Ochrona dostępu do poczty e-mail przy użyciu usługi Microsoft Intune: przykładowe scenariuszeProtect access to email with Microsoft Intune: Example scenarios

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Scenariusz 1. Blokowanie użytkownikom możliwości używania niezgodnych urządzeń do uzyskiwania dostępu do usługi Exchange OnlineScenario 1: Block users from using noncompliant devices to access Exchange Online

Wymagania dotyczące scenariuszaScenario requirements

  • Dostęp do usługi Exchange Online musi być zablokowany dla wszystkich użytkowników w grupie zabezpieczeń Księgowość usługi Azure Active Directory, jeśli ich urządzenia są niezgodne z wdrożonymi zasadami zgodności.All users in the Accounting Azure Active Directory security group must be blocked from accessing Exchange Online if their device is not compliant with a compliance policy that you deployed.
  • Jeśli w tej grupie znajduje się jakikolwiek użytkownik, którego urządzenia nie są obsługiwane przez usługę Intune, dostęp z tych urządzeń do usługi Exchange Online musi być zablokowany.If any users exist in this group whose devices are not supported by Intune, they must be blocked from accessing Exchange Online on that device.
  • Wszyscy użytkownicy w grupie zabezpieczeń Finanse usługi Azure Active Directory muszą być wykluczeni z zasad, nawet jeśli należą również do grupy zabezpieczeń Księgowość.Users in the Finance Azure Active Directory security group must be exempt from the policy, even if they're also in the Accounting security group.

W tym celu należy skonfigurować zasady dostępu warunkowego dla usługi Exchange Online z następującymi ustawieniami:To accomplish this, configure a conditional access policy for Exchange Online with the following settings:

  • Wybierz pozycję Włącz zasady dostępu warunkowego.Choose Enable conditional access policy.

  • Wybierz platformy, dla których ma być dozwolony dostęp za pomocą aplikacji używających nowoczesnego uwierzytelniania.Choose the platforms that you want to allow access from apps with modern authentication.

  • W przypadku aplikacji Exchange ActiveSync wybierz pozycje Zablokuj niezgodne urządzenia na platformach obsługiwanych przez usługę Microsoft Intune i Zablokuj wszystkie inne urządzenia na platformach nieobsługiwanych przez usługę Microsoft Intune.For Exchange ActiveSync apps, choose Block noncompliant devices on platforms supported by Microsoft Intune and Block all other devices on platforms not supported by Microsoft Intune.
  • W sekcji Grupa docelowa w obszarze Wybrane grupy zabezpieczeń wybierz grupę użytkowników Księgowość.In the Targeted group section, under Selected security groups, choose the Accounting user group.

  • W sekcji Wykluczona grupa w obszarze Wybrane grupy zabezpieczeń wybierz grupę użytkowników Finanse.In the Exempted group section, under Selected security groups, choose the Finance user group.

Następujący przepływ w tym scenariuszu służy do określania, które urządzenia mogą uzyskiwać dostęp do usługi Exchange Online:The following flow is used in the scenario to decide which devices can access Exchange Online:

Przepływ dostępu do urządzeń

Scenariusz 2. Wszystkie urządzenia z systemem iOS, które uzyskują dostęp do lokalnego programu Exchange, muszą być zarządzane przy użyciu usługi IntuneScenario 2: All iOS devices that access Exchange on-premises must be managed by Intune

Wymagania dotyczące scenariuszaScenario requirements

  • Dostęp do lokalnego programu Exchange powinny mieć tylko urządzenia z systemem iOS.Only devices that run iOS should be allowed access to Exchange on-premises.
  • Urządzenia muszą być również zarejestrowane w usłudze Intune i spełniać reguły zasad zgodności zanim będzie można ich użyć do uzyskania dostępu do programu Exchange.The devices must also be enrolled in Intune and meet the compliance policy rules before they can be used to access Exchange.

W tym celu należy skonfigurować następujące zasady dostępu warunkowego dla lokalnego programu Exchange z następującymi ustawieniami:To accomplish this, configure the following conditional access policy for Exchange on-premises with the following settings:

  • Wybierz opcję Zablokuj dostęp aplikacjom poczty e-mail do lokalnego programu Exchange, jeśli urządzenie jest niezgodne lub nie jest zarejestrowane w usłudze Microsoft Intune.Choose the option Block email apps from accessing Exchange on-premises if the device is noncompliant or not enrolled in Microsoft Intune. Wybór tej opcji powoduje włączenie zasad dostępu warunkowego, które wymagają, aby wszystkie urządzenia były zarejestrowane w usłudze Microsoft Intune i spełniały reguły zasad zgodności zanim będą mogły uzyskać dostęp do programu Exchange.By choosing this option, you enable the conditional access policy, which requires that all devices must be enrolled in Microsoft Intune and meet the compliancy policy rules before they can access Exchange.

  • Aby użyć zaawansowanych ustawień programu Exchange Active Sync, utwórz:For advanced Exchange Active Sync settings, create:

    • Wyjątek dla platformy umożliwiający urządzeniom z systemem iOS dostęp do programu Exchange.A platform exception that allows devices that run iOS to access Exchange.

    • Domyślną regułę określającą, że jeśli urządzenie nie jest objęte regułą wyjątku platformy, to jego dostęp do programu Exchange powinien zostać zablokowany.A default rule that specifies that when a device isn't covered by the platform exception rule, it should be blocked from accessing Exchange. Ta reguła zapewnia, że urządzenia z systemami innymi niż iOS będą miały zablokowany dostęp do programu Exchange.This rule makes sure that devices that aren't running iOS are blocked from accessing Exchange.

Następujący przepływ służy do określania, które urządzenia mogą uzyskiwać dostęp do programu Exchange:You use the following flow to decide which devices can access Exchange:

Przepływ dostępu do urządzeń

Scenariusz 3. Żadne urządzenia z systemem Android nie mogą uzyskiwać dostępu do lokalnego programu ExchangeScenario 3: No Android devices can access Exchange on-premises

Wymagania dotyczące scenariuszaScenario requirements

  • Wszystkie urządzenia z systemem Android powinny mieć zablokowany dostęp do programu Exchange.All Android devices should be blocked from accessing Exchange.
  • Wszystkie inne obsługiwane urządzenia mogą uzyskiwać dostęp do programu Exchange, o ile są zarządzane przy użyciu usługi Intune.All other supported devices can access Exchange, as long as they're managed by Intune.

W tym celu należy skonfigurować zasady dostępu warunkowego dla lokalnego programu Exchange z następującymi ustawieniami:To accomplish this, configure a conditional access policy for Exchange on-premises with the following settings:

  • Wybierz opcję Zablokuj dostęp aplikacjom poczty e-mail do lokalnego programu Exchange, jeśli urządzenie jest niezgodne lub nie jest zarejestrowane w usłudze Microsoft Intune.Choose the option Block email apps from accessing Exchange on-premises if the device is noncompliant or not enrolled in Microsoft Intune. Wybór tej opcji oznacza, że wymagane jest, aby wszystkie urządzenia były zarejestrowane w usłudze Intune i spełniały reguły zasad zgodności.By choosing this option, you require that any device must be enrolled in Intune and meet the compliance policy rules.

  • Aby użyć zaawansowanych ustawień programu Exchange Active Sync, utwórz:For advanced Exchange Active Sync settings, create:

    • Wyjątek dla platformy blokujący dostęp urządzeń z systemem Android do programu Exchange.A platform exception that blocks devices that run Android from accessing Exchange. Ta reguła zapewnia, że urządzenia z systemem Android nie mogą być używane do uzyskiwania dostępu do programu Exchange.This rule makes sure that Android devices can't be used to access Exchange.

    • Domyślną regułę określającą, że jeśli urządzenie nie jest objęte innymi regułami, to powinno mieć dostęp do programu Exchange.A default rule that specifies that when a device isn't covered by other rules, it should be allowed to access Exchange. Ta zasada domyślna zapewnia, że urządzenia z systemem innym niż Android, ale obsługiwane przez usługę Microsoft Intune, mogą być używane do uzyskiwania dostępu do programu Exchange.This default rule makes sure that devices that run platforms other than Android, but are supported by Microsoft Intune, can be used to access Exchange. Takie urządzenia muszą być jednak zarejestrowane w usłudze Intune i spełniać reguły zasad zgodności.They must, however, be enrolled in Intune and meet the compliance policy rules.

Następujący przepływ służy do określania, które urządzenia mogą uzyskiwać dostęp do programu Exchange:You use the following flow to decide which devices can access Exchange:

Przepływ dostępu do urządzeń