Kurz: Ochrana Exchange Online e-mailu na spravovaných zařízeních pomocí Microsoft Intune

Tento kurz ukazuje, jak používat zásady dodržování předpisů pro zařízení od Microsoftu s Microsoft Entra zásadami podmíněného přístupu k tomu, aby zařízení s iOSem povolila přístup k Exchangi jenom v případě, že jsou spravovaná přes Intune a používají schválenou e-mailovou aplikaci.

V tomto kurzu se naučíte:

• Vytvořte zásady dodržování předpisů zařízení s iOSem v Intune a nastavte podmínky, které musí zařízení splňovat, aby bylo považováno za vyhovující.
• Vytvořte zásadu podmíněného přístupu Microsoft Entra, která vyžaduje, aby se zařízení s iOSem zaregistrovala v Intune, dodržovala zásady Intune a používala schválenou mobilní aplikaci Outlook pro přístup k Exchange Online e-mailu.

Požadavky

Pro účely tohoto kurzu potřebujete testovacího tenanta s následujícími předplatnými:

• Microsoft Intune předplatného Plan 1 (registrace bezplatného zkušebního účtu)
• Microsoft Entra ID P1 (bezplatná zkušební verze)
• Microsoft 365 Apps pro firmy předplatné, které zahrnuje Exchange (bezplatná zkušební verze)

Přihlášení k Intune

Přihlaste se do Centra pro správu Microsoft Intune jako Globální správce nebo jako správce služby Intune. Pokud máte zkušební předplatné Intune, účet, se kterým jste předplatné vytvořili, je Globální správce.

Vytvoření e-mailového profilu zařízení

Tento kurz vyžaduje, abyste vytvořili profil Email zařízení s iOS/iPadOS. Pokud to chcete udělat, postupujte podle pokynů v kroku 11 – Vytvoření profilu zařízení v oblasti Vyzkoušet úlohy v Intune v dokumentaci k Intune. E-mailový profil se používá k tomu, aby zařízení s iOS/iPad používala pracovní e-mail.

Když vytvoříte e-mailový profil, přiřaďte ho stejné skupině zařízení, kterou později použijete pro zásady dodržování předpisů zařízením a zásady podmíněného přístupu , které vytvoříte v následujících krocích tohoto kurzu.

Po vytvoření e-mailového profilu se vraťte sem a pokračujte.

Vytvoření zásad dodržování předpisů zařízením s iOSem

Nastavte zásady dodržování předpisů zařízením v Intune a nastavte podmínky, které zařízení musí splňovat, aby bylo považováno za vyhovující. Pro účely tohoto kurzu vytvoříme zásady dodržování předpisů pro zařízení s iOSem. Zásady dodržování předpisů jsou specifické pro konkrétní platformu, takže potřebujete samostatné zásady dodržování předpisů pro každou platformu zařízení, kterou chcete vyhodnotit.

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. VyberteDodržování předpisůzařízením>.

3. Na kartě Zásady zvolte Vytvořit zásadu.

4. Na stránce Vytvořit zásadu v části Platforma vyberte iOS/iPadOS. Pokračujte výběrem možnosti Vytvořit .

5. Na kartě Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název nového profilu. V tomto příkladu zadejte test zásad dodržování předpisů pro iOS.
   • Popis: Volitelné – Zadejte test zásad dodržování předpisů pro iOS.

   Pokračujte výběrem možnosti Další .

6. Na kartě Nastavení dodržování předpisů :

   1. Rozbalte Email a nastavte Možnost Nejde nastavit e-mail na zařízení na Vyžadovat.

   2. Rozbalte položku Stav zařízení a nastavte Zařízení s jailbreakem na Blokovat.

   3. Rozbalte položku Zabezpečení systému a nakonfigurujte následující nastavení:

      • Vyžadovat heslo k odemknutí mobilních zařízení
      • Jednoduchá hesla k blokování
      • Minimální délka hesla na 4

      Tip

      Výchozí hodnoty, které jsou šedě a kurzívou, jsou pouze doporučení. Hodnoty, které jsou doporučeními ke konfiguraci nastavení, musíte nahradit.

      • Požadovaný typ hesla pro alfanumerické znaky
      • Maximum minutes after screen lock before password is required to Immediately
      • Vypršení platnosti hesla (dny) až 41
      • Počet předchozích hesel, aby se zabránilo opakovanému použití na 5

   Pokud chcete pokračovat, vyberte Další.

   

7. Výběrem možnosti Další přeskočíte akce pro nedodržování předpisů.

8. Na kartě Přiřazení v části Zahrnuté skupiny vyberte Přidat všechna zařízení nebo vyberte skupinu obsahující jenom ta zařízení, která by měla tuto zásadu přijímat. Nezapomeňte použít stejné přiřazení, které jste použili pro e-mailový profil zařízení.

   Pokračujte výběrem možnosti Další .

9. Na kartě Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí.

Vytvoření zásady podmíněného přístupu

Dále pomocí Centra pro správu Microsoft Intune vytvořte zásady podmíněného přístupu. Podmíněný přístup integrujete s Intune, abyste mohli řídit zařízení a aplikace, které se můžou připojit k e-mailu a prostředkům vaší organizace.

Zásady podmíněného přístupu:

• Vyžadovat, aby se zařízení s libovolnou platformou zaregistrovala v Intune a dodržovala vaše zásady dodržování předpisů v Intune, než bude možné tato zařízení použít pro přístup k Exchange Online.
• Vyžadovat, aby zařízení používala aplikaci Outlook pro přístup k e-mailu.

Zásady podmíněného přístupu se dají konfigurovat v Centrum pro správu Microsoft Entra nebo v Centru pro správu Microsoft Intune. Vzhledem k tomu, že už jsme v Centru pro správu, můžeme zásady vytvořit tady.

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte Zabezpečení koncového bodu>Podmíněný přístup>Vytvořit novou zásadu.

3. Jako Název zadejte Testovací zásady pro e-mail Microsoftu 365.

4. V části Přiřazení v části Uživatelé vyberte 0 vybraných uživatelů a skupin. Na kartě Zahrnout vyberte Všichni uživatelé. Hodnota Uživatelé se aktualizuje na Všichni uživatelé.

5. V části Přiřazení také vyberte Cílové prostředky. V rozevíracím seznamu Vyberte, na co se tato zásada vztahuje , vyberte Cloudové aplikace.

   Teď, protože chceme chránit Microsoft 365 Exchange Online e-mailu, vyberte tuto aplikaci následujícím postupem:

   1. Na kartě Zahrnout zvolte Vybrat aplikace.
   2. V kategorii Vybrat vyberte Žádný . Otevře se podokno Vybrat se seznamem aplikací.
   3. V seznamu aplikací zaškrtněte políčko pro Office 365 Exchange Online a pak zvolte Vybrat.

   

6. V části Přiřazení také vyberte Podmínky>Platformy zařízení a otevřete podokno Platformy zařízení .

   1. Nastavte Konfigurovat na Ano.
   2. Na kartě Zahrnout vyberte Libovolné zařízení a pak vyberte Hotovo.

   

7. Znovu v části Přiřazení vyberte Podmínky>Klientské aplikace.

   1. Nastavte Konfigurovat na Ano.

   2. Pro účely tohoto kurzu vyberte Možnost Mobilní aplikace a desktopoví klienti, která je součástí moderního ověřování klientů (což se týká aplikací, jako je Outlook pro iOS a Outlook pro Android). Zrušte zaškrtnutí všech ostatních políček.

   3. Vyberte Hotovo a pak znovu vyberte Hotovo .

   

8. V části Řízení přístupu vyberte Udělit.

   1. V podokně Udělení vyberte Udělit přístup.

   2. Vyberte Vyžadovat, aby zařízení bylo označené jako vyhovující.

   3. Vyberte Vyžadovat schválenou klientskou aplikaci.

   4. V části Pro více ovládacích prvků vyberte Vyžadovat všechny vybrané ovládací prvky. Toto nastavení zajišťuje, že se při pokusu zařízení o přístup k e-mailu vynucují oba požadavky, které jste vybrali.

   5. Zvolte Vybrat.

   

9. V části Povolit zásadu vyberte Zapnuto.

   

10. Vyberte Vytvořit a uložte změny. Profil je přiřazený.

Vyzkoušet

Pomocí zásad, které jste vytvořili, se každé zařízení s iOSem, které se pokusí přihlásit k e-mailu Microsoft 365, se musí zaregistrovat v Intune a používat mobilní aplikaci Outlook pro iOS/iPadOS. Pokud chcete tento scénář otestovat na zařízení s iOSem, zkuste se přihlásit k Exchange Online pomocí přihlašovacích údajů pro uživatele v testovacím tenantovi. Zobrazí se výzva k registraci zařízení a instalaci mobilní aplikace Outlook.

1. Pokud chcete testovat na iPhonu, přejděte na Nastavení>Hesla & Účty>Přidat účet>Exchange.

2. Zadejte e-mailovou adresu uživatele v testovacím tenantovi a stiskněte Další.

3. Stiskněte Přihlásit se.

4. Zadejte heslo testovacího uživatele a stiskněte Přihlásit se.

5. Zobrazí se zpráva s informací, že vaše zařízení musí být spravované pro přístup k prostředku a možnost registrace.

Vyčištění prostředků

Pokud už testovací zásady nepotřebujete, můžete je odebrat.

1. Přihlaste se do Centra pro správu Microsoft Intune jako globální správce nebo správce služeb Intune.

2. VyberteDodržování předpisůzařízením>.

3. V seznamu Název zásady vyberte místní nabídku (...) pro testovací zásadu a pak vyberte Odstranit. Potvrďte to výběrem OK .

4. Vyberte Zabezpečení> koncových bodůZásady podmíněného přístupu>.

5. V seznamu Název zásady vyberte místní nabídku (...) pro testovací zásadu a pak vyberte Odstranit. Potvrďte to výběrem možnosti Ano .

Další kroky

V tomto kurzu jste vytvořili zásady, které vyžadují, aby se zařízení s iOSem zaregistrovala v Intune a používala aplikaci Outlook pro přístup k Exchange Online e-mailu. Informace o používání Intune s podmíněným přístupem k ochraně dalších aplikací a služeb, včetně klientů protokol Exchange ActiveSync pro Microsoft 365 Exchange Online, najdete v tématu Nastavení podmíněného přístupu.