Zelfstudie: Exchange Online e-mail op beheerde iOS-apparaten beveiligen met Microsoft Intune

In deze zelfstudie ziet u hoe u Microsoft Intune nalevingsbeleid voor apparaten kunt gebruiken met Microsoft Entra voorwaardelijke toegang om iOS-apparaten alleen toegang te geven tot Exchange Online wanneer ze worden beheerd door Intune en de Outlook-app gebruiken.

In deze zelfstudie leert u het volgende:

  • Maak een Intune nalevingsbeleid voor iOS-apparaten waarmee de voorwaarden worden ingesteld waaraan een apparaat moet voldoen om als compatibel te worden beschouwd.
  • Maak een Microsoft Entra beleid voor voorwaardelijke toegang waarvoor iOS-apparaten moeten worden ingeschreven bij Intune, moeten voldoen aan Intune beleid en de mobiele Outlook-app moeten worden gebruikt om toegang te krijgen tot Exchange Online e-mail.

Vereisten

Voor deze zelfstudie gebruikt u proefabonnementen voor niet-productie om te voorkomen dat een productieomgeving wordt beïnvloed. Meld u aan met het account dat u hebt gemaakt bij het instellen van het proefabonnement. Dat account heeft de machtigingen die nodig zijn om elke taak in deze zelfstudie te voltooien.

Voor deze zelfstudie is een testtenant met de volgende abonnementen vereist:

Aanmelden bij Intune

Voor deze zelfstudie meldt u zich aan bij het Microsoft Intune-beheercentrum met het account dat u hebt gemaakt toen u zich registreerde voor het Intune proefabonnement.

Een e-mailapparaatprofiel maken

Voor deze zelfstudie is een iOS-/iPadOS-Email-apparaatprofiel vereist. Als u er een wilt maken, volgt u de richtlijnen in Stap 11: een apparaatprofiel maken. Voor het e-mailprofiel moeten iOS-/iPadOS-apparaten een zakelijk e-mailaccount gebruiken.

Wanneer u het e-mailprofiel maakt, wijst u het profiel toe aan dezelfde groep apparaten die u later gebruikt voor het nalevingsbeleid voor apparaten en beleid voor voorwaardelijke toegang dat u in de volgende stappen van deze zelfstudie maakt.

Nadat u het e-mailprofiel hebt gemaakt, keert u hier terug om door te gaan.

Een app-beveiligingsbeleid maken

Voor deze zelfstudie is een Intune-app-beveiligingsbeleid vereist dat is gericht op Outlook op iOS/iPadOS. Het app-beveiligingsbeleid werkt met het beleid voor voorwaardelijke toegang dat u later maakt. Hiervoor moet een app-beveiligingsbeleid aanwezig zijn voordat een apparaat toegang heeft tot Exchange Online.

Volg de richtlijnen in App-beveiligingsbeleid maken en toewijzen om het app-beveiligingsbeleid te maken. Wanneer u het beleid configureert, gebruikt u de volgende instellingen:

  • Platform: selecteer iOS/iPadOS.
  • Apps: stel Doelbeleid in op Core Microsoft Apps of selecteer Microsoft Outlook afzonderlijk.
  • Gegevensbescherming, toegangsvereisten en voorwaardelijk starten: accepteer de standaardwaarden (enterprise basic data protection) voor deze zelfstudie.
  • Toewijzingen: wijs het beleid toe aan dezelfde groep gebruikers die u gebruikt voor het nalevings- en voorwaardelijke toegangsbeleid in deze zelfstudie.

Nadat u het app-beveiligingsbeleid hebt gemaakt, keert u hier terug om door te gaan.

Het nalevingsbeleid voor iOS-apparaten maken

Stel een Intune nalevingsbeleid voor apparaten in om de voorwaarden in te stellen waaraan een apparaat moet voldoen om als compatibel te worden beschouwd. Voor deze zelfstudie maakt u een nalevingsbeleid voor apparaten voor iOS-apparaten. Nalevingsbeleid is platformspecifiek, dus u hebt een afzonderlijk nalevingsbeleid nodig voor elk apparaatplatform dat u wilt evalueren.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. SelecteerApparatencompatibiliteit>.

  3. Kies op het tabblad Beleidde optie Beleid maken.

  4. Selecteer op de pagina Een beleid maken voor Platformde optie iOS/iPadOS en selecteer vervolgens Maken om door te gaan.

  5. Voer op het tabblad Basisinformatie de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor het nieuwe profiel. Voer voor dit voorbeeld test voor iOS-nalevingsbeleid in.
    • Beschrijving: optioneel: voer de iOS-nalevingsbeleidstest in.

    Selecteer Volgende om door te gaan.

  6. Ga als volgt te werk op het tabblad Nalevingsinstellingen :

    1. Vouw Email uit en stel e-mail niet instellen op het apparaat in op Vereisen.

    2. Vouw Apparaatstatus uit en stel Gekraakte apparaten in op Blokkeren.

    3. Vouw Systeembeveiliging uit en configureer de volgende instellingen:

      • Een wachtwoord vereisen om mobiele apparaten te ontgrendelen naar Vereisen
      • Eenvoudige wachtwoorden om te blokkeren
      • Minimale wachtwoordlengte tot 4

      Tip

      Standaardwaarden die grijs en cursief worden weergegeven, zijn alleen aanbevelingen. U moet waarden vervangen die aanbevelingen zijn om een instelling te configureren.

      • Vereist wachtwoordtype naar alfanumeriek
      • Maximum aantal minuten na schermvergrendeling voordat wachtwoord is vereist tot Onmiddellijk
      • Wachtwoord verloopt (dagen) tot 41
      • Aantal eerdere wachtwoorden om hergebruik te voorkomen tot 5

    Als u wilt doorgaan, selecteert u Volgende.

    Configuratie van het iOS-nalevingsbeleid.

  7. Selecteer Volgende om Acties voor niet-naleving over te slaan.

  8. Selecteer op het tabblad Toewijzingen voor Opgenomen groepen de optie Alle apparaten toevoegen of selecteer een groep die alleen de apparaten bevat die dit beleid moeten ontvangen. Zorg ervoor dat u dezelfde toewijzing gebruikt als voor het e-mailapparaatprofiel.

    Selecteer Volgende om door te gaan.

  9. Controleer uw instellingen op het tabblad Controleren en maken . Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen.

Het beleid voor voorwaardelijke toegang maken

Gebruik vervolgens het Microsoft Intune-beheercentrum om een beleid voor voorwaardelijke toegang te maken. U integreert voorwaardelijke toegang met Intune om de apparaten en apps te beheren die verbinding kunnen maken met de e-mail en resources van uw organisatie.

Het beleid voor voorwaardelijke toegang:

  • Vereisen dat apparaten waarop een platform wordt uitgevoerd, zich registreren bij Intune en voldoen aan uw Intune-nalevingsbeleid voordat deze apparaten kunnen worden gebruikt voor toegang tot Exchange Online.
  • Vereisen dat apparaten de Outlook-app gebruiken voor toegang tot e-mail.

U kunt beleid voor voorwaardelijke toegang configureren in het Microsoft Entra-beheercentrum of het Microsoft Intune-beheercentrum. In de volgende stappen wordt het Intune-beheercentrum gebruikt.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Eindpuntbeveiliging>Voorwaardelijke toegang>Nieuw beleid maken.

  3. Voer bij Naamtestbeleid voor Microsoft 365-e-mail in.

  4. Selecteer onder Toewijzingen voor Gebruikers of agents0 gebruikers en groepen geselecteerd. Selecteer op het tabblad Opnemende optie Alle gebruikers. De waarde voor Gebruikers wordt bijgewerkt naar Alle gebruikers.

  5. Selecteer ook onder Toewijzingen voor DoelresourcesDe optie Geen doelresources geselecteerd. Selecteer resources (voorheen cloud-apps) voor de vervolgkeuzelijst Selecteren waarop dit beleid van toepassing is.

    Selecteer vervolgens die app om Microsoft 365 Exchange Online e-mail te beveiligen:

    1. Kies op het tabblad Opnemen de optie Resources selecteren.
    2. Selecteer bij Specifieke resources selecterende optie Geen om het deelvenster Resources te openen.
    3. Schakel in de lijst met resources het selectievakje voor Office 365 Exchange Online in en kies vervolgens Selecteren.

    Selecteer Office 365 Exchange Online om toe te voegen aan het beleid.

  6. Selecteer ook onder Toewijzingen bij Voorwaardende optie 0 voorwaarden geselecteerd. Selecteer op de nieuwe pagina die beschikbaar is voor Apparaatplatformsde optie Niet geconfigureerd om het deelvenster Apparaatplatforms te openen.

    1. Stel Configureren in op Ja.
    2. Selecteer op het tabblad Opnemende optie Elk apparaat en selecteer vervolgens Gereed.

    De apparaatplatforms configureren

  7. Open nogmaals onder Toewijzingenvoorwaardenclient-apps>.

    1. Stel Configureren in op Ja.

    2. Voor deze zelfstudie selecteert u Mobiele apps en bureaubladclients, onderdeel van moderne verificatieclients (die verwijst naar apps zoals Outlook voor iOS en Outlook voor Android). Schakel alle andere selectievakjes uit.

    3. Selecteer Gereed en selecteer vervolgens opnieuw Gereed .

    Selecteer apps en clients als voorwaarden voor het beleid.

  8. Selecteer onder Toegangsbeheer voor Verlenende optie Niet geconfigureerd om het deelvenster Verlenen te openen:

    1. Selecteer toegang verlenen in het deelvenster Verlenen.

    2. Selecteer Vereisen dat het apparaat als compatibel moet worden gemarkeerd.

    3. Selecteer App-beveiligingsbeleid vereisen.

    4. Selecteer onder Voor meerdere besturingselementende optie Alle geselecteerde besturingselementen vereisen. Deze instelling zorgt ervoor dat beide vereisten die u hebt geselecteerd, worden afgedwongen wanneer een apparaat toegang probeert te krijgen tot e-mail.

    5. Kies Selecteren.

    Besturingselementen selecteren

  9. Selecteer onder Beleid inschakelen de optie Aan.

    Als u beleid wilt inschakelen, stelt u de schuifregelaar Beleid inschakelen in op Aan.

  10. Selecteer Maken om uw wijzigingen op te slaan. Het profiel wordt toegewezen.

Opmerking

Sommige afhankelijke services, zoals Microsoft Teams, kunnen worden geïntegreerd met Exchange Online-resources en worden beheerd door het afdwingen van het beleid in een vroeg stadium. Daarom moeten gebruikers voldoen aan het Exchange-beleid voordat ze zich aanmelden bij Microsoft Teams.

Als u een beleid voor voorwaardelijke toegang hebt dat verificatieaanvragen voor Exchange Online resources beperkt, moeten gebruikers voldoen aan de vereisten voor Exchange-beleid voordat ze zich aanmelden bij Teams. Als u niet voldoet aan dit beleid, is dit van invloed op de mogelijkheid om u aan te melden bij Teams.

Zie Microsoft-documentatie over serviceafhankelijkheden en beleidshandhaving voor meer informatie.

Probeer het uit

Met het beleid dat u hebt gemaakt, moet elk iOS-apparaat dat zich probeert aan te melden bij Microsoft 365-e-mail zich inschrijven bij Intune en de mobiele Outlook-app voor iOS/iPadOS gebruiken. Als u dit scenario op een iOS-apparaat wilt testen, probeert u zich aan te melden bij Exchange Online met behulp van referenties voor een gebruiker in uw testtenant. U wordt gevraagd het apparaat in te schrijven en de mobiele Outlook-app te installeren.

  1. Als u wilt testen op een iPhone, gaat u naar Instellingen>Apps>E-mailaccounts>>Account toevoegen en selecteert u vervolgens Microsoft Exchange.

    Opmerking

    Het pad in Instellingen kan per iOS-versie verschillen. De voorgaande stappen zijn gebaseerd op iOS 26. Zie Een e-mailaccount toevoegen aan uw iPhone of iPad op de ondersteuningssite van Apple voor de meest recente stappen.

  2. Voer het e-mailadres in voor een gebruiker in uw testtenant en druk op Volgende.

  3. Druk op Aanmelden.

  4. Voer het wachtwoord van de testgebruiker in en druk op Aanmelden.

  5. Er wordt een bericht weergegeven waarin staat dat uw apparaat moet worden beheerd voor toegang tot de resource, samen met een optie voor inschrijving.

Bronnen opschonen

Wanneer het testbeleid niet meer nodig is, kunt u ze verwijderen.

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. SelecteerApparatencompatibiliteit>.

  3. Selecteer in de lijst Beleidsnaam uw testbeleid en selecteer vervolgens Verwijderen. Bevestig de verwijdering.

  4. SelecteerVoorwaardelijke toegangvoor eindpuntbeveiliging>.

  5. Selecteer uw testbeleid en selecteer vervolgens Verwijderen. Bevestig de verwijdering.

Volgende stappen

In deze zelfstudie hebt u beleidsregels gemaakt waarvoor iOS-apparaten moeten worden ingeschreven bij Intune en de Outlook-app moeten worden gebruikt om toegang te krijgen tot Exchange Online e-mail. Zie Voorwaardelijke toegang instellen voor meer informatie over het gebruik van Intune met voorwaardelijke toegang om andere apps en services te beveiligen.

  • Last updated on