Kurz: Ochrana e-mailu Exchange Online na nespravovaných zařízeních s iOSem pomocí Microsoft Intune

  • Článek

Tento kurz ukazuje, jak pomocí zásad ochrany aplikací Microsoft Intune s podmíněným přístupem Microsoft Entra blokovat přístup k Exchangi Online uživatelům, kteří používají nespravované zařízení s iOSem nebo jinou aplikaci než mobilní aplikaci Outlook pro přístup k e-mailu Microsoft 365. Výsledky těchto zásad platí, když zařízení s iOSem nejsou zaregistrovaná v řešení pro správu zařízení, jako je Intune.

V tomto kurzu se naučíte:

  • Vytvořte zásady ochrany aplikací Intune pro aplikaci Outlook. Tím, že zakážete funkci Uložit jako a omezíte akce vyjmutí, kopírování a vložení , omezíte tím, co uživatel může s daty aplikací dělat.
  • Vytvořte zásady podmíněného přístupu Microsoft Entra, které umožní přístup k firemnímu e-mailu v Exchangi Online jenom aplikaci Outlook. Budete také vyžadovat vícefaktorové ověřování (MFA) pro klienty moderního ověřování, jako je Outlook pro iOS a Android.

Požadavky

Pro účely tohoto kurzu doporučujeme používat neprodukční zkušební předplatná.

Zkušební předplatná vám během tohoto kurzu pomohou vyhnout se ovlivnění produkčního prostředí nesprávnými konfiguracemi. Zkušební verze nám také umožňují používat ke konfiguraci a správě Intune jenom účet, který jste vytvořili při vytváření zkušebního předplatného, protože má oprávnění k dokončení jednotlivých úloh v tomto kurzu. Použití tohoto účtu eliminuje nutnost vytvářet a spravovat účty pro správu v rámci tohoto kurzu.

Tento kurz vyžaduje testovacího tenanta s následujícími předplatnými:

Přihlášení k Intune

Pro účely tohoto kurzu se při přihlášení k Centru pro správu Microsoft Intune přihlaste pomocí účtu, který jste vytvořili při registraci zkušebního předplatného Intune. V průběhu tohoto kurzu dál používejte tento účet k přihlášení do Centra pro správu.

Vytvoření zásad ochrany aplikací

V tomto kurzu jsme pro aplikaci Outlook nastavili zásady ochrany aplikací Intune pro iOS, které nastaví ochranu na úrovni aplikace. K otevření aplikace v pracovním kontextu budeme vyžadovat KÓD PIN. Omezíme také sdílení dat mezi aplikacemi a zabráníme ukládání firemních dat do osobního umístění.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. VyberteZásady> ochrany aplikací Aplikace>Vytvořit zásadu a pak vyberte iOS/iPadOS.

  3. Na stránce Základy nakonfigurujte následující nastavení:

    • Název: Zadejte test zásad aplikace Outlook.
    • Popis: Zadejte test zásad aplikace Outlook.

    Hodnota Platforma byla nastavena v předchozím kroku tak, že jste vybrali iOS/iPadOS.

    Pokračujte výběrem možnosti Další.

  4. Na stránce Aplikace zvolíte aplikace, které tato zásada spravuje. Pro účely tohoto kurzu přidáme jenom Microsoft Outlook:

    1. Ujistěte se , že cílová zásada na je nastavená na Vybrané aplikace.

    2. Zvolte + Vybrat veřejné aplikace a otevřete podokno Vybrat aplikace k cíli . Potom v seznamu Aplikace vyberte Microsoft Outlook a přidejte ho do seznamu Vybrané aplikace . Aplikaci můžete vyhledat podle ID sady prostředků nebo podle názvu. Výběrem možnosti Vybrat uložte výběr aplikace.

      Vyhledejte a přidejte Microsoft Outlook jako veřejnou aplikaci pro tuto zásadu.

      Podokno Vybrat cílové aplikace se zavře a Microsoft Outlook se teď zobrazí v části Veřejné aplikace na stránce Aplikace.

      Vyberte Outlook a přidejte ho do seznamu Veřejných aplikací pro tuto zásadu.

    Pokračujte výběrem možnosti Další.

  5. Na stránce Ochrana dat nakonfigurujete nastavení, která určují, jak můžou uživatelé pracovat s daty při používání aplikací chráněných touto zásadou ochrany aplikací. Nakonfigurujte následující možnosti:

    Pro kategorii Přenos dat nakonfigurujte následující nastavení a všechna ostatní nastavení ponechte na výchozích hodnotách:

    • Odesílání dat organizace do jiných aplikací – V rozevíracím seznamu vyberte Žádné.
    • Příjem dat z jiných aplikací – v rozevíracím seznamu vyberte Žádné.
    • Omezit vyjmutí, kopírování a vkládání mezi jinými aplikacemi – V rozevíracím seznamu vyberte Blokované.

    Vyberte nastavení přemístění dat v zásadách ochrany aplikací Outlook.

    Pokračujte výběrem možnosti Další.

  6. Stránka Access requirements (Požadavky na přístup ) poskytuje nastavení umožňující konfigurovat požadavky na PIN a přihlašovací údaje, které musí uživatelé splnit, aby mohli přistupovat k chráněným aplikacím v pracovním kontextu. Nakonfigurujte následující nastavení a ponechte všechna ostatní nastavení na výchozích hodnotách:

    • Jako PIN kód pro přístup vyberte Vyžadovat.
    • V části Přihlašovací údaje k pracovnímu nebo školnímu účtu pro přístup vyberte Vyžadovat.

    Vyberte akce přístupu k zásadám ochrany aplikací Outlooku.

    Pokračujte výběrem možnosti Další.

  7. Na stránce Podmíněné spuštění nakonfigurujete požadavky na zabezpečení přihlašování pro tuto zásadu ochrany aplikací. Pro účely tohoto kurzu nemusíte tato nastavení konfigurovat.

    Pokračujte výběrem možnosti Další.

  8. Na stránce Přiřazení přiřadíte zásady ochrany aplikací skupinám uživatelů. Pro účely tohoto kurzu nepřiřazujeme tuto zásadu skupině.

    Pokračujte výběrem možnosti Další.

  9. Na stránce Další: Zkontrolovat a vytvořit zkontrolujte hodnoty a nastavení, které jste zadali pro tuto zásadu ochrany aplikací. Vyberte Vytvořit a vytvořte zásadu ochrany aplikací v Intune.

Vytvoří se zásady ochrany aplikací pro Outlook. Dále nastavíte podmíněný přístup tak, aby zařízení vyžadovala používání aplikace Outlook.

Vytvoření zásad podmíněného přístupu

Dále pomocí Centra pro správu Microsoft Intune vytvořte dvě zásady podmíněného přístupu, které budou pokrývat všechny platformy zařízení. Podmíněný přístup integrujete s Intune, abyste mohli řídit zařízení a aplikace, které se můžou připojit k e-mailu a prostředkům vaší organizace.

  • První zásada vyžaduje, aby klienti moderního ověřování používali schválenou aplikaci Outlook a vícefaktorové ověřování (MFA). Moderní klienti ověřování zahrnují Outlook pro iOS a Outlook pro Android.

  • Druhá zásada vyžaduje, aby klienti Exchange ActiveSync používali schválenou aplikaci Outlook. (Exchange Active Sync v současné době nepodporuje jiné podmínky než platformu zařízení.) Zásady podmíněného přístupu můžete nakonfigurovat v Centru pro správu Microsoft Entra nebo můžete použít Centrum pro správu Microsoft Intune, které představuje uživatelské rozhraní podmíněného přístupu od Microsoft Entra. Vzhledem k tomu, že už jsme v Centru pro správu, můžeme zásady vytvořit tady.

Když konfigurujete zásady podmíněného přístupu v Centru pro správu Microsoft Intune, konfigurujete tyto zásady v okně Podmíněný přístup na webu Azure Portal. Proto se uživatelské rozhraní trochu liší od rozhraní, které používáte pro jiné zásady pro Intune.

Vytvoření zásad vícefaktorového ověřování pro klienty moderního ověřování

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Zabezpečení >koncového boduPodmíněný přístup>Vytvořit novou zásadu.

  3. Jako Název zadejte Testovací zásady pro klienty moderního ověřování.

  4. V části Přiřazení v části Uživatelé vyberte 0 vybraných uživatelů a skupin. Na kartě Zahrnout vyberte Všichni uživatelé. Hodnota Uživatelé se aktualizuje na Všichni uživatelé.

    Zahajte konfiguraci zásad podmíněného přístupu.

  5. V části Přiřazení v části Cílové zdroje vyberte Možnost Žádné cílové prostředky. Ujistěte se, že možnost Vybrat, na co se tato zásada vztahuje , je nastavená na Cloudové aplikace. Protože chceme chránit e-mail Microsoft 365 Exchange Online, vyberte ho následujícím postupem:

    1. Na kartě Zahrnout zvolte Vybrat aplikace.
    2. V části Vybrat kliknutím na Žádné otevřete podokno Vybrat cloudové aplikace.
    3. V seznamu aplikací zaškrtněte políčko pro Office 365 Exchange Online a pak zvolte Vybrat.
    4. Výběrem možnosti Hotovo se vraťte do podokna Nové zásady.

    Vyberte aplikaci Office 365 Exchange Online.

  6. V části Přiřazení v části Podmínky vyberte 0 vybraných podmínek a pak v části Platformy zařízení vyberte Nenakonfigurováno . Otevře se podokno Platformy zařízení:

    1. Nastavte přepínač Konfigurovat na Ano.
    2. Na kartě Zahrnout zvolte Vybrat platformy zařízení a pak zaškrtněte políčka pro Android a iOS.
    3. Vyberte Hotovo a uložte konfiguraci platforem zařízení.

  7. Zůstaňte v podokně Podmínky a vyberte Nenakonfigurováno pro Klientské aplikace . Otevře se podokno Klientské aplikace:

    1. Nastavte přepínač Konfigurovat na Ano.
    2. Zaškrtněte políčka u položky Mobilní aplikace a desktopoví klienti.
    3. Zrušte zaškrtnutí ostatních políček.
    4. Výběrem možnosti Hotovo se vraťte do podokna Nové zásady.

    Jako podmínky vyberte Mobilní aplikace a klienti.

  8. V části Řízení přístupu v části Udělení vyberte 0 vybraných podmínek a pak:

    1. V podokně Udělení vyberte Udělit přístup.
    2. Vyberte Vyžadovat vícefaktorové ověřování.
    3. Vyberte Vyžadovat schválenou klientskou aplikaci.
    4. Nastavte Pro více ovládacích prvků na Vyžadovat všechny vybrané ovládací prvky. Toto nastavení zajišťuje, že se při pokusu zařízení o přístup k e-mailu vynucují oba požadavky, které jste vybrali.
    5. Zvolte Vybrat a uložte konfiguraci Udělit.

    Pokud chcete nakonfigurovat udělení, vyberte řízení přístupu.

  9. V části Povolit zásadu vyberte Zapnuto a pak vyberte Vytvořit.

    Pokud chcete zásadu povolit, nastavte posuvník Povolit zásadu na Zapnuto.

Vytvoří se zásada podmíněného přístupu pro klienty moderního ověřování. Teď můžete vytvořit zásadu pro klienty Exchange Active Sync.

Vytvoření zásady pro klienty Exchange Active Sync

Postup konfigurace této zásady je podobný předchozím zásadám podmíněného přístupu:

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. Vyberte Zabezpečení koncového bodu>Podmíněný přístup>Vytvořit novou zásadu.

  3. Do pole Název zadejte Test zásad pro klienty EAS.

  4. V části Přiřazení v části Uživatelé vyberte 0 uživatelů a skupin. Na kartě Zahrnout vyberte Všichni uživatelé.

  5. V části Přiřazení v části Cílové zdroje vyberte Možnost Žádné cílové prostředky. Ujistěte se, že možnost Vybrat, na co se tato zásada vztahuje , je nastavená na Cloudové aplikace, a pak pomocí následujících kroků nakonfigurujte e-mail Microsoftu 365 Exchange Online:

    1. Na kartě Zahrnout zvolte Vybrat aplikace.
    2. V části Vybrat zvolte Žádné.
    3. V seznamu Cloudové aplikace zaškrtněte políčko Pro Office 365 Exchange Online a pak zvolte Vybrat.

  6. V části Přiřazení otevřete Podmínky>Platformy zařízení a pak:

    1. Nastavte přepínač Konfigurovat na Ano.
    2. Na kartě Zahrnout vyberte Libovolné zařízení a pak vyberte Hotovo.

  7. Zůstaňte v podokně Podmínky , rozbalte Klientské aplikace a pak:

    1. Nastavte přepínač Konfigurovat na Ano.
    2. Vyberte Mobilní aplikace a desktopoví klienti.
    3. Vyberte Klienti Exchange ActiveSync.
    4. Zrušte zaškrtnutí všech ostatních políček.
    5. Vyberte Hotovo.

    Nakonfigurujte klientské aplikace pro kategorii Podmínky.

  8. V části Řízení přístupu rozbalte Udělit a pak:

    1. V podokně Udělení vyberte Udělit přístup.
    2. Vyberte Vyžadovat schválenou klientskou aplikaci. Zrušte zaškrtnutí všech ostatních políček, ale konfiguraci Pro více ovládacích prvků ponechte nastavenou na Vyžadovat všechny vybrané ovládací prvky.
    3. Zvolte Vybrat.

    konfigurace Vyžadovat schválenou klientskou aplikaci pro kategorii Grant.

  9. V části Povolit zásadu vyberte Zapnuto a pak vyberte Vytvořit.

Vaše zásady ochrany aplikací a podmíněný přístup jsou teď zavedeny a připravené k testování.

Vyzkoušet

Pomocí zásad, které jste vytvořili v tomto kurzu, se zařízení musí zaregistrovat v Intune a používat mobilní aplikaci Outlook, aby bylo možné zařízení použít pro přístup k e-mailu Microsoftu 365. Pokud chcete tento scénář otestovat na zařízení s iOSem, zkuste se přihlásit k Exchangi Online pomocí přihlašovacích údajů pro uživatele ve vašem testovacím tenantovi.

  1. Pokud chcete testovat na iPhonu, přejděte na Nastavení>Hesla & Účty>Přidat účet>Exchange.

  2. Zadejte e-mailovou adresu uživatele v testovacím tenantovi a stiskněte Další.

  3. Stiskněte Přihlásit se.

  4. Zadejte heslo testovacího uživatele a stiskněte Přihlásit se.

  5. Zobrazí se zpráva Další informace jsou povinné , což znamená, že se zobrazí výzva k nastavení vícefaktorového ověřování. Pokračujte nastavením další metody ověřování.

  6. V dalším kroku se zobrazí zpráva, že se pokoušíte otevřít tento prostředek pomocí aplikace, která není schválená vaším it oddělením. Zpráva znamená, že je vám zablokováno používání nativní poštovní aplikace. Zrušte přihlášení.

  7. Otevřete aplikaci Outlook a vyberte Nastavení>Přidat účet>Přidat e-mailový účet.

  8. Zadejte e-mailovou adresu uživatele v testovacím tenantovi a stiskněte Další.

  9. Stiskněte Přihlásit se pomocí Office 365. Zobrazí se výzva k dalšímu ověření a registraci. Jakmile se přihlásíte, můžete otestovat akce, jako je vyjmutí, kopírování, vložení a uložení jako.

Vyčistit prostředky

Pokud už testovací zásady nepotřebujete, můžete je odebrat.

  1. Přihlaste se k Centru pro správu Microsoft 365.

  2. VyberteDodržování předpisůzařízením>.

  3. V seznamu Název zásady vyberte místní nabídku (...) pro testovací zásadu a pak vyberte Odstranit. Potvrďte to výběrem OK .

  4. Přejděte na Zásadypodmíněného přístupu> zabezpečení >koncových bodů.

  5. V seznamu Název zásady vyberte místní nabídku (...) pro každou z testovacích zásad a pak vyberte Odstranit. Potvrďte to výběrem možnosti Ano .

Další kroky

V tomto kurzu jste vytvořili zásady ochrany aplikací pro omezení toho, co uživatel může s aplikací Outlook dělat, a vytvořili jste zásady podmíněného přístupu, které vyžadují aplikaci Outlook a vícefaktorové ověřování pro klienty moderního ověřování. Další informace o používání Intune s podmíněným přístupem k ochraně dalších aplikací a služeb najdete v tématu Informace o podmíněném přístupu a Intune.