoft Entra zasad dostępu warunkowego, które zezwalają tylko aplikacji Outlook na dostęp do firmowej poczty e-mail w Exchange Online. Będziesz również wymagać uwierzytelniania wieloskładnikowego (MFA) w przypadku klientów z nowoczesnym uwierzytelnianiem, takich jak program Outlook dla systemów iOS i Android.

Wymagania wstępne

W tym samouczku zalecamy używanie subskrypcji wersji próbnej nieprodukcyjnej.

Subskrypcje wersji próbnej pomagają uniknąć wpływu na środowisko produkcyjne z nieprawidłowymi konfiguracjami podczas tego samouczka. Wersje próbne umożliwiają nam również używanie tylko konta utworzonego podczas tworzenia subskrypcji wersji próbnej w celu skonfigurowania Intune i zarządzania nimi, ponieważ ma ona uprawnienia do wykonywania każdego zadania dla tego samouczka. Użycie tego konta eliminuje konieczność tworzenia kont administracyjnych i zarządzania nimi w ramach samouczka.

Ten samouczek wymaga dzierżawy testowej z następującymi subskrypcjami:

Logowanie się do usługi Intune

W tym samouczku po zalogowaniu się do centrum administracyjnego Microsoft Intune zaloguj się przy użyciu konta utworzonego podczas rejestracji w ramach subskrypcji Intune wersji próbnej. Nadal używaj tego konta, aby zalogować się do centrum administracyjnego w tym samouczku.

Tworzenie zasad ochrony aplikacji

W tym samouczku skonfigurujemy zasady ochrony aplikacji Intune dla systemu iOS dla aplikacji Outlook w celu wprowadzenia ochrony na poziomie aplikacji. Do otwarcia aplikacji w kontekście służbowym będziemy wymagać kodu PIN. Ograniczymy również udostępnianie danych między aplikacjami i uniemożliwimy zapisywanie danych firmowych w lokalizacji prywatnej.

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Aplikacje>Ochrona aplikacji zasady>Utwórz zasady, a następnie wybierz pozycję iOS/iPadOS.

  3. Na stronie Podstawy skonfiguruj następujące ustawienia:

    • Nazwa: wprowadź wartość Test zasad aplikacji Outlook.
    • Opis: wprowadź Test zasad aplikacji Outlook.

    Wartość Platforma została ustawiona w poprzednim kroku, wybierając pozycję iOS/iPadOS.

    Wybierz przycisk Dalej, aby kontynuować.

  4. Na stronie Aplikacje wybierasz aplikacje zarządzane przez te zasady. W tym samouczku dodamy tylko program Microsoft Outlook:

    1. Upewnij się , że dla zasad docelowych ustawiono opcję Wybrane aplikacje.

    2. Wybierz pozycję + Wybierz aplikacje publiczne , aby otworzyć okienko Wybierz aplikacje do docelowego . Następnie z listy Aplikacje wybierz pozycję Microsoft Outlook , aby dodać ją do listy Wybrane aplikacje . Możesz wyszukać aplikację według identyfikatora pakietu lub nazwy. Wybierz pozycję Wybierz , aby zapisać wybór aplikacji.

      Znajdź i dodaj program Microsoft Outlook jako aplikację publiczną dla tych zasad.

      Okienko Wybieranie aplikacji do docelowego zostanie zamknięte, a program Microsoft Outlook pojawi się teraz w obszarze Aplikacje publiczne na stronie Aplikacje.

      Wybierz pozycję Outlook, aby dodać ją do listy Aplikacje publiczne dla tych zasad.

    Wybierz przycisk Dalej, aby kontynuować.

  5. Na stronie Ochrona danych skonfigurujesz ustawienia określające sposób interakcji użytkowników z danymi podczas korzystania z aplikacji chronionych przez te zasady ochrony aplikacji. Skonfiguruj następujące opcje:

    W kategorii Transfer danych skonfiguruj następujące ustawienia i pozostaw wszystkie inne ustawienia na wartościach domyślnych:

    • Wysyłanie danych organizacji do innych aplikacji — z listy rozwijanej wybierz pozycję Brak.
    • Odbieranie danych z innych aplikacji — z listy rozwijanej wybierz pozycję Brak.
    • Ogranicz wycinanie, kopiowanie i wklejanie między innymi aplikacjami — z listy rozwijanej wybierz pozycję Zablokowane.

    Wybierz ustawienia relokacji danych zasad ochrony aplikacji Outlook.

    Wybierz przycisk Dalej, aby kontynuować.

  6. Strona Wymagania dotyczące dostępu zawiera ustawienia umożliwiające konfigurowanie wymagań dotyczących numeru PIN i poświadczeń, które użytkownicy muszą spełnić, zanim będą mogli uzyskać dostęp do chronionych aplikacji w kontekście służbowym. Skonfiguruj następujące ustawienia, pozostawiając dla wszystkich pozostałych ustawień wartości domyślne:

    • W obszarze Kod PIN na potrzeby dostępu wybierz pozycję Wymagaj.
    • W obszarze Poświadczenia konta służbowego na potrzeby dostępu wybierz pozycję Wymagaj.

    Wybierz akcje dostępu zasad ochrony aplikacji Outlook.

    Wybierz przycisk Dalej, aby kontynuować.

  7. Na stronie Uruchamianie warunkowe skonfigurujesz wymagania dotyczące zabezpieczeń logowania dla tych zasad ochrony aplikacji. W tym samouczku nie trzeba konfigurować tych ustawień.

    Wybierz przycisk Dalej, aby kontynuować.

  8. Na stronie Przypisania są przypisywane zasady ochrony aplikacji do grup użytkowników. W tym samouczku nie przypiszemy tych zasad do grupy.

    Wybierz przycisk Dalej, aby kontynuować.

  9. Na stronie Następne: Przejrzyj i utwórz przejrzyj wartości i ustawienia wprowadzone dla tych zasad ochrony aplikacji. Wybierz pozycję Utwórz, aby utworzyć zasady ochrony aplikacji w Intune.

Zostały utworzone zasady ochrony aplikacji dla programu Outlook. Następnie skonfigurujesz dostęp warunkowy, aby urządzenia musiały korzystać z aplikacji Outlook.

Tworzenie zasad dostępu warunkowego

Następnie użyj centrum administracyjnego Microsoft Intune, aby utworzyć dwie zasady dostępu warunkowego w celu objęcia wszystkich platform urządzeń. Dostęp warunkowy można zintegrować z Intune, aby ułatwić kontrolowanie urządzeń i aplikacji, które mogą łączyć się z pocztą e-mail i zasobami organizacji.

  • Pierwsze zasady wymagają, aby klienci nowoczesnego uwierzytelniania korzystali z zatwierdzonej aplikacji Outlook i uwierzytelniania wieloskładnikowego (MFA). Klienci z nowoczesnym uwierzytelnianiem to m.in. programy Outlook dla systemu iOS i Outlook dla systemu Android.

  • Drugie zasady wymagają, aby klienci Exchange ActiveSync korzystali z zatwierdzonej aplikacji Outlook. (Obecnie program Exchange Active Sync nie obsługuje warunków innych niż platforma urządzenia). Zasady dostępu warunkowego można skonfigurować w centrum administracyjne Microsoft Entra lub użyć centrum administracyjnego Microsoft Intune, które przedstawia interfejs użytkownika dostępu warunkowego z Microsoft Entra. Ponieważ jesteśmy już w centrum administracyjnym, możemy utworzyć zasady tutaj.

Podczas konfigurowania zasad dostępu warunkowego w centrum administracyjnym Microsoft Intune naprawdę konfigurujesz te zasady w blokach Dostępu warunkowego z Azure Portal. W związku z tym interfejs użytkownika jest nieco inny niż interfejs używany dla innych zasad dla Intune.

Tworzenie zasad uwierzytelniania wieloskładnikowego dla klientów nowoczesnego uwierzytelniania

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Dostęp >warunkowyzabezpieczeń> punktu końcowegoUtwórz nowe zasady.

  3. W polu Nazwa wprowadź frazęTestowe zasady dla klientów z nowoczesnym uwierzytelnianiem.

  4. W obszarze Przypisania w polu Użytkownicy wybierz 0 wybranych użytkowników i grup. Na karcie Dołączanie wybierz pozycję Wszyscy użytkownicy. Wartość dla pozycji Użytkownicy jest aktualizowana dla wszystkich użytkowników.

    Rozpocznij konfigurację zasad dostępu warunkowego.

  5. W obszarze Przypisania w obszarze Zasoby docelowe wybierz pozycję Nie wybrano żadnych zasobów docelowych. Upewnij się, że ustawienie Wybierz, do czego mają zastosowanie te zasady , jest ustawione na aplikacje w chmurze. Ponieważ chcemy chronić Exchange Online wiadomości e-mail usługi Microsoft 365, wybierz ją, wykonując następujące kroki:

    1. Na karcie Dołączanie wybierz pozycję Wybierz aplikacje.
    2. W obszarze Wybierz kliknij pozycję Brak , aby otworzyć okienko Wybierz aplikacje w chmurze.
    3. Z listy aplikacji zaznacz pole wyboru Office 365 Exchange Online, a następnie wybierz pozycję Wybierz.
    4. Wybierz pozycję Gotowe, aby wrócić do okienka nowych zasad.

    Wybierz aplikację Office 365 Exchange Online.

  6. W obszarze Przypisania w obszarze Warunki wybierz pozycję 0 wybranych warunków, a następnie w obszarze Platformy urządzeń wybierz pozycję Nie skonfigurowano , aby otworzyć okienko Platformy urządzeń:

    1. Ustaw przełącznik Konfiguruj na wartość Tak.
    2. Na karcie Dołączanie wybierz pozycję Wybierz platformy urządzeń, a następnie zaznacz pola wyboru dla systemów Android i iOS.
    3. Wybierz pozycję Gotowe , aby zapisać konfigurację platformy urządzenia.

  7. Pozostań w okienku Warunki i wybierz pozycję Nie skonfigurowano dla aplikacji klienckich , aby otworzyć okienko Aplikacje klienckie:

    1. Ustaw przełącznik Konfiguruj na wartość Tak.
    2. Zaznacz pola wyboru dla aplikacji mobilnych i klientów klasycznych.
    3. Usuń zaznaczenia pozostałych pól wyboru.
    4. Wybierz pozycję Gotowe, aby wrócić do okienka nowych zasad.

    Wybierz pozycję Aplikacje mobilne i klientów jako warunki.

  8. W obszarze Kontrola dostępu w polu Udziel wybierz 0 wybranych warunków, a następnie:

    1. W okienku Udzielanie wybierz pozycję Udziel dostępu.
    2. Wybierz pozycję Wymagaj uwierzytelniania wieloskładnikowego.
    3. Wybierz pozycję Wymagaj zatwierdzonej aplikacji klienckiej.
    4. Dla wielu kontrolek ustaw opcję Wymagaj wszystkich wybranych kontrolek. To ustawienie zapewnia, że obydwa wybrane wymagania są wymuszane, gdy urządzenie próbuje uzyskać dostęp do poczty e-mail.
    5. Wybierz pozycję Wybierz , aby zapisać konfigurację udzielania.

    Aby skonfigurować opcję Udziel, wybierz opcję Kontroli dostępu.

  9. W obszarze Włącz zasady wybierz opcjęWłącz, a następnie wybierz pozycję Utwórz.

    Aby włączyć zasady, ustaw suwak Włącz zasady na wartość Włączone.

Zostały utworzone zasady dostępu warunkowego dla klientów z nowoczesnym uwierzytelnianiem. Teraz możesz utworzyć zasady dla klientów programu Exchange Active Sync.

Tworzenie zasad dla klientów programu Exchange Active Sync

Proces konfigurowania tych zasad jest podobny do poprzednich zasad dostępu warunkowego:

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Dostęp >warunkowyzabezpieczeń> punktu końcowegoUtwórz nowe zasady.

  3. W polu Nazwa wprowadź frazę Testowe zasady do obsługi klientów programu EAS.

  4. W obszarze Przypisania w polu Użytkownicy wybierz 0 użytkowników i grupy. Na karcie Dołączanie wybierz pozycję Wszyscy użytkownicy.

  5. W obszarze Przypisania w obszarze Zasoby docelowe wybierz pozycję Nie wybrano żadnych zasobów docelowych. Upewnij się, że opcja Wybierz, do czego mają zastosowanie te zasady, jest ustawiona na aplikacje w chmurze, a następnie skonfiguruj usługę Microsoft 365 Exchange Online poczty e-mail, wykonując następujące kroki:

    1. Na karcie Dołączanie wybierz pozycję Wybierz aplikacje.
    2. W obszarze Wybierz wybierz pozycję Brak.
    3. Z listy Aplikacje w chmurze zaznacz pole wyboru Office 365 Exchange Online, a następnie wybierz pozycję Wybierz.

  6. W obszarze Przypisania otwórz pozycję Warunki>Platformy urządzeń, a następnie:

    1. Ustaw przełącznik Konfiguruj na wartość Tak.
    2. Na karcie Dołączanie wybierz pozycję Dowolne urządzenie, a następnie wybierz pozycję Gotowe.

  7. Pozostań w okienku Warunki , rozwiń pozycję Aplikacje klienckie, a następnie:

    1. Ustaw przełącznik Konfiguruj na wartość Tak.
    2. Wybierz pozycję Aplikacje mobilne i klienci stacjonarni.
    3. Wybierz pozycję klienci programu Exchange ActiveSync.
    4. Usuń zaznaczenia wszystkich pozostałych pól wyboru.
    5. Wybierz pozycję Gotowe.

    Skonfiguruj aplikacje klienckie dla kategorii Warunki.

  8. W obszarze Kontrola dostępu rozwiń węzeł Udziel , a następnie:

    1. W okienku Udzielanie wybierz pozycję Udziel dostępu.
    2. Wybierz pozycję Wymagaj zatwierdzonej aplikacji klienckiej. Wyczyść wszystkie inne pola wyboru, ale pozostaw konfigurację Dla wielu kontrolek ustawioną na Wymagaj wszystkich wybranych kontrolek.
    3. Zaznacz pozycję Wybierz.

    skonfiguruj opcję Wymagaj zatwierdzonej aplikacji klienckiej dla kategorii Udzielanie.

  9. W obszarze Włącz zasady wybierz opcjęWłącz, a następnie wybierz pozycję Utwórz.

Zasady ochrony aplikacji i dostęp warunkowy zostały teraz utworzone i są gotowe do testowania.

Wypróbuj to

Dzięki zasadom utworzonym w tym samouczku urządzenia muszą zostać zarejestrowane w Intune i korzystać z aplikacji mobilnej Outlook, aby można było użyć urządzenia do uzyskiwania dostępu do poczty e-mail platformy Microsoft 365. Aby przetestować ten scenariusz w urządzeniu z systemem iOS, zaloguj się do usługi Exchange Online przy użyciu poświadczeń dla użytkownika w dzierżawie testowej.

  1. Aby przetestować na telefonie iPhone, przejdź do pozycji Ustawienia>Hasła i konta>Dodaj konto>Exchange.

  2. Wprowadź adres e-mail użytkownika w dzierżawie testowej, a następnie wybierz pozycję Dalej.

  3. Wybierz pozycję Zaloguj się.

  4. Wprowadź hasło użytkownika testowego i wybierz pozycję Zaloguj się.

  5. Zostanie wyświetlony komunikat Wymagane dalsze informacje oznaczający, że należy skonfigurować usługę MFA. Przejdź dalej i skonfiguruj inną metodę weryfikacji.

  6. Następnie zobaczysz komunikat informujący, że próbujesz otworzyć ten zasób przy użyciu aplikacji, która nie została zatwierdzona przez dział IT. Ten komunikat oznacza, że możliwość korzystania z natywnej aplikacji poczty jest blokowana. Anuluj logowanie.

  7. Otwórz aplikację Outlook i wybierz pozycję Ustawienia>Dodaj konto>Dodaj konto e-mail.

  8. Wprowadź adres e-mail użytkownika w dzierżawie testowej, a następnie wybierz pozycję Dalej.

  9. Naciśnij pozycję Zaloguj się przy użyciu usługi Office 365. Zostanie wyświetlony monit o kolejne uwierzytelnianie i rejestrację. Po zalogowaniu możesz przetestować akcje, takie jak wycinanie, kopiowanie, wklejanie i zapisywanie jako.

Czyszczenie zasobów

Gdy zasady testowe nie są już potrzebne, można je usunąć.

  1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

  2. Wybierz pozycję Zgodność urządzeń>.

  3. Na liście Nazwa zasad wybierz menu kontekstowe (...) dla zasad testowych, a następnie wybierz pozycję Usuń. Wybierz przycisk OK, aby potwierdzić.

  4. Przejdź do obszaru Zasady dostępu >warunkowegozabezpieczeń> punktu końcowego.

  5. Z listy Nazwa zasad wybierz menu kontekstowe (...) dla każdej z zasad testowych, a następnie wybierz pozycję Usuń. Wybierz pozycję Tak, aby potwierdzić.

Następne kroki

W tym samouczku utworzono zasady ochrony aplikacji, aby ograniczyć czynności, które użytkownik może wykonać w aplikacji Outlook. Utworzono również zasady dostępu warunkowego, aby wymagać użycia aplikacji Outlook i usługi MFA w przypadku nowoczesnych klientów uwierzytelniania. Aby dowiedzieć się więcej o ochronie innych aplikacji i usług za pomocą usługi Intune z dostępem warunkowym, zobacz artykuł Dowiedz się więcej o dostępie warunkowym i usłudze Intune.