Руководство. Защита электронной почты Exchange Online на управляемых устройствах iOS с помощью Microsoft Intune

В этом руководстве показано, как использовать политики соответствия Microsoft Intune устройств с условным доступом Microsoft Entra, чтобы разрешить устройствам iOS доступ к Exchange Online только в том случае, если они управляются Intune и используют приложение Outlook.

С помощью данного руководства вы изучите:

  • Создайте политику соответствия устройств iOS Intune, которая задает условия, которым должно соответствовать устройство, чтобы считаться совместимым.
  • Создайте политику условного доступа Microsoft Entra, которая требует, чтобы устройства iOS регистрироваться в Intune, соблюдать политики Intune и использовать мобильное приложение Outlook для доступа к Exchange Online электронной почте.

Предварительные условия

В этом руководстве используйте непроизводственные пробные подписки, чтобы избежать влияния на рабочую среду. Войдите с учетной записью, созданной при настройке пробной подписки. Эта учетная запись имеет разрешения, необходимые для выполнения каждой задачи в этом руководстве.

Для работы с этим руководством требуется тестовый клиент со следующими подписками:

Вход в Intune

В этом руководстве войдите в Центр администрирования Microsoft Intune с помощью учетной записи, созданной при регистрации для Intune пробной подписки.

Создание профиля устройства электронной почты

Для работы с этим руководством требуется профиль устройства iOS/iPadOS Email. Чтобы создать его, следуйте инструкциям в разделе Шаг 11. Создание профиля устройства. Для профиля электронной почты требуется, чтобы устройства iOS/iPadOS использовали рабочую учетную запись электронной почты.

При создании профиля электронной почты назначьте профиль той же группе устройств, которая будет использоваться позже для политики соответствия устройств и политик условного доступа , которые вы создадите на последующих шагах этого руководства.

После создания профиля электронной почты вернитесь сюда, чтобы продолжить.

Создание политики защиты приложений

Для работы с этим руководством требуется Intune политика защиты приложений, предназначенная для Outlook в iOS/iPadOS. Политика защиты приложений работает с политикой условного доступа, которую вы создадите позже, для чего требуется наличие политики защиты приложений, прежде чем устройство сможет получить доступ к Exchange Online.

Чтобы создать политику защиты приложений, следуйте инструкциям в статье Создание и назначение политик защиты приложений. При настройке политики используйте следующие параметры:

  • Платформа. Выберите iOS/iPadOS.
  • Приложения. Задайте для целевой политики значениеCore Microsoft Apps или выберите Microsoft Outlook по отдельности.
  • Защита данных, требования к доступу и условный запуск. Примите значения по умолчанию (корпоративная базовая защита данных) для этого руководства.
  • Назначения. Назначьте политику той же группе пользователей, которая используется для политик соответствия требованиям и условного доступа в этом руководстве.

После создания политики защиты приложений вернитесь сюда, чтобы продолжить.

Создание политики соответствия требованиям для устройств iOS

Настройте политику соответствия требованиям Intune, в которой можно задать обязательные условия соответствия для устройств. В этом руководстве вы создадите политику соответствия устройств iOS. Политики соответствия требованиям зависят от используемой платформы. Поэтому для каждой платформы устройств, которые вы хотите оценить, нужна отдельная политика соответствия требованиям.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Соответствие устройств>.

  3. На вкладке Политики выберите Создать политику.

  4. На странице Создание политики для параметра Платформа выберите iOS/iPadOS, а затем щелкните Создать , чтобы продолжить.

  5. На вкладке Основные сведения введите следующие свойства:

    • Имя: введите описательное имя для нового профиля. В этом примере введите тест политики соответствия iOS.
    • Описание: необязательно. Введите тест политики соответствия iOS.

    Нажмите кнопку Далее, чтобы продолжить.

  6. На вкладке Параметры соответствия выполните следующие действия.

    1. Разверните Email и установите для параметра Не удается настроить электронную почту на устройстве значение Требовать.

    2. Разверните узел Работоспособности устройства и установите для параметра Устройства со снятой защитой значение Блокировать.

    3. Разверните узел Безопасность системы и настройте следующие параметры:

      • Требовать пароль для разблокировки мобильных устройств
      • Простые пароли для блокировки
      • Минимальная длина пароля до 4

      Совет

      Значения по умолчанию, выделенные серым цветом и курсивом, представлены в качестве рекомендаций. Чтобы настроить параметр, вам нужно заменить рекомендованные значения.

      • Обязательный тип пароля для буквенно-цифрового
      • Максимальное количество минут после блокировки экрана, прежде чем пароль требуетсянемедленно
      • Срок действия пароля (в днях) до 41
      • Число предыдущих паролей для предотвращения повторного использования до 5

    Чтобы продолжить, нажмите кнопку Далее.

    Настройка политики соответствия требованиям iOS.

  7. Нажмите кнопку Далее , чтобы пропустить действия для несоответствия.

  8. На вкладке Назначения в поле Включенные группы выберите Добавить все устройства или выберите группу, содержащую только те устройства, которые должны получать эту политику. Обязательно используйте то же назначение, что и для профиля устройства электронной почты.

    Нажмите кнопку Далее, чтобы продолжить.

  9. На вкладке Рецензирование и создание проверьте параметры. При выборе Создать внесенные изменения сохраняются и назначается профиль.

Создание политики условного доступа

Затем используйте Центр администрирования Microsoft Intune, чтобы создать политику условного доступа. Вы интегрируете условный доступ с Intune, чтобы управлять устройствами и приложениями, которые могут подключаться к электронной почте и ресурсам вашей организации.

Политика условного доступа:

  • Прежде чем эти устройства смогут использовать для доступа к Exchange Online, требуется, чтобы устройства, на которых работает любая платформа, регистрироваться в Intune и соблюдать вашу политику соответствия Intune.
  • Требовать, чтобы устройства использовали приложение Outlook для доступа к электронной почте.

Политики условного доступа можно настроить в Центр администрирования Microsoft Entra или Центре администрирования Microsoft Intune. В следующих шагах используется Центр администрирования Intune.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. ВыберитеУсловный доступ к> безопасности >конечной точкиСоздать политику.

  3. В поле Имя введите Тестовая политика для электронной почты Microsoft 365.

  4. В разделе Назначения для параметра Пользователи или агенты выберите 0 выбранных пользователей и групп. На вкладке Включить выберите Все пользователи. Значение Для параметра Пользователи обновляется значение Все пользователи.

  5. Кроме того, в разделе Назначения в поле Целевые ресурсы выберите Не выбраны целевые ресурсы. В раскрывающемся списке Выберите, к чему применяется эта политика, выберите Ресурсы (ранее облачные приложения).

    Затем, чтобы защитить microsoft 365 Exchange Online электронной почты, выберите это приложение:

    1. На вкладке Включить выберите Выбрать ресурсы.
    2. В поле Выбор конкретных ресурсов выберите Нет , чтобы открыть область Ресурсы .
    3. В списке ресурсов установите флажок для Office 365 Exchange Online и нажмите кнопку Выбрать.

    Выберите Office 365 Exchange Online, чтобы добавить в политику.

  6. Также в разделе Назначения для параметра Условия выберите 0 выбранных условий. На новой доступной странице для параметра Платформы устройств выберите Не настроено , чтобы открыть панель Платформы устройств .

    1. Задайте для параметра Настройка значение Да.
    2. На вкладке Включить выберите Любое устройство, а затем — Готово.

    Настройка платформ устройств

  7. Еще раз в разделе Назначения откройте Условия>Клиентские приложения.

    1. Задайте для параметра Настройка значение Да.

    2. В этом руководстве выберите Мобильные приложения и настольные клиенты, часть современных клиентов проверки подлинности (относится к таким приложениям, как Outlook для iOS и Outlook для Android). Снимите все остальные флажки.

    3. Выберите Готово и еще раз щелкните Готово.

    Выберите приложения и клиенты в качестве условий для политики.

  8. В разделе Элементы управления доступом для параметра Предоставление выберите Не настроено , чтобы открыть область Предоставление :

    1. На панели Предоставить выберите Предоставить доступ.

    2. Выберите Требовать, чтобы устройство было отмечено как соответствующее.

    3. Выберите Требовать политику защиты приложений.

    4. В разделе Для нескольких элементов управления выберите Требовать все выбранные элементы управления. Этот параметр гарантирует, что, когда устройство обратится к электронной почте, будут применяться оба выбранных требования.

    5. Щелкните Выбрать.

    Выбор элементов управления

  9. В разделе Включить политику выберите Вкл.

    Чтобы включить политику, установите для ползунка Включить политику значение Включено.

  10. Нажмите кнопку Создать , чтобы сохранить изменения. Профиль назначен.

Примечание.

Некоторые зависимые службы, такие как Microsoft Teams, интегрируются с Exchange Online ресурсами и управляются применением политики с ранней привязкой. Следовательно, перед входом в Microsoft Teams пользователи должны соблюдать политики Exchange.

Если у вас есть политика условного доступа, которая ограничивает запросы проверки подлинности для Exchange Online ресурсов, перед входом в Teams пользователи должны соответствовать требованиям политики Exchange. Несоблюдение этих политик влияет на возможность входа в Teams.

Дополнительные сведения см. в документации Майкрософт по зависимостям служб и принудительному применению политик.

Проверка

С помощью созданных вами политик любое устройство iOS, которое пытается войти в электронную почту Microsoft 365, должно зарегистрироваться в Intune и использовать мобильное приложение Outlook для iOS/iPadOS. Чтобы проверить этот сценарий на устройстве iOS, попробуйте войти в Exchange Online с учетными данными любого пользователя из тестового клиента. Вам будет предложено зарегистрировать устройство и установить мобильное приложение Outlook.

  1. Чтобы протестировать на iPhone, перейдите в раздел Параметры>Приложения>>Почтовые учетные> записиДобавить учетную запись и выберите Microsoft Exchange.

    Примечание.

    Путь в разделе Параметры может отличаться в зависимости от версии iOS. Предыдущие шаги основаны на iOS 26. Последние действия см. в статье Добавление учетной записи электронной почты на iPhone или iPad на сайте поддержки Apple.

  2. Введите адрес электронной почты, назначенный для пользователя в тестовом клиенте, и щелкните Далее.

  3. Выберите Вход.

  4. Введите пароль тестового пользователя и щелкните Войти.

  5. Появится сообщение о том, что для доступа к ресурсу необходимо настроить управление для устройства, а также ссылка для регистрации.

Очистка ресурсов

Если тестовые политики больше не нужны, их можно удалить.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Соответствие устройств>.

  3. В списке Имя политики выберите тестовую политику и нажмите кнопку Удалить. Подтвердите удаление.

  4. ВыберитеУсловный доступ к безопасности >конечной точки.

  5. Выберите свою тестовую политику и нажмите кнопку Удалить. Подтвердите удаление.

Дальнейшие действия

В рамках этого руководства вы создали политики, требующие регистрации устройств iOS в Intune и использования приложения Outlook для доступа к электронной почте Exchange Online. Сведения об использовании Intune с условным доступом для защиты других приложений и служб см. в статье Настройка условного доступа.

  • Last updated on