Руководство по защите электронной почты Exchange Online на управляемых устройствах с помощью Microsoft Intune

  • Статья

В этом руководстве показано, как использовать политики соответствия устройств Майкрософт с политикой условного доступа Microsoft Entra, чтобы разрешить устройствам iOS доступ к Exchange только в том случае, если они управляются Intune и используют утвержденное почтовое приложение.

С помощью данного руководства вы научитесь:

  • Создавать политику соответствия требованиям Intune, в которой можно задать обязательные условия соответствия для устройств iOS.
  • Создайте политику условного доступа Microsoft Entra, которая требует, чтобы устройства iOS регистрироваться в Intune, соблюдать политики Intune и использовать утвержденное мобильное приложение Outlook для доступа к Exchange Online электронной почте.

Предварительные требования

Для этого руководства требуется тестовый клиент со следующими подписками:

Вход в Intune

Войдите в Центр администрирования Microsoft Intune в качестве глобальный администратор или администратора службы Intune. Если у вас есть пробная подписка Intune, учетная запись, с помощью которую вы создали подписку, является глобальный администратор.

Создание профиля устройства электронной почты

В этом руководстве требуется создать устройство iOS/iPadOS Email профиль. Для этого следуйте указаниям, приведенным в разделе Шаг 11. Создание профиля устройства из области задач Try Intune документации Intune. Профиль электронной почты используется для того, чтобы устройства iOS/iPad использовали рабочую электронную почту.

При создании профиля электронной почты назначьте профиль той же группе устройств, которая будет использоваться позже для политики соответствия устройств и политик условного доступа , которые вы создадите на последующих шагах этого руководства.

После создания профиля электронной почты вернитесь сюда, чтобы продолжить.

Создание политики соответствия требованиям для устройств iOS

Настройте политику соответствия требованиям Intune, в которой можно задать обязательные условия соответствия для устройств. В этом руководстве мы создадим политику соответствия устройств iOS. Политики соответствия требованиям зависят от используемой платформы. Поэтому для каждой платформы устройств, которые вы хотите оценить, нужна отдельная политика соответствия требованиям.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Соответствие устройств>.

  3. На вкладке Политики выберите Создать политику.

  4. На странице Создание политики для параметра Платформа выберите iOS/iPadOS. Нажмите кнопку Создать , чтобы продолжить.

  5. На вкладке Основные сведения введите следующие свойства:

    • Имя: введите описательное имя для нового профиля. В этом примере введите тест политики соответствия iOS.
    • Описание: необязательно. Введите тест политики соответствия iOS.

    Нажмите кнопку Далее, чтобы продолжить.

  6. На вкладке Параметры соответствия выполните следующие действия.

    1. Разверните Email и установите для параметра Не удается настроить электронную почту на устройстве значение Требовать.

    2. Разверните узел Работоспособности устройства и установите для параметра Устройства со снятой защитой значение Блокировать.

    3. Разверните узел Безопасность системы и настройте следующие параметры:

      • Требовать пароль для разблокировки мобильных устройств
      • Простые пароли для блокировки
      • Минимальная длина пароля до 4

      Совет

      Значения по умолчанию, выделенные серым цветом и курсивом, представлены в качестве рекомендаций. Чтобы настроить параметр, вам нужно заменить рекомендованные значения.

      • Обязательный тип пароля для буквенно-цифрового
      • Максимальное количество минут после блокировки экрана, прежде чем пароль требуетсянемедленно
      • Срок действия пароля (в днях) до 41
      • Число предыдущих паролей для предотвращения повторного использования до 5

    Чтобы продолжить, нажмите кнопку Далее.

    Настройка политики соответствия iOS.

  7. Нажмите кнопку Далее , чтобы пропустить действия для несоответствия.

  8. На вкладке Назначения в поле Включенные группы выберите Добавить все устройства или выберите группу, содержащую только те устройства, которые должны получать эту политику. Обязательно используйте то же назначение, что и для профиля устройства электронной почты.

    Нажмите кнопку Далее, чтобы продолжить.

  9. На вкладке Рецензирование и создание проверьте параметры. При выборе Создать внесенные изменения сохраняются и назначается профиль.

Создание политики условного доступа

Затем используйте Центр администрирования Microsoft Intune, чтобы создать политику условного доступа. Вы интегрируете условный доступ с Intune , чтобы управлять устройствами и приложениями, которые могут подключаться к электронной почте и ресурсам организации.

Политика условного доступа:

  • Прежде чем эти устройства смогут использовать для доступа к Exchange Online, требуется, чтобы устройства, на которых запущена любая платформа, регистрироваться в Intune и соблюдать политику соответствия требованиям Intune.
  • Требовать, чтобы устройства использовали приложение Outlook для доступа к электронной почте.

Политики условного доступа можно настроить в Центр администрирования Microsoft Entra или Центре администрирования Microsoft Intune. Так как мы уже находимся в Центре администрирования, мы можем создать политику здесь.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. ВыберитеУсловный доступ к> безопасности >конечной точкиСоздать политику.

  3. В поле Имя введите Тестовая политика для электронной почты Microsoft 365.

  4. В разделе Назначения в поле Пользователи выберите 0 выбранных пользователей и групп. На вкладке Включить выберите Все пользователи. Значение Для параметра Пользователи обновляется значение Все пользователи.

  5. Также в разделе Назначения выберите Целевые ресурсы. В раскрывающемся списке Выберите, к чему применяется эта политика , выберите Облачные приложения.

    Затем, так как мы хотим защитить Microsoft 365 Exchange Online электронной почты, выберите это приложение, выполнив следующие действия:

    1. На вкладке Включить выберите Выбрать приложения.
    2. Для категории Выбор выберите Нет , чтобы открыть область Выбор со списком приложений.
    3. В списке приложений установите флажок для Office 365 Exchange Online и нажмите кнопку Выбрать.

    Выберите Office 365 Exchange Online.

  6. Также в разделе Назначения выберите Условия>Платформы устройств , чтобы открыть панель Платформы устройств .

    1. Задайте для параметра Настройка значение Да.
    2. На вкладке Включить выберите Любое устройство и Готово.

    Настройка платформ устройств

  7. Еще раз в разделе Назначения выберите Условия>Клиентские приложения.

    1. Задайте для параметра Настройка значение Да.

    2. В этом руководстве выберите Мобильные приложения и настольные клиенты, часть современных клиентов проверки подлинности (относится к таким приложениям, как Outlook для iOS и Outlook для Android). Снимите все остальные флажки.

    3. Выберите Готово и еще раз щелкните Готово.

    Выберите приложения и клиенты.

  8. В разделе Элементы управления доступом выберите Предоставить.

    1. На панели Предоставить выберите Предоставить доступ.

    2. Выберите Требовать, чтобы устройство было отмечено как соответствующее.

    3. Выберите Require approved client app (Требовать утвержденное клиентское приложение).

    4. В разделе Для нескольких элементов управления выберите Требовать все выбранные элементы управления. Этот параметр гарантирует, что, когда устройство обратится к электронной почте, будут применяться оба выбранных требования.

    5. Щелкните Выбрать.

    Выбор элементов управления

  9. В разделе Включить политику выберите Вкл.

    Включите политику.

  10. Нажмите кнопку Создать , чтобы сохранить изменения. Профиль назначен.

Проверка

С помощью созданных вами политик любое устройство iOS, которое пытается войти в электронную почту Microsoft 365, должно зарегистрироваться в Intune и использовать мобильное приложение Outlook для iOS/iPadOS. Чтобы проверить этот сценарий на устройстве iOS, попробуйте войти в Exchange Online с учетными данными любого пользователя из тестового клиента. Вам будет предложено зарегистрировать устройство и установить мобильное приложение Outlook.

  1. Чтобы протестировать политики на iPhone, последовательно выберите Параметры>Пароли и учетные записи>Добавить учетную запись>Exchange.

  2. Введите адрес электронной почты, назначенный для пользователя в тестовом клиенте, и щелкните Далее.

  3. Выберите Вход.

  4. Введите пароль тестового пользователя и щелкните Войти.

  5. Появится сообщение о том, что для доступа к ресурсу необходимо настроить управление для устройства, а также ссылка для регистрации.

Очистка ресурсов

Если тестовые политики больше не нужны, их можно удалить.

  1. Войдите в Центр администрирования Microsoft Intune в качестве глобального администратора или администратора службы Intune.

  2. Выберите Соответствие устройств>.

  3. В списке Имя политики выберите контекстное меню (...) для тестовой политики, а затем выберите Удалить. Для подтверждения нажмите ОК.

  4. ВыберитеПолитикиусловного доступа>для безопасности> конечных точек.

  5. В списке Имя политики выберите контекстное меню (...) для тестовой политики, а затем выберите Удалить. Нажмите кнопку Да для подтверждения.

Дальнейшие действия

В рамках этого руководства вы создали политики, требующие регистрации устройств iOS в Intune и использования приложения Outlook для доступа к электронной почте Exchange Online. Дополнительные сведения об использовании Intune с условным доступом для защиты других приложений и служб, включая клиенты Exchange ActiveSync для Microsoft 365 Exchange Online, см. в статье о настройке условного доступа.