Självstudie: Skydda Exchange Online e-post på hanterade enheter med Microsoft Intune

Den här självstudien visar hur du använder Microsofts principer för enhetsefterlevnad med Microsoft Entra princip för villkorsstyrd åtkomst för att endast ge iOS-enheter åtkomst till Exchange när de hanteras av Intune och använder en godkänd e-postapp.

I den här självstudien får du lära dig att:

• Skapa en efterlevnadsprincip för iOS-enheter i Intune för att ange de villkor som en enhet måste uppfylla för att anses vara kompatibel.
• Skapa en Microsoft Entra princip för villkorsstyrd åtkomst som kräver att iOS-enheter registreras i Intune, följer Intune-principer och använder den godkända Outlook-mobilappen för att få åtkomst till Exchange Online e-post.

Förutsättningar

Du behöver en testklientorganisation med följande prenumerationer för den här självstudien:

• Microsoft Intune abonnemang 1 (registrera dig för ett kostnadsfritt utvärderingskonto)
• Microsoft Entra ID P1 (kostnadsfri utvärderingsversion)
• Microsoft 365-appar för företagsprenumeration med Exchange (kostnadsfri utvärderingsversion)

Logga in i Intune

Logga in på Microsoft Intune administrationscenter som en Global administratör eller intune-tjänstadministratör. Om du har en Utvärderingsprenumeration på Intune är det konto som du skapade prenumerationen med Global administratör.

Skapa en e-postenhetsprofil

Den här självstudien kräver att du skapar en iOS/iPadOS-enhet Email profil. Följ anvisningarna i Steg 11 – Skapa en enhetsprofil från området Prova Intune-uppgifter i Intune-dokumentationen. E-postprofilen används för att kräva att iOS/iPad-enheter använder e-post för arbete.

När du skapar e-postprofilen tilldelar du profilen till samma grupp med enheter som du använder senare för den princip för enhetsefterlevnad och principer för villkorsstyrd åtkomst som du skapar i efterföljande steg i den här självstudien.

När du har skapat e-postprofilen går du tillbaka hit för att fortsätta.

Skapa iOS-enhetens efterlevnadsprincip

Konfigurera en efterlevnadsprincip för Intune-enheter för att ange de villkor som en enhet måste uppfylla för att anses vara kompatibel. I den här självstudien skapar vi en princip för enhetsefterlevnad för iOS-enheter. Efterlevnadsprinciper är plattformsspecifika, så du behöver en separat efterlevnadsprincip för varje enhetsplattform som du vill utvärdera.

1. Logga in på Microsoft Intune administrationscenter.

2. VäljEnhetsefterlevnad>.

3. På fliken Principer väljer du Skapa princip.

4. På sidan Skapa en princip väljer du iOS/iPadOS för Plattform. Välj Skapa för att fortsätta.

5. På fliken Grundläggande anger du följande egenskaper:

   • Namn: Ange ett beskrivande namn på den nya profilen. I det här exemplet anger du iOS-efterlevnadsprinciptest.
   • Beskrivning: Valfritt – Ange iOS-efterlevnadsprinciptest.

   Gå vidare genom att klicka på Nästa.

6. På fliken Efterlevnadsinställningar :

   1. Expandera Email och ställ sedan in Det går inte att konfigurera e-post på enheten till Kräv.

   2. Expandera Enhetens hälsotillstånd och ställ in Jailbrokade enheter på Blockera.

   3. Expandera Systemsäkerhet och konfigurera följande inställningar:

      • Kräv lösenord för att låsa upp mobila enheter till Kräv
      • Enkla lösenord att blockera
      • Minsta längd på lösenord till 4

      Tips

      Standardvärden som är nedtonade och kursiviserade är bara rekommendationer. Du måste ersätta värden som är rekommendationer för att konfigurera en inställning.

      • Lösenordstyp som krävs för alfanumeriskt
      • Maximalt antal minuter efter skärmlås innan lösenord krävs för Omedelbart
      • Lösenordets giltighetstid (dagar) till 41
      • Antal tidigare lösenord för att förhindra återanvändning till 5

   Fortsätt genom att välja Nästa.

   

7. Välj Nästa för att hoppa över åtgärder för inkompatibilitet.

8. På fliken Tilldelningar för Inkluderade grupper väljer du Lägg till alla enheter eller väljer en grupp som endast innehåller de enheter som ska ta emot den här principen. Se till att använda samma tilldelning som du använde för e-postenhetsprofilen.

   Gå vidare genom att klicka på Nästa.

9. Granska inställningarna på fliken Granska + skapa . När du väljer Skapa sparas dina ändringar och profilen tilldelas.

Skapa principen för villkorsstyrd åtkomst

Använd sedan Microsoft Intune administrationscenter för att skapa en princip för villkorsstyrd åtkomst. Du integrerar villkorlig åtkomst med Intune för att styra de enheter och appar som kan ansluta till organisationens e-post och resurser.

Principen för villkorsstyrd åtkomst gör följande:

• Kräv att enheter som kör valfri plattform registreras i Intune och att de följer din Efterlevnadsprincip för Intune innan enheterna kan användas för att komma åt Exchange Online.
• Kräv att enheter använder Outlook-appen för e-poståtkomst.

Principer för villkorsstyrd åtkomst kan konfigureras antingen i Microsoft Entra administrationscenter eller i administrationscentret för Microsoft Intune. Eftersom vi redan är i administrationscentret kan vi skapa principen här.

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Slutpunktssäkerhet>Villkorlig åtkomst>Skapa ny princip.

3. Som Namn anger du Testprincip för Microsoft 365-e-post.

4. Under Tilldelningar för Användare väljer du 0 användare och grupper valda. På fliken Inkludera väljer du Alla användare. Värdet för Användare uppdateras till Alla användare.

5. Under Tilldelningar väljer du även Målresurser. För Välj vad den här principen gäller för listrutan väljer du Molnappar.

   Eftersom vi vill skydda Microsoft 365 Exchange Online e-post väljer du appen genom att följa dessa steg:

   1. På fliken Inkludera väljer du Välj appar.
   2. För kategorin Välj väljer du Ingen för att öppna fönstret Välj med programlistan.
   3. I programlistan markerar du kryssrutan för Office 365 Exchange Online och väljer sedan Välj.

   

6. Under Tilldelningar väljer du även Villkor>Enhetsplattformar för att öppna fönstret Enhetsplattformar .

   1. Ställ in Konfigurera på Ja.
   2. På fliken Inkludera, väljer du Alla enheter och sedan Klar.

   

7. Under Tilldelningar väljer du återigen Villkor>Klientappar.

   1. Ställ in Konfigurera på Ja.

   2. I den här självstudien väljer du Mobilappar och skrivbordsklienter, en del av Moderna autentiseringsklienter (som refererar till appar som Outlook för iOS och Outlook för Android). Avmarkera alla andra kryssrutor.

   3. Välj Klar och sedan Klar igen.

   

8. Under Åtkomstkontroller väljer du Bevilja.

   1. I rutan Bevilja väljer du Bevilja åtkomst.

   2. Välj Kräv att enheten ska markeras som kompatibel.

   3. Välj Kräv godkänd klientapp.

   4. Under För flera kontroller väljer du Kräv alla valda kontroller. Den här inställningen garanterar att båda kraven som du har valt tillämpas när en enhet försöker få åtkomst till e-post.

   5. Välj Välj.

   

9. Under Aktivera princip väljer du På.

   

10. Spara ändringarna genom att välja Skapa . Profilen har tilldelats.

Prova nu

Med de principer som du har skapat måste alla iOS-enheter som försöker logga in på Microsoft 365-e-post registreras i Intune och använda Outlook-mobilappen för iOS/iPadOS. Försök logga in på Exchange Online med autentiseringsuppgifter för en användare i testklienten för att testa det här scenariot på en iOS-enhet. Du uppmanas att registrera enheten och installera Outlook-mobilappen.

1. Om du vill testa på en iPhone går du till Inställningar>Lösenord och konton>Lägg till konto>Exchange.

2. Ange e-postadressen för en användare i testklienten och tryck sedan på Nästa.

3. Tryck på Logga in.

4. Ange testanvändarens lösenord och tryck på Logga in.

5. Ett meddelande visas som säger att enheten måste hanteras för att få åtkomst till resursen, tillsammans med ett alternativ för att registrera.

Rensa resurser

När testprinciperna inte längre behövs kan du ta bort dem.

1. Logga in på Microsoft Intune administrationscenter som global administratör eller Intune-tjänstadministratör.

2. VäljEnhetsefterlevnad>.

3. I listan Principnamn väljer du snabbmenyn (...) för testprincipen och väljer sedan Ta bort. Välj Ja för att bekräfta.

4. Välj Slutpunktssäkerhet>Principer för villkorsstyrd åtkomst>.

5. I listan Principnamn väljer du snabbmenyn (...) för testprincipen och väljer sedan Ta bort. Bekräfta genom att välja Ja.

Nästa steg

I den här självstudien skapade du principer som kräver att iOS-enheter registreras i Intune och använder Outlook-appen för att få åtkomst till Exchange Online e-post. Mer information om hur du använder Intune med villkorsstyrd åtkomst för att skydda andra appar och tjänster, inklusive Exchange ActiveSync-klienter för Microsoft 365-Exchange Online, finns i Konfigurera villkorlig åtkomst.