Tutorial: Protección de Exchange Online correo electrónico en dispositivos administrados con Microsoft Intune

En este tutorial se muestra cómo usar las directivas de cumplimiento de dispositivos de Microsoft con Microsoft Entra directiva de acceso condicional, para permitir que los dispositivos iOS accedan a Exchange solo cuando estén administrados por Intune y usen una aplicación de correo electrónico aprobada.

En este tutorial, aprenderá a:

• Crear una directiva de cumplimiento para dispositivos iOS para establecer las condiciones que debe cumplir un dispositivo para que se considere compatible.
• Cree una directiva de acceso condicional Microsoft Entra que requiera que los dispositivos iOS se inscriban en Intune, cumplan las directivas de Intune y usen la aplicación móvil de Outlook aprobada para acceder a Exchange Online correo electrónico.

Requisitos previos

Necesita un inquilino de prueba con las siguientes suscripciones para este tutorial:

• Microsoft Intune suscripción al plan 1 (regístrese para obtener una cuenta de evaluación gratuita)
• Microsoft Entra ID P1 (evaluación gratuita)
• Suscripción de Aplicaciones de Microsoft 365 para empresas que incluya Exchange (evaluación gratuita)

Iniciar sesión en Intune

Inicie sesión en el centro de administración de Microsoft Intune como Administrador global o como administrador de servicios de Intune. Si tiene una suscripción de prueba de Intune, la cuenta con la que creó la suscripción es la Administrador global.

Crear un perfil de dispositivo de correo electrónico

Este tutorial requiere que cree un perfil de Email de dispositivo iOS/iPadOS. Para ello, siga las instrucciones del paso 11: Creación de un perfil de dispositivo desde el área Probar tareas de Intune de la documentación de Intune. El perfil de correo electrónico se usa para requerir que los dispositivos iOS/iPad usen correo electrónico de trabajo.

Al crear el perfil de correo electrónico, asigne el perfil al mismo grupo de dispositivos que usará más adelante para la directiva de cumplimiento de dispositivos y las directivas de acceso condicional que cree en los pasos posteriores de este tutorial.

Después de crear el perfil de correo electrónico, vuelva aquí para continuar.

Cree una directiva de cumplimiento para dispositivos iOS

Configure una directiva de cumplimiento para dispositivos Intune para establecer las condiciones que debe cumplir un dispositivo para que se considere compatible. Para este tutorial, creamos una directiva de cumplimiento de dispositivos para dispositivos iOS. Las directivas de cumplimiento son específicas de la plataforma, por lo que necesita una directiva de cumplimiento independiente para cada plataforma de dispositivo que va a evaluar.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. SeleccioneCumplimiento dedispositivos>.

3. En la pestaña Directivas , elija Crear directiva.

4. En la página Crear una directiva , en Plataforma , seleccione iOS/iPadOS. Seleccione Crear para continuar.

5. En la pestaña Aspectos básicos , escriba las propiedades siguientes:

   • Nombre: escriba un nombre descriptivo para el nuevo perfil. En este ejemplo, escriba prueba de directiva de cumplimiento de iOS.
   • Descripción: opcional: escriba la prueba de directiva de cumplimiento de iOS.

   Seleccione Siguiente para continuar.

6. En la pestaña Configuración de cumplimiento :

   1. Expanda Email y, a continuación, establezca No se puede configurar el correo electrónico en el dispositivo enRequerir.

   2. Expanda Estado del dispositivo y establezca Dispositivos jailbreak en Bloquear.

   3. Expanda Seguridad del sistema y configure los siguientes valores:

      • Requerir una contraseña para desbloquear dispositivos móviles para requerir
      • Contraseñas sencillas para bloquear
      • Longitud mínima de la contraseña a 4

      Sugerencia

      Los valores predeterminados que aparecen atenuados y en cursiva son solo recomendaciones. Debe reemplazar los valores que son recomendaciones para configurar una opción.

      • Tipo de contraseña necesario para Alfanumérico
      • Máximo de minutos después del bloqueo de pantalla antes de que se requiera la contraseña para inmediatamente
      • Expiración de contraseña (días) a 41
      • Número de contraseñas anteriores para evitar su reutilización a 5

   Para continuar, seleccione Siguiente.

   

7. Seleccione Siguiente para omitir Acciones por incumplimiento.

8. En la pestaña Asignaciones , en Grupos incluidos, seleccione Agregar todos los dispositivos o seleccione un grupo que contenga solo los dispositivos que deben recibir esta directiva. Asegúrese de usar la misma asignación que usó para el perfil de dispositivo de correo electrónico.

   Seleccione Siguiente para continuar.

9. En la pestaña Revisar y crear , revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil.

Cree la directiva de acceso condicional

A continuación, use el centro de administración de Microsoft Intune para crear una directiva de acceso condicional. Integre el acceso condicional con Intune para ayudar a controlar los dispositivos y aplicaciones que se pueden conectar a los recursos y el correo electrónico de las organizaciones.

La directiva de acceso condicional:

• Requerir que los dispositivos que ejecutan cualquier plataforma se inscriban en Intune y cumplan con la directiva de cumplimiento de Intune antes de que esos dispositivos puedan usarse para acceder a Exchange Online.
• Requerir que los dispositivos usen la aplicación Outlook para el acceso al correo electrónico.

Las directivas de acceso condicional se pueden configurar en el Centro de administración Microsoft Entra o en el centro de administración de Microsoft Intune. Dado que ya estamos en el centro de administración, podemos crear la directiva aquí.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. SeleccioneAcceso condicional de> seguridad >de punto de conexiónCrear nueva directiva.

3. En Nombre, escriba Probar directiva para el correo electrónico de Microsoft 365.

4. En Asignaciones, en Usuarios, seleccione 0 usuarios y grupos seleccionados. En la pestaña Incluir , seleccione Todos los usuarios. El valor de Usuarios se actualiza a Todos los usuarios.

5. También en Asignaciones, seleccione Recursos de destino. En La lista desplegable Seleccionar lo que se aplica a esta directiva , seleccione Aplicaciones en la nube.

   A continuación, dado que queremos proteger Microsoft 365 Exchange Online correo electrónico, seleccione esa aplicación siguiendo estos pasos:

   1. En la pestaña Incluir, elija Seleccionar aplicaciones.
   2. En la categoría Seleccionar , seleccione Ninguno para abrir el panel Seleccionar con su lista de aplicaciones.
   3. En la lista de aplicaciones, active la casilla de Office 365 Exchange Online y, a continuación, elija Seleccionar.

   

6. También en Asignaciones, seleccione Condiciones Plataformas>de dispositivos para abrir el panel Plataformas de dispositivos.

   1. Establezca Configurar en Sí.
   2. En la pestaña Incluir, seleccione Cualquier dispositivo y luego seleccione Listo.

   

7. Una vez más, en Asignaciones, seleccione Condiciones Aplicaciones>cliente.

   1. Establezca Configurar en Sí.

   2. En este tutorial, seleccione Aplicaciones móviles y clientes de escritorio, parte de los clientes de autenticación moderna (que hace referencia a aplicaciones como Outlook para iOS y Outlook para Android). Desactive todas las demás casillas.

   3. Seleccione Listo y después vuelva a seleccionar Listo.

   

8. En Controles de acceso, seleccione Conceder.

   1. En el panel Conceder, seleccione Conceder acceso.

   2. Seleccione Requerir que el dispositivo esté marcado como compatible.

   3. Seleccione Requerir aplicación cliente aprobada.

   4. En Para varios controles, seleccione Requerir todos los controles seleccionados. Esta configuración garantiza que ambos requisitos que ha seleccionado se aplican cuando un dispositivo intenta acceder al correo electrónico.

   5. Elija Seleccionar.

   

9. En Habilitar directiva, seleccione Activar.

   

10. Seleccione Crear para guardar los cambios. Se asigna el perfil.

Pruébelo

Con las directivas que ha creado, cualquier dispositivo iOS que intente iniciar sesión en el correo electrónico de Microsoft 365 debe inscribirse en Intune y usar la aplicación móvil de Outlook para iOS/iPadOS. Para probar este escenario en un dispositivo iOS, intente iniciar sesión en Exchange Online con las credenciales de un usuario en su inquilino de prueba. Se le pedirá que inscriba el dispositivo e instale la aplicación móvil de Outlook.

1. Para realizar pruebas en un iPhone, vaya a Configuración>Contraseñas y cuentas>Agregar cuenta>Exchange .

2. Escriba la dirección de correo electrónico de un usuario en su inquilino de prueba y después presione Siguiente.

3. Presione Iniciar sesión.

4. Escriba la contraseña del usuario de prueba y luego presione Iniciar sesión.

5. Aparece un mensaje que dice que el dispositivo debe administrarse para tener acceso al recurso, junto con una opción para inscribirlo.

Limpie los recursos

Cuando ya no se necesiten las directivas de prueba, puede quitarlas.

1. Inicie sesión en el centro de administración de Microsoft Intune como administrador global o administrador de servicios de Intune.

2. SeleccioneCumplimiento dedispositivos>.

3. En la lista Nombre de directiva, seleccione el menú contextual (...) de la directiva de prueba y, a continuación, seleccione Eliminar. Seleccione Aceptar para confirmar.

4. Seleccione Directivas deacceso> condicional de seguridad > de punto de conexión.

5. En la lista Nombre de directiva, seleccione el menú contextual (...) de la directiva de prueba y, a continuación, seleccione Eliminar. Seleccione Sí para confirmar.

Siguientes pasos

En este tutorial, se han creado las directivas que exigen que los dispositivos iOS se inscriban en Intune y usen la aplicación Outlook para acceder al correo electrónico de Exchange Online. Para obtener información sobre cómo usar Intune con acceso condicional para proteger otras aplicaciones y servicios, incluidos los clientes de Exchange ActiveSync para Microsoft 365 Exchange Online, consulte la configuración del acceso condicional.