教程:使用 Microsoft Intune 保护非托管 iOS 设备上的Exchange Online电子邮件

本教程演示如何将Microsoft Intune应用保护策略与Microsoft Entra条件访问结合使用,以阻止使用非托管 iOS 设备或 Outlook 移动应用以外的应用访问Microsoft 365 电子邮件的用户访问Exchange Online。 当 iOS 设备未在设备管理解决方案(如Intune)中注册时,这些策略的结果适用。

在本教程中,你将学习如何:

  • 为 Outlook 应用创建 Intune 应用保护策略。 你将通过阻止 “另存为” 和限制 剪切复制粘贴 操作来限制用户对应用数据执行的操作。
  • 创建Microsoft Entra条件访问策略,仅允许 Outlook 应用访问Exchange Online中的公司电子邮件。 还需要为新式身份验证客户端(如 Outlook for iOS 和 Outlook for Android)提供多重身份验证 (MFA)。

先决条件

对于本教程,我们建议使用非生产试用版订阅。

在本教程中,试用订阅有助于避免影响配置错误的生产环境。 试用版还允许我们仅使用在创建试用订阅时创建的帐户来配置和管理Intune,因为它有权完成本教程的每个任务。 使用此帐户无需在本教程中创建和管理管理帐户。

本教程需要具有以下订阅的测试租户:

登录到 Intune

在本教程中,登录到 Microsoft Intune 管理中心时,请使用注册Intune试用版订阅时创建的帐户登录。 在整个本教程中,请继续使用此帐户登录到管理中心。

创建应用保护策略

在本教程中,我们为 Outlook 应用设置适用于 iOS 的Intune应用保护策略,以便在应用级别实施保护。 我们需要一个 PIN 在工作环境中打开应用程序。 我们还将限制应用程序之间的数据共享,并防止公司数据被保存到个人位置。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“应用>应用保护策略>”“创建策略”,然后选择“iOS/iPadOS”。

  3. 在“基本信息”页上,配置下列设置:

    • 名称:输入“Outlook 应用策略测试”。
    • 描述:输入“Outlook 应用策略测试”。

    平台值是在上一步中通过选择 iOS/iPadOS 设置的

    选择“下一步”以继续。

  4. “应用 ”页上,选择此策略管理的应用。 在本教程中,我们将仅添加Microsoft Outlook:

    1. 确保 目标策略 设置为 “所选应用”。

    2. 选择 “+ 选择公共应用” ,打开 “选择目标应用 ”窗格。 然后,从“应用程序”列表中选择“ Microsoft Outlook ”,将其添加到 “所选应用” 列表中。 可以按捆绑包 ID 或名称搜索应用。 选择 “选择” 以保存应用选择。

      找到 Microsoft Outlook 并将其添加为此策略的公共应用。

      选择要面向的应用” 窗格将关闭,Microsoft Outlook 现在显示在 “应用”页面上的“公共应用 ”下。

      选择“Outlook”将其添加到此策略的“公共应用”列表中。

    选择“下一步”以继续。

  5. “数据保护 ”页上,配置设置,确定用户在使用此应用保护策略保护的应用时如何与数据进行交互。配置以下选项:

    对于 “数据传输 ”类别,请配置以下设置,并将所有其他设置保留为其默认值:

    • 将组织数据发送到其他应用 - 从下拉列表中选择“ ”。
    • 从其他应用接收数据 - 从下拉列表中选择“ ”。
    • 限制其他应用之间的剪切、复制和粘贴 - 从下拉列表中选择“ 已阻止”。

    选择 Outlook 应用保护策略数据重定位设置。

    选择“下一步”以继续。

  6. “访问要求”页提供设置,用于配置用户必须满足的 PIN 和凭据要求,然后才能访问工作上下文中的受保护应用。 配置以下设置,并将所有其他设置保留为其默认值:

    • 对于“用于访问的 PIN”,选择“必需”。
    • 对于“用于访问的工作或学校帐户凭据”,选择“必需”。

    选择 Outlook 应用保护策略访问操作。

    选择“下一步”以继续。

  7. “条件启动 ”页上,配置此应用保护策略的登录安全要求。 对于本教程,不需要配置这些设置。

    选择“下一步”以继续。

  8. 分配 ”页是将应用保护策略分配给用户组的位置。 在本教程中,我们不会将此策略分配给组。

    选择“下一步”以继续。

  9. 在“下一页:查看+创建”页面,查看为此应用保护策略输入的值和设置。 选择“创建”,在 Intune 中创建应用保护策略。

将创建 Outlook 的应用保护策略。 接下来,设置条件访问,要求设备使用 Outlook 应用。

创建条件访问策略

接下来,使用 Microsoft Intune 管理中心创建两个条件访问策略,以涵盖所有设备平台。 将条件访问与Intune集成,以帮助控制可以连接到组织电子邮件和资源的设备和应用。

  • 第一个策略要求新式身份验证客户端使用批准的 Outlook 应用和多重身份验证 (MFA) 。 新式身份验证客户端包括 Outlook for iOS 和 Outlook for Android。

  • 第二个策略要求Exchange ActiveSync客户端使用批准的 Outlook 应用。 (目前,Exchange Active Sync 不支持设备平台以外的条件)。 可以在Microsoft Entra 管理中心中配置条件访问策略,也可以使用Microsoft Intune管理中心,该管理中心提供来自 Microsoft Entra 的条件访问 UI。 由于我们已经在管理中心中,因此可以在此处创建策略。

在 Microsoft Intune 管理中心配置条件访问策略时,实际上是在Azure 门户的“条件访问”边栏选项卡中配置这些策略。 因此,用户界面与用于Intune的其他策略的界面稍有不同。

为新式身份验证客户端创建多重身份验证策略

  1. 登录到 Microsoft Intune 管理中心

  2. 选择 “终结点安全性>条件访问>”“创建新策略”。

  3. 对于“名称”,输入“新式身份验证客户端的测试策略”。

  4. “分配”下,对于“ 用户”,选择 选择了 0 个用户和组。 在“ 包括 ”选项卡上,选择“ 所有用户”。 “用户”的值更新为“所有用户”。

    开始配置条件访问策略。

  5. “分配”下,对于“ 目标资源”,选择“ 未选择目标资源”。 确保 “选择此策略应用于的内容” 设置为 “云应用”。 由于我们想要保护 Microsoft 365 Exchange Online电子邮件,请按照以下步骤将其选中:

    1. 在“包含”选项卡上,选择“选择应用”。
    2. 对于 “选择”,单击“ ”打开“云应用 选择 ”窗格。
    3. 从应用程序列表中,选中“Office 365 Exchange Online”复选框,然后选择“选择”。
    4. 选择“完成”,返回到“新建策略”窗格。

    选择 Office 365 Exchange Online 应用。

  6. “分配”下,对于“ 条件”,选择 “0 个条件”,对于 “设备平台 ”,选择“ 未配置 ”以打开“设备平台”窗格:

    1. “配置” 切换开关设置为 “是”。
    2. 在“ 包括 ”选项卡上,选择 “选择设备平台”,然后选中 AndroidiOS 的复选框。
    3. 选择“ 完成 ”以保存设备平台配置。
  7. 保留在“条件”窗格中,选择“未配置客户端应用”以打开“客户端应用”窗格:

    1. “配置” 切换开关设置为 “是”。
    2. 选中 移动应用和桌面客户端的复选框。
    3. 清除其他复选框。
    4. 选择“完成”,返回到“新建策略”窗格。

    选择“移动应用和客户端”作为条件。

  8. “访问控制”下,对于 “授予”,选择 “0 个条件”,然后:

    1. 在“授予”窗格上,选择“授予访问权限”。
    2. 选择“需要多重身份验证”
    3. 选择“需要已批准的客户端应用”。
    4. “针对多个控件”设置为“需要所有选定的控件”。 此设置可确保当设备尝试访问电子邮件时强制执行所选的这两项要求。
    5. 选择 “选择” 以保存“授予”配置。

    若要配置“授予”,请选择“访问控制”。

  9. 在“启用策略”下,选择“启用”,然后选择“创建”。

    若要启用策略,请将“启用策略”滑块设置为“打开”。

将创建新式身份验证客户端条件访问策略。 现在可以为 Exchange Active Sync 客户端创建一个策略。

为 Exchange Active Sync 客户端创建策略

配置此策略的过程类似于以前的条件访问策略:

  1. 登录到 Microsoft Intune 管理中心

  2. 选择 “终结点安全性>条件访问>”“创建新策略”。

  3. 对于“名称”,输入“EAS 客户端的测试策略”。

  4. “分配”下,对于 “用户”,选择 0 个用户和组。 在“ 包括 ”选项卡上,选择“ 所有用户”。

  5. “分配”下,对于“ 目标资源”,选择“ 未选择目标资源”。 确保“选择此策略应用于的内容”设置为“云应用”,然后使用以下步骤配置 Microsoft 365 Exchange Online电子邮件:

    1. 在“包含”选项卡上,选择“选择应用”。
    2. 对于 “选择”,请选择“ ”。
    3. 从“云应用”列表中,选中“Office 365 Exchange Online”复选框,然后选择“选择”。
  6. “分配”下打开“条件>”设备平台,然后:

    1. “配置” 切换开关设置为 “是”。
    2. 在“包含”选项卡上,选择“任何设备”,然后选择“完成”。
  7. 保留在 “条件” 平移上,展开“ 客户端应用”,然后:

    1. “配置” 切换开关设置为 “是”。
    2. 选择“移动应用和桌面客户端”。
    3. 选择“Exchange ActiveSync 客户端”
    4. 清除所有其他复选框。
    5. 选择“完成”。

    为“条件”类别配置客户端应用。

  8. “访问控制”下,展开“ 授予” ,然后:

    1. 在“授予”窗格上,选择“授予访问权限”。
    2. 选择“需要已批准的客户端应用”。 清除所有其他检查框,但将“针对多个控件的配置”设置为“需要所有选定的控件”。
    3. 选择“选择”。

    配置“授予”类别的“需要已批准的客户端应用”。

  9. 在“启用策略”下,选择“启用”,然后选择“创建”。

应用保护策略和条件访问现已就绪,可以进行测试了。

试用

使用本教程中创建的策略,设备必须在 Intune 中注册并使用 Outlook 移动应用,然后才能使用设备访问 Microsoft 365 电子邮件。 若要在 iOS 设备上测试此方案,请尝试使用测试租户中用户的凭据登录到 Exchange Online。

  1. 若要在 iPhone 上测试,请转到“设置”>“密码和帐户”>“添加帐户”>“Exchange”。

  2. 在测试租户中,为用户输入电子邮件地址,然后按“下一步”

  3. 按“登录”

  4. 输入测试用户的密码,然后按“登录”。

  5. 将出现消息“需要更多信息”,这意味着系统会提示你设置 MFA。 继续并设置另一个验证方法。

  6. 接下来你将看到一条消息,指示你正尝试用 IT 部门未批准的应用打开此资源。 该消息意味着你将被阻止使用本机邮件应用。 取消登录。

  7. 打开 Outlook 应用,并选择“设置”>“添加帐户”>“添加电子邮件帐户”

  8. 在测试租户中,为用户输入电子邮件地址,然后按“下一步”。

  9. 按“使用 Office 365 登录”。 系统将提示你进行另一次身份验证和注册。 登录后,可以测试剪切、复制、粘贴和 另存为等操作。

清理资源

当不再需要测试策略时,可以删除它们。

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“ 设备>符合性”。

  3. “策略名称 ”列表中,选择测试策略 (...) 上下文菜单,然后选择“ 删除”。 选择“确定”以确认。

  4. 转到 终结点安全性>条件访问> 策略。

  5. 在“策略名称”列表中,为每个测试策略选择上下文菜单 (...),然后选择“删除”。 选择“”进行确认。

后续步骤

在本教程中,创建了应用保护策略来限制用户对 Outlook 应用的操作,还创建了需要 Outlook 应用并要求对新式身份验证客户端进行 MFA 的条件访问策略。 若要详细了解如何将 Intune 与条件访问结合使用来保护其他应用和服务,请参阅了解条件访问和 Intune