Tutorial: Protección de Exchange Online correo electrónico en dispositivos iOS administrados con Microsoft Intune

En este tutorial se muestra cómo usar Microsoft Intune directivas de cumplimiento de dispositivos con Microsoft Entra acceso condicional para permitir que los dispositivos iOS accedan a Exchange Online solo cuando se administran mediante Intune y usan la aplicación outlook.

En este tutorial, aprenderá a:

  • Cree una directiva de cumplimiento de dispositivos iOS Intune que establezca las condiciones que debe cumplir un dispositivo para que se considere compatible.
  • Cree una directiva de acceso condicional de Microsoft Entra que requiera que los dispositivos iOS se inscriban en Intune, cumplan las directivas de Intune y usen la aplicación móvil de Outlook para acceder a Exchange Online correo electrónico.

Requisitos previos

En este tutorial, use suscripciones de prueba que no sean de producción para evitar afectar a un entorno de producción. Inicie sesión con la cuenta que creó al configurar la suscripción de prueba. Esa cuenta tiene los permisos necesarios para completar cada tarea de este tutorial.

Este tutorial requiere un inquilino de prueba con las siguientes suscripciones:

Iniciar sesión en Intune

En este tutorial, inicie sesión en el centro de administración de Microsoft Intune con la cuenta que creó al registrarse para la suscripción de prueba de Intune.

Crear un perfil de dispositivo de correo electrónico

Este tutorial requiere un perfil de dispositivo Email iOS/iPadOS. Para crear uno, siga las instrucciones del paso 11: Creación de un perfil de dispositivo. El perfil de correo electrónico requiere que los dispositivos iOS/iPadOS usen una cuenta de correo electrónico profesional.

Al crear el perfil de correo electrónico, asigne el perfil al mismo grupo de dispositivos que usará más adelante para la directiva de cumplimiento de dispositivos y las directivas de acceso condicional que cree en los pasos posteriores de este tutorial.

Después de crear el perfil de correo electrónico, vuelva aquí para continuar.

Crear una directiva de protección de aplicaciones

Este tutorial requiere una directiva de protección de aplicaciones Intune destinada a Outlook en iOS/iPadOS. La directiva de protección de aplicaciones funciona con la directiva de acceso condicional que cree más adelante, lo que requiere que haya una directiva de protección de aplicaciones para que un dispositivo pueda acceder a Exchange Online.

Para crear la directiva de protección de aplicaciones, siga las instrucciones de Creación y asignación de directivas de protección de aplicaciones. Al configurar la directiva, use los valores siguientes:

  • Plataforma: seleccione iOS/iPadOS.
  • Aplicaciones: establezca Directiva de destino en Core Microsoft Apps o seleccione Microsoft Outlook individualmente.
  • Protección de datos, requisitos de acceso e inicio condicional: acepte los valores predeterminados (protección de datos básica de empresa) para este tutorial.
  • Asignaciones: asigne la directiva al mismo grupo de usuarios que usa para las directivas de cumplimiento y acceso condicional de este tutorial.

Después de crear la directiva de protección de aplicaciones, vuelva aquí para continuar.

Cree una directiva de cumplimiento para dispositivos iOS

Configure una directiva de cumplimiento para dispositivos Intune para establecer las condiciones que debe cumplir un dispositivo para que se considere compatible. En este tutorial, creará una directiva de cumplimiento de dispositivos para dispositivos iOS. Las directivas de cumplimiento son específicas de la plataforma, por lo que necesita una directiva de cumplimiento independiente para cada plataforma de dispositivo que va a evaluar.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. SeleccioneCumplimiento dedispositivos>.

  3. En la pestaña Directivas , elija Crear directiva.

  4. En la página Crear una directiva , en Plataforma , seleccione iOS/iPadOS y, a continuación, seleccione Crear para continuar.

  5. En la pestaña Aspectos básicos , escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el nuevo perfil. En este ejemplo, escriba prueba de directiva de cumplimiento de iOS.
    • Descripción: opcional: escriba la prueba de directiva de cumplimiento de iOS.

    Seleccione Siguiente para continuar.

  6. En la pestaña Configuración de cumplimiento :

    1. Expanda Email y, a continuación, establezca No se puede configurar el correo electrónico en el dispositivo enRequerir.

    2. Expanda Estado del dispositivo y establezca Dispositivos jailbreak en Bloquear.

    3. Expanda Seguridad del sistema y configure los siguientes valores:

      • Requerir una contraseña para desbloquear dispositivos móviles para requerir
      • Contraseñas sencillas para bloquear
      • Longitud mínima de la contraseña a 4

      Sugerencia

      Los valores predeterminados que aparecen atenuados y en cursiva son solo recomendaciones. Debe reemplazar los valores que son recomendaciones para configurar una opción.

      • Tipo de contraseña necesario para Alfanumérico
      • Máximo de minutos después del bloqueo de pantalla antes de que se requiera la contraseña para inmediatamente
      • Expiración de contraseña (días) a 41
      • Número de contraseñas anteriores para evitar su reutilización a 5

    Para continuar, seleccione Siguiente.

    Configuración de la directiva de cumplimiento de iOS.

  7. Seleccione Siguiente para omitir Acciones por incumplimiento.

  8. En la pestaña Asignaciones , en Grupos incluidos, seleccione Agregar todos los dispositivos o seleccione un grupo que contenga solo los dispositivos que deben recibir esta directiva. Asegúrese de usar la misma asignación que usó para el perfil de dispositivo de correo electrónico.

    Seleccione Siguiente para continuar.

  9. En la pestaña Revisar y crear , revise la configuración. Si selecciona Crear, se guardan los cambios y se asigna el perfil.

Cree la directiva de acceso condicional

A continuación, use el centro de administración de Microsoft Intune para crear una directiva de acceso condicional. Integre el acceso condicional con Intune para ayudar a controlar los dispositivos y aplicaciones que se pueden conectar al correo electrónico y los recursos de su organización.

La directiva de acceso condicional:

  • Requerir que los dispositivos que ejecutan cualquier plataforma se inscriban en Intune y cumplan con la directiva de cumplimiento de Intune antes de que se puedan usar para acceder a Exchange Online.
  • Requerir que los dispositivos usen la aplicación Outlook para el acceso al correo electrónico.

Puede configurar directivas de acceso condicional en el Centro de administración Microsoft Entra o en el centro de administración de Microsoft Intune. En los pasos siguientes se usa el centro de administración de Intune.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. SeleccioneAcceso condicional de> seguridad >de punto de conexiónCrear nueva directiva.

  3. En Nombre, escriba Probar directiva para el correo electrónico de Microsoft 365.

  4. En Asignaciones, en Usuarios o agentes, seleccione 0 usuarios y grupos seleccionados. En la pestaña Incluir , seleccione Todos los usuarios. El valor de Usuarios se actualiza a Todos los usuarios.

  5. También en Asignaciones, en Recursos de destino , seleccione No hay recursos de destino seleccionados. En la lista desplegable Seleccionar lo que se aplica a esta directiva, seleccione Recursos (anteriormente aplicaciones en la nube).

    A continuación, para proteger el correo electrónico de Microsoft 365 Exchange Online, seleccione esa aplicación:

    1. En la pestaña Incluir , elija Seleccionar recursos.
    2. En Seleccionar recursos específicos, seleccione Ninguno para abrir el panel Recursos .
    3. En la lista de recursos, active la casilla de Office 365 Exchange Online y, a continuación, elija Seleccionar.

    Seleccione Office 365 Exchange Online para agregar a la directiva.

  6. En Asignaciones, en Condiciones , seleccione 0 condiciones seleccionadas. En la nueva página que está disponible, en Plataformas de dispositivos , seleccione No configurado para abrir el panel Plataformas de dispositivos.

    1. Establezca Configurar en .
    2. En la pestaña Incluir , seleccione Cualquier dispositivo y, a continuación, seleccione Listo.

    Configuración de las plataformas de dispositivos

  7. Una vez más, en Asignaciones, abra Condiciones Aplicaciones>cliente.

    1. Establezca Configurar en .

    2. En este tutorial, seleccione Aplicaciones móviles y clientes de escritorio, parte de los clientes de autenticación moderna (que hace referencia a aplicaciones como Outlook para iOS y Outlook para Android). Desactive todas las demás casillas.

    3. Seleccione Listo y después vuelva a seleccionar Listo.

    Seleccione aplicaciones y clientes como condiciones para la directiva.

  8. En Controles de acceso, en Conceder , seleccione No configurado para abrir el panel Conceder :

    1. En el panel Conceder, seleccione Conceder acceso.

    2. Seleccione Requerir que el dispositivo esté marcado como compatible.

    3. Seleccione Requerir directiva de protección de aplicaciones.

    4. En Para varios controles, seleccione Requerir todos los controles seleccionados. Esta configuración garantiza que ambos requisitos que ha seleccionado se aplican cuando un dispositivo intenta acceder al correo electrónico.

    5. Elija Seleccionar.

    Selección de controles

  9. En Habilitar directiva, seleccione Activar.

    Para habilitar la directiva, establezca el control deslizante Habilitar directiva en Activado.

  10. Seleccione Crear para guardar los cambios. Se asigna el perfil.

Nota:

Algunos servicios dependientes, como Microsoft Teams, se integran con Exchange Online recursos y se rigen por la aplicación de directivas enlazadas de forma anticipada. Por lo tanto, los usuarios deben cumplir las directivas de Exchange antes de iniciar sesión en Microsoft Teams.

Si tiene una directiva de acceso condicional que restringe las solicitudes de autenticación para Exchange Online recursos, los usuarios deben cumplir los requisitos de la directiva de Exchange antes de iniciar sesión en Teams. El incumplimiento de estas directivas afecta a la capacidad de iniciar sesión en Teams.

Para obtener más información, consulte la documentación de Microsoft sobre las dependencias del servicio y la aplicación de directivas.

Pruébelo

Con las directivas que ha creado, cualquier dispositivo iOS que intente iniciar sesión en el correo electrónico de Microsoft 365 debe inscribirse en Intune y usar la aplicación móvil de Outlook para iOS/iPadOS. Para probar este escenario en un dispositivo iOS, intente iniciar sesión en Exchange Online con las credenciales de un usuario en su inquilino de prueba. Se le pedirá que inscriba el dispositivo e instale la aplicación móvil de Outlook.

  1. Para probar en un iPhone, vaya a Configuración>Aplicaciones>Cuentas> decorreo electrónico>Agregar cuenta y, a continuación, seleccione Microsoft Exchange.

    Nota:

    La ruta de acceso de Configuración puede variar según la versión de iOS. Los pasos anteriores se basan en iOS 26. Para ver los pasos más recientes, consulta Agregar una cuenta de correo electrónico a tu iPhone o iPad en el sitio de soporte técnico de Apple.

  2. Escriba la dirección de correo electrónico de un usuario en su inquilino de prueba y después presione Siguiente.

  3. Presione Iniciar sesión.

  4. Escriba la contraseña del usuario de prueba y luego presione Iniciar sesión.

  5. Aparece un mensaje que dice que el dispositivo debe administrarse para tener acceso al recurso, junto con una opción para inscribirlo.

Limpie los recursos

Cuando ya no se necesiten las directivas de prueba, puede quitarlas.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. SeleccioneCumplimiento dedispositivos>.

  3. En la lista Nombre de directiva, seleccione la directiva de prueba y, a continuación, seleccione Eliminar. Confirme la eliminación.

  4. Seleccione Accesocondicional de seguridad >de punto de conexión.

  5. Seleccione la directiva de prueba y, a continuación, seleccione Eliminar. Confirme la eliminación.

Siguientes pasos

En este tutorial, se han creado las directivas que exigen que los dispositivos iOS se inscriban en Intune y usen la aplicación Outlook para acceder al correo electrónico de Exchange Online. Para obtener información sobre el uso de Intune con acceso condicional para proteger otras aplicaciones y servicios, consulte Configuración del acceso condicional.

  • Last updated on