教學課程：使用 Microsoft Intune 保護非受控 iOS 裝置上 Exchange Online 電子郵件

本教學課程示範如何使用 Microsoft Intune 應用程式保護原則搭配 Microsoft Entra 條件式存取，以封鎖使用非受控 iOS 裝置或 Outlook 行動應用程式以外的應用程式存取 Microsoft 365 電子郵件的使用者存取 Exchange Online。 這些原則的結果適用於 iOS 裝置未在裝置管理解決方案中註冊時，例如 Intune。

在本教學課程中，您將瞭解如何：

• 為 Outlook 應用程式建立 Intune 應用程式保護原則。 您可以防止另存 新 檔並限制 剪下、 複製和 貼上 動作，以限制使用者對應用程式數據可以執行的動作。
• 建立 Microsoft Entra 條件式存取原則，只允許 Outlook 應用程式在 Exchange Online 中存取公司電子郵件。 您也需要多重要素驗證 (新式驗證用戶端的 MFA) ，例如 iOS 版 Outlook 和 Android 版。

必要條件

在本教學課程中，我們建議使用非生產試用訂用帳戶。

試用版訂用帳戶可協助您避免在本教學課程期間使用錯誤的設定影響生產環境。 試用版也可讓我們只使用您在建立試用版訂用帳戶時所建立的帳戶來設定和管理 Intune，因為它有許可權可完成本教學課程的每個工作。 使用此帳戶不需要在本教學課程中建立和管理系統管理帳戶。

本教學課程需要具有下列訂用帳戶的測試租使用者：

• Microsoft Intune 方案 1 訂用帳戶 (註冊免費試用帳戶)
• Microsoft Entra ID P1 (免費試用)
• 包含 Exchange (免費試用) 的 Microsoft 365 Apps 商務版 訂用帳戶

登入 Intune

在本教學課程中，當您登入 Microsoft Intune 系統管理中心時，請使用註冊 Intune 試用訂閱時所建立的帳戶登入。 在本教學課程中，請繼續使用此帳戶登入系統管理中心。

建立應用程式保護原則

在本教學課程中，我們會為 Outlook 應用程式設定 iOS 的 Intune 應用程式保護原則，以在應用層級設定保護。 我們需要 PIN 才能在工作內容中開啟應用程式。 我們也會限制應用程式之間的數據共用，並防止公司數據儲存到個人位置。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [應用程式>保護>建立原則]，然後選取 [iOS/iPadOS]。

3. 在 [ 基本] 頁面上，設定下列設定：

   • 名稱：輸入 Outlook 應用程式原則測試。
   • 描述：輸入 Outlook 應用程式原則測試。

   平臺值是在上一個步驟中選取 iOS/iPadOS 所設定。

   選取 [下一步] 繼續。

4. 在 [ 應用程式] 頁面上，您可以選擇此原則所管理的應用程式。 在本教學課程中，我們只會新增 Microsoft Outlook：

   1. 確定 [目標原則 ] 設為 [ 選取的應用程式]。

   2. 選擇 [+ 選擇公用應用程式] 以開啟 [ 選取要設定目標的應用程式] 窗 格。 然後，從 [應用程式] 列表中選 取 [Microsoft Outlook ]，將其新增至 [ 選取的應用程式] 清單。 您可以依套件組合識別碼或名稱來搜尋應用程式。 選擇 [選取 ] 以儲存應用程式選取專案。

      

      [ 選取要設為目標的應用程式 ] 窗格會關閉並Microsoft Outlook 現在會出現在 [應用程式] 頁面上的 [公用應用程式 ] 底下。

      

   選取 [下一步] 繼續。

5. 在 [ 資料保護 ] 頁面上，您會設定，以決定使用者在使用受此應用程式保護原則保護的應用程式時，如何與數據互動。設定下列選項：

   針對 [資料傳輸 ] 類別，請設定下列設定，並將所有其他設定保留為其預設值：

   • 將組織數據傳送至其他應用程式 - 從下拉式清單中，選取 [ 無]。
   • 從其他應用程式接收數據 - 從下拉式清單中，選取 [ 無]。
   • 限制其他應用程式之間的剪下、複製和貼上- 從下拉式清單中，選取 [ 封鎖]。

   

   選取 [下一步] 繼續。

6. [ 存取需求 ] 頁面提供設定，可讓您設定用戶必須符合的 PIN 和認證需求，才能在工作內容中存取受保護的應用程式。 設定下列設定，將所有其他設定保留為其預設值：

   • 針對 [PIN 以進行存取]，選取 [ 需要]。
   • 針對 [公司或學校帳戶認證] 進行存取，選取 [ 需要]。

   

   選取 [下一步] 繼續。

7. 在 [條件式啟動 ] 頁面上，您可以設定此應用程式保護原則的登入安全性需求。 在本教學課程中，您不需要設定這些設定。

   選取 [下一步] 繼續。

8. [ 指派] 頁面是您將應用程式保護原則指派給使用者群組的位置。 在本教學課程中，我們不會將此原則指派給群組。

   選取 [下一步] 繼續。

9. 在 [ 下一步：檢閱 + 建立] 頁面上，檢閱您為此應用程式保護原則輸入的值和設定。 選取 [建立] 以在 Intune 中建立應用程式保護原則。

已建立 Outlook 的應用程式保護原則。 接下來，您將設定條件式存取，以要求裝置使用 Outlook 應用程式。

建立條件式存取原則

接下來，使用 Microsoft Intune 系統管理中心來建立兩個條件式存取原則，以涵蓋所有裝置平臺。 您將條件式存取與 Intune整合，以協助控制可連線到組織電子郵件和資源的裝置和應用程式。

• 第一個原則要求新式驗證用戶端使用已核准的 Outlook 應用程式和多重要素驗證 (MFA) 。 新式驗證用戶端包括iOS版 Outlook 和 Android 版 Outlook。

• 第二個原則要求 Exchange ActiveSync 用戶端使用核准的 Outlook 應用程式。 (目前，Exchange Active Sync 不支援裝置平臺) 以外的條件。 您可以在 Microsoft Entra 系統管理中心 中設定條件式存取原則，或使用 Microsoft Intune 系統管理中心，其會顯示來自 Microsoft Entra 的條件式存取 UI。 因為我們已經在系統管理中心，所以我們可以在這裡建立原則。

當您在 Microsoft Intune 系統管理中心設定條件式存取原則時，實際上是在 Azure 入口網站 的 [條件式存取] 刀鋒視窗中設定這些原則。 因此，使用者介面與您用於其他 Intune 原則的介面稍有不同。

建立新式驗證用戶端的多重要素驗證原則

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [端點安全>性條件式存取>] [建立新原則]。

3. 針對 [名稱]，輸入 新式驗證客戶端的測試原則。

4. 在 [ 指派] 底下，針對 [ 使用者] 選 取 [0 個已選取的使用者和群組]。 在 [ 包含] 索引標籤上，選取 [ 所有使用者]。 [ 使用者 ] 的值會更新為 [所有使用者]。

   

5. 在 [ 指派] 底下，針對 [目標資源] 選 取 [未選取目標資源]。 請確定 [選取此原則適用的內容 ] 已設定為 [雲端應用程式]。 因為我們想要保護 Microsoft 365 Exchange Online 電子郵件，請遵循下列步驟加以選取：

   1. 在 [ 包含] 索引標籤上，選擇 [選取應用程式]。
   2. 針對 [選取]，按兩下 [ 無] 以開啟 [雲端應用程式 選取 ] 窗格。
   3. 從應用程式清單中，選取 Office 365 Exchange Online的複選框，然後選擇 [選取]。
   4. 選 取 [完成 ] 以返回 [新增原則] 窗格。

   

6. 在 [ 指派] 底下，針對 [條件] 選 取 [選取 0 個條件]，然後針對 [ 裝置平臺 ] 選取 [ 未 設定] 以開啟 [裝置平臺] 窗格：

   1. 將 [ 設定] 切換開關設定為 [是]。
   2. 在 [ 包含] 索引標籤上，選擇 [選取裝置平臺]，然後選取 Android 和 iOS 的複選框。
   3. 選 取 [完成 ] 以儲存裝置平台設定。

7. 保留在 [ 條件] 窗格上，然後選取 [ 未 設定 用戶端應用程式 ] 以開啟 [用戶端應用程式] 窗格：

   1. 將 [ 設定] 切換開關設定為 [是]。
   2. 選取行動 應用程式和桌面客戶端的複選框。
   3. 清除其他複選框。
   4. 選 取 [完成 ] 以返回 [新增原則] 窗格。

   

8. 在 [訪問控制] 下方，針對 [ 授與] 選 取 [選取 0 個條件]，然後：

   1. 在 [ 授與] 窗格上，選取 [ 授與存取權]。
   2. 選 取 [需要多重要素驗證]。
   3. 選 取 [需要核准的用戶端應用程式]。
   4. 將 [針對多個控件] 設定為 [需要所有選取的控件]。 此設定可確保當裝置嘗試存取電子郵件時，會強制執行您選取的兩個需求。
   5. 選擇 [選取 ] 以儲存授與設定。

   

9. 在 [ 啟用原則] 底下，選取 [ 開啟]，然後選取 [ 建立]。

   

系統會建立新式驗證客戶端的條件式存取原則。 現在您可以建立 Exchange Active Sync 客戶端的原則。

建立 Exchange Active Sync 客戶端的原則

設定此原則的程式與先前的條件式存取原則類似：

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [端點安全>性條件式存取>] [建立新原則]。

3. 針對 [名稱]，輸入 EAS用戶端的測試原則。

4. 在 [ 指派] 底下，針對 [ 使用者] 選取 [0 個使用者和群組]。 在 [ 包含] 索引標籤上，選取 [ 所有使用者]。

5. 在 [ 指派] 底下，針對 [目標資源] 選 取 [未選取目標資源]。 請確定 [選取此原則適用的內容] 設定為 [雲端應用程式]，然後使用下列步驟設定 Microsoft 365 Exchange Online 電子郵件：

   1. 在 [ 包含] 索引標籤上，選擇 [選取應用程式]。
   2. 針對 [選取]，選擇 [ 無]。
   3. 從 [雲端應用程式] 清單中，選取 Office 365 Exchange Online 的複選框，然後選擇 [選取]。

6. 在 [ 指派] 下 ，開啟 [條件>裝置平臺]，然後：

   1. 將 [ 設定] 切換開關設定為 [是]。
   2. 在 [ 包含] 索 引標籤上，選取 [ 任何裝置]，然後選取 [ 完成]。

7. 保留在 [ 條件] 窗格上，展開 [ 用戶端應用程式]，然後：

   1. 將 [ 設定] 切換開關設定為 [是]。
   2. 選 取 [行動應用程式和桌面用戶端]。
   3. 選 Exchange ActiveSync 用戶端。
   4. 清除所有其他複選框。
   5. 選取 [完成]。

   

8. 在 [ 訪問控制] 底下，展開 [授與 ]，然後：

   1. 在 [ 授與] 窗格上，選取 [ 授與存取權]。
   2. 選 取 [需要核准的用戶端應用程式]。 清除所有其他複選框，但將 [ 多個控件 的設定] 設定為 [需要所有選取的控件]。
   3. 選擇 [選取]。

   

9. 在 [ 啟用原則] 底下，選取 [ 開啟]，然後選取 [ 建立]。

您的應用程式保護原則和條件式存取現在已就緒並準備好進行測試。

進行測試

使用您在本教學課程中建立的原則，裝置必須先註冊 Intune 並使用 Outlook 行動應用程式，裝置才能存取Microsoft 365 電子郵件。 若要在 iOS 裝置上測試此案例，請嘗試使用測試租用戶中使用者的認證登入 Exchange Online。

1. 若要在 iPhone 上測試，請移至 [ 設定>密碼 & 帳戶>新增帳戶>交換]。

2. 輸入測試租用戶中用戶的電子郵件地址，然後按 [下一步]。

3. 按 [登入]。

4. 輸入測試用戶的密碼，然後按 [ 登入]。

5. [ 需要更多資訊] 訊息隨即出現，這表示系統會提示您設定 MFA。 繼續並設定另一個驗證方法。

6. 接下來，您會看到一則訊息，指出您正嘗試使用 IT 部門未核准的應用程式來開啟此資源。 訊息表示您遭到封鎖，無法使用原生郵件應用程式。 取消登入。

7. 開啟 Outlook 應用程式，然後選取> [設定][新增帳戶][新增 Email> 帳戶]。

8. 輸入測試租用戶中用戶的電子郵件地址，然後按 [下一步]。

9. 按 [使用 Office 365 登入]。 系統會提示您進行另一個驗證和註冊。 登入之後，您可以測試剪下、複製、貼上和另 存新檔等動作。

清除資源

當不再需要測試原則時，您可以將其移除。

1. 登入 Microsoft Intune 系統管理中心。

2. 選 取 [裝置>合規性]。

3. 在 [ 原則名稱] 清單中，選取測試原則的作功能表 (...) ，然後選取 [ 刪除]。 選取 [確定 ] 以確認。

4. 移至 [端點安全>性條件式存取> 原則]。

5. 在 [ 原則名稱] 清單中，選取每個測試原則 (...) 作菜单，然後選取 [ 刪除]。 選取 [是] 加以確認。

後續步驟

在本教學課程中，您已建立應用程式保護原則來限制使用者可以使用 Outlook 應用程式執行的動作，並建立了條件式存取原則來要求 Outlook 應用程式，並要求新式驗證用戶端使用 MFA。 若要深入瞭解如何使用 Intune 與條件式存取來保護其他應用程式和服務，請參閱瞭解條件式存取和 Intune。