Condividi tramite

Esercitazione: Proteggere la posta elettronica Exchange Online nei dispositivi iOS gestiti con Microsoft Intune

Questa esercitazione illustra come usare Microsoft Intune criteri di conformità dei dispositivi con l'accesso condizionale Microsoft Entra per consentire ai dispositivi iOS di accedere ai Exchange Online solo quando sono gestiti da Intune e usare l'app Outlook.

In questa esercitazione si apprenderà come:

  • Creare un Intune criteri di conformità dei dispositivi iOS che impostano le condizioni che un dispositivo deve soddisfare per essere considerato conforme.
  • Creare un Microsoft Entra criterio di accesso condizionale che richiede la registrazione dei dispositivi iOS in Intune, la conformità ai criteri di Intune e l'uso dell'app Outlook per dispositivi mobili per accedere Exchange Online posta elettronica.

Prerequisiti

Per questa esercitazione, usare sottoscrizioni di valutazione non di produzione per evitare di influire su un ambiente di produzione. Accedere con l'account creato durante la configurazione della sottoscrizione di valutazione. Tale account dispone delle autorizzazioni necessarie per completare ogni attività in questa esercitazione.

Questa esercitazione richiede un tenant di test con le sottoscrizioni seguenti:

Accedere a Intune

Per questa esercitazione, accedere all'interfaccia di amministrazione Microsoft Intune con l'account creato al momento dell'iscrizione alla sottoscrizione di valutazione Intune.

Creare un profilo di posta elettronica del dispositivo

Questa esercitazione richiede un profilo di dispositivo iOS/iPadOS Email. Per crearne uno, seguire le indicazioni riportate nel passaggio 11 - Creare un profilo di dispositivo. Il profilo di posta elettronica richiede che i dispositivi iOS/iPadOS usino un account di posta elettronica aziendale.

Quando si crea il profilo di posta elettronica, assegnare il profilo allo stesso gruppo di dispositivi che verranno usati in un secondo momento per i criteri di conformità dei dispositivi e di accesso condizionale creati nei passaggi successivi di questa esercitazione.

Dopo aver creato il profilo di posta elettronica, tornare qui per continuare.

Crea criteri di protezione delle app

Questa esercitazione richiede un criterio di protezione delle app Intune destinato a Outlook in iOS/iPadOS. I criteri di protezione delle app funzionano con i criteri di accesso condizionale creati in un secondo momento, il che richiede che siano presenti criteri di protezione delle app prima che un dispositivo possa accedere a Exchange Online.

Per creare i criteri di protezione delle app, seguire le indicazioni in Creare e assegnare criteri di protezione delle app. Quando si configurano i criteri, usare le impostazioni seguenti:

  • Piattaforma: selezionare iOS/iPadOS.
  • App: impostare Criteri di destinazione suCore Microsoft Apps oppure selezionare Microsoft Outlook singolarmente.
  • Protezione dei dati, requisiti di accesso e avvio condizionale: accettare i valori predefiniti (protezione dei dati di base aziendale) per questa esercitazione.
  • Assegnazioni: assegnare i criteri allo stesso gruppo di utenti usati per i criteri di conformità e accesso condizionale in questa esercitazione.

Dopo aver creato i criteri di protezione delle app, tornare qui per continuare.

Creare i criteri di conformità dei dispositivi iOS

Configurare un criterio di conformità del dispositivo Intune per impostare le condizioni che un dispositivo deve soddisfare per essere considerato conforme. Per questa esercitazione si creano criteri di conformità dei dispositivi per i dispositivi iOS. I criteri di conformità sono specifici della piattaforma, quindi è necessario un criterio di conformità separato per ogni piattaforma del dispositivo che si vuole valutare.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Conformità dispositivi>.

  3. Nella scheda Criteri scegliere Crea criterio.

  4. Nella pagina Crea un criterio , per Piattaforma selezionare iOS/iPadOS e quindi selezionare Crea per continuare.

  5. Nella scheda Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il nuovo profilo. Per questo esempio immettere test dei criteri di conformità iOS.
    • Descrizione: facoltativo: immettere il test dei criteri di conformità iOS.

    Selezionare Avanti per continuare.

  6. Nella scheda Impostazioni di conformità :

    1. Espandere Email e quindi impostare Non è possibile configurare la posta elettronica nel dispositivo suRichiedi.

    2. Espandere Integrità dispositivo e impostare Dispositivi Jailbroken su Blocca.

    3. Espandere Sicurezza di sistema e configurare le impostazioni seguenti:

      • Richiedere una password per sbloccare i dispositivi mobili da richiedere
      • Password semplici da bloccare
      • Lunghezza minima della password a 4

      Consiglio

      I valori predefiniti disattivati e in corsivo sono solo consigli. È necessario sostituire i valori consigliati per configurare un'impostazione.

      • Tipo di password obbligatorio per alfanumerico
      • Numero massimo di minuti dopo il blocco dello schermo prima che la password sia necessaria per l'accesso immediato
      • Scadenza password (giorni) a 41
      • Numero di password precedenti per impedire il riutilizzo a 5

    Per continuare, selezionare Avanti.

    Configurazione dei criteri di conformità iOS.

  7. Selezionare Avanti per ignorare Azioni per la mancata conformità.

  8. Nella scheda Assegnazioni selezionare Aggiungi tutti i dispositivi per Gruppi inclusi oppure selezionare un gruppo che contiene solo i dispositivi che devono ricevere questo criterio. Assicurarsi di usare la stessa assegnazione usata per il profilo del dispositivo di posta elettronica.

    Selezionare Avanti per continuare.

  9. Nella scheda Rivedi e crea esaminare le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato.

Creare i criteri di accesso condizionale

Usare quindi l'interfaccia di amministrazione Microsoft Intune per creare criteri di accesso condizionale. È possibile integrare l'accesso condizionale con Intune per controllare i dispositivi e le app che possono connettersi alla posta elettronica e alle risorse dell'organizzazione.

I criteri di accesso condizionale:

  • Richiedere ai dispositivi che eseguono qualsiasi piattaforma di registrarsi in Intune e di rispettare i criteri di conformità Intune prima che questi dispositivi possano essere usati per accedere a Exchange Online.
  • Richiedere ai dispositivi di usare l'app Outlook per l'accesso tramite posta elettronica.

È possibile configurare i criteri di accesso condizionale nell'interfaccia di amministrazione Interfaccia di amministrazione di Microsoft Entra o Microsoft Intune. La procedura seguente usa l'interfaccia di amministrazione Intune.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Endpoint security>Conditional Access>Create new policy (Crea nuovi criteri).

  3. In Nome immettere Criteri di test per la posta elettronica di Microsoft 365.

  4. In Assegnazioni selezionare 0 utenti e gruppi selezionati per Utenti o agenti. Nella scheda Includi selezionare Tutti gli utenti. Il valore di Users viene aggiornato a Tutti gli utenti.

  5. Anche in Assegnazioni, per Risorse di destinazione selezionare Nessuna risorsa di destinazione selezionata. Per l'elenco a discesa Selezionare l'applicazione di questo criterio, selezionare Risorse (in precedenza app cloud).

    Quindi, per proteggere microsoft 365 Exchange Online posta elettronica, selezionare l'app:

    1. Nella scheda Includi scegliere Seleziona risorse.
    2. In Seleziona risorse specifiche selezionare Nessuno per aprire il riquadro Risorse .
    3. Nell'elenco delle risorse selezionare la casella di controllo per Office 365 Exchange Online e quindi scegliere Seleziona.

    Selezionare Office 365 Exchange Online da aggiungere al criterio.

  6. Anche in Assegnazioni, per Condizioni selezionare 0 condizioni selezionate. Nella nuova pagina disponibile, per Piattaforme dispositivo selezionare Non configurato per aprire il riquadro Piattaforme dispositivo .

    1. Impostare Configura su .
    2. Nella scheda Includi selezionare Qualsiasi dispositivo e quindi fare clic su Fine.

    Configurare le piattaforme dei dispositivi

  7. Ancora una volta, in Assegnazioni aprire Condizioni>App client.

    1. Impostare Configura su .

    2. Per questa esercitazione selezionare App per dispositivi mobili e client desktop, parte dei client di autenticazione moderna (che si riferisce ad app come Outlook per iOS e Outlook per Android). Deselezionare tutte le altre caselle di controllo.

    3. Selezionare Fine, quindi selezionare Fine.

    Selezionare app e client come condizioni per i criteri.

  8. In Controlli di accesso, per Concedi selezionare Non configurato per aprire il riquadro Concedi :

    1. Nel riquadro Concedi selezionare Concedi accesso.

    2. Selezionare Richiedi che il dispositivo sia contrassegnato come conforme.

    3. Selezionare Richiedi criteri di protezione delle app.

    4. In Per più controlli selezionare Richiedi tutti i controlli selezionati. Questa impostazione garantisce che entrambi i requisiti selezionati vengano applicati quando un dispositivo tenta di accedere alla posta elettronica.

    5. Scegliere Seleziona.

    Selezionare i controlli

  9. In Abilita criterio selezionare .

    Per abilitare i criteri, impostare il dispositivo di scorrimento Abilita criteri su Attivato.

  10. Selezionare Crea per salvare le modifiche. Il profilo viene assegnato.

Nota

Alcuni servizi dipendenti, ad esempio Microsoft Teams, si integrano con le risorse Exchange Online e sono regolati dall'imposizione dei criteri ad associazione anticipata. Di conseguenza, gli utenti devono rispettare i criteri di Exchange prima di accedere a Microsoft Teams.

Se si dispone di un criterio di accesso condizionale che limita le richieste di autenticazione per le risorse Exchange Online, gli utenti devono soddisfare i requisiti di Criteri di Exchange prima di accedere a Teams. La mancata conformità a questi criteri influisce sulla possibilità di accedere a Teams.

Per altre informazioni, vedere la documentazione Microsoft sulle dipendenze del servizio e l'imposizione dei criteri.

Procedura

Con i criteri creati, qualsiasi dispositivo iOS che tenta di accedere alla posta elettronica di Microsoft 365 deve registrarsi in Intune e usare l'app Outlook per dispositivi mobili per iOS/iPadOS. Per testare questo scenario in un dispositivo iOS, provare ad accedere a Exchange Online usando le credenziali di un utente nel tenant di test. Viene richiesto di registrare il dispositivo e installare l'app Outlook per dispositivi mobili.

  1. Per eseguire il test su un iPhone, passare a Impostazioni>App>Account di posta>elettronica>Aggiungi account e quindi selezionare Microsoft Exchange.

    Nota

    Il percorso in Impostazioni può variare in base alla versione di iOS. I passaggi precedenti sono basati su iOS 26. Per i passaggi più recenti, vedere Aggiungere un account di posta elettronica all'iPhone o all'iPad nel sito di supporto apple.

  2. Immettere l'indirizzo di posta elettronica per un utente nel tenant e quindi premere Avanti.

  3. Premere Accedi.

  4. Immettere la password dell'utente di test e premere Accedi.

  5. Viene visualizzato un messaggio che indica che il dispositivo deve essere gestito per accedere alla risorsa, insieme a un'opzione per la registrazione.

Pulire le risorse

Quando i criteri di test non sono più necessari, è possibile rimuoverli.

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare Conformità dispositivi>.

  3. Nell'elenco Nome criterio selezionare i criteri di test e quindi selezionare Elimina. Confermare l'eliminazione.

  4. Selezionare Endpoint securityConditional Access (Accesso condizionale sicurezza > endpoint).

  5. Selezionare i criteri di test e quindi elimina. Confermare l'eliminazione.

Passaggi successivi

In questa esercitazione sono stati creati criteri che richiedono ai dispositivi iOS di registrarsi in Intune e usare l'app Outlook per accedere alla posta elettronica Exchange Online. Per informazioni sull'uso di Intune con l'accesso condizionale per proteggere altre app e servizi, vedere Configurare l'accesso condizionale.

  • Last updated on