Tutorial: Proteger Exchange Online e-mail em dispositivos iOS geridos com Microsoft Intune

Este tutorial mostra-lhe como utilizar Microsoft Intune políticas de conformidade de dispositivos com Microsoft Entra Acesso Condicional para permitir que os dispositivos iOS acedam a Exchange Online apenas quando são geridos por Intune e utilizam a aplicação Outlook.

Neste tutorial, você aprenderá a:

  • Crie um Intune política de conformidade de dispositivos iOS que define as condições que um dispositivo tem de cumprir para ser considerado conforme.
  • Crie uma política de Acesso Condicional Microsoft Entra que exija que os dispositivos iOS se inscrevam no Intune, cumpram Intune políticas e utilizem a aplicação Outlook para dispositivos móveis para aceder Exchange Online e-mail.

Pré-requisitos

Neste tutorial, utilize subscrições de avaliação de não produção para evitar afetar um ambiente de produção. Inicie sessão com a conta que criou quando configurou a subscrição de avaliação. Essa conta tem as permissões necessárias para concluir cada tarefa neste tutorial.

Este tutorial requer um inquilino de teste com as seguintes subscrições:

Entrar no Intune

Neste tutorial, inicie sessão no centro de administração do Microsoft Intune com a conta que criou quando se inscreveu na subscrição de avaliação Intune.

Criar um perfil de dispositivo de email

Este tutorial requer um perfil de dispositivo iOS/iPadOS Email. Para criar um, siga a documentação de orientação no Passo 11 – Criar um perfil de dispositivo. O perfil de e-mail requer que os dispositivos iOS/iPadOS utilizem uma conta de e-mail profissional.

Quando criar o perfil de e-mail, atribua o perfil ao mesmo grupo de dispositivos que utiliza mais tarde para a política de conformidade do dispositivo e as políticas de Acesso Condicional que criar nos passos subsequentes deste tutorial.

Depois de criar o perfil de e-mail, regresse aqui para continuar.

Criar uma política de proteção de aplicativos

Este tutorial requer uma política de proteção de aplicações Intune direcionada para o Outlook no iOS/iPadOS. A política de proteção de aplicações funciona com a política de Acesso Condicional que criar mais tarde, o que requer que esteja presente uma política de proteção de aplicações antes de um dispositivo poder aceder Exchange Online.

Para criar a política de proteção de aplicações, siga as orientações em Criar e atribuir políticas de proteção de aplicações. Quando configurar a política, utilize as seguintes definições:

  • Plataforma: Selecione iOS/iPadOS.
  • Aplicações: defina a Política de destino comoCore Microsoft Apps ou selecione o Microsoft Outlook individualmente.
  • Proteção de dados, Requisitos de acesso e Iniciação condicional: aceite os valores predefinidos (proteção de dados básicos da empresa) para este tutorial.
  • Atribuições: atribua a política ao mesmo grupo de utilizadores que utiliza para as políticas de conformidade e Acesso Condicional neste tutorial.

Depois de criar a política de proteção de aplicações, regresse aqui para continuar.

Criar a política de conformidade para o dispositivo iOS

Definir uma política de conformidade do Intune para dispositivos a fim de definir as condições que um dispositivo deve atender para ser considerado compatível. Neste tutorial, vai criar uma política de conformidade de dispositivos para dispositivos iOS. As políticas de conformidade são específicas da plataforma, portanto, você precisa de uma política de conformidade separada para cada plataforma de dispositivo que deseja avaliar.

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecioneConformidade deDispositivos>.

  3. No separador Políticas , selecione Criar política.

  4. Na página Criar uma política , para Plataforma , selecione iOS/iPadOS e, em seguida, selecione Criar para continuar.

  5. No separador Informações básicas , introduza as seguintes propriedades:

    • Nome: insira um nome descritivo para o novo perfil. Neste exemplo, introduza o teste da política de conformidade do iOS.
    • Descrição: Opcional – introduza o teste da política de conformidade do iOS.

    Selecione Avançar para continuar.

  6. No separador Definições de compatibilidade :

    1. Expanda Email e, em seguida, defina Não é possível configurar o e-mail no dispositivo como Exigir.

    2. Expanda Estado de Funcionamento do Dispositivo e defina Dispositivos desbloqueados por jailbreak como Bloquear.

    3. Expanda Segurança do Sistema e configure as seguintes definições:

      • Exigir uma palavra-passe para desbloquear dispositivos móveis para Exigir
      • Palavras-passe simples para Bloquear
      • Comprimento mínimo da palavra-passe para 4

      Dica

      Os valores padrão esmaecidos e em itálico são apenas recomendações. É necessário substituir os valores recomendados para definir uma configuração.

      • Tipo de palavra-passe necessário para Alfanumérico
      • Máximo de minutos após o bloqueio de ecrã antes de a palavra-passe ser necessária para Imediatamente
      • Expiração da palavra-passe (dias) para 41
      • Número de palavras-passe anteriores para impedir a reutilização para 5

    Para continuar, selecione Seguinte.

    Configuração da política de conformidade do iOS.

  7. Selecione Seguinte para ignorar Ações para não conformidade.

  8. No separador Atribuições , para Grupos incluídos, selecione Adicionar todos os dispositivos ou selecione um grupo que contenha apenas os dispositivos que devem receber esta política. Certifique-se de que utiliza a mesma atribuição que utilizou para o perfil do dispositivo de e-mail.

    Selecione Avançar para continuar.

  9. No separador Rever + criar , reveja as suas definições. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído.

Criar a política de Acesso Condicional

Em seguida, utilize o centro de administração do Microsoft Intune para criar uma política de Acesso Condicional. Integra o Acesso Condicional com Intune para ajudar a controlar os dispositivos e aplicações que se podem ligar ao e-mail e aos recursos da sua organização.

A política de Acesso Condicional:

  • Exigir que os dispositivos que executam qualquer plataforma se inscrevam no Intune e cumpram a política de conformidade Intune antes de esses dispositivos poderem ser utilizados para aceder a Exchange Online.
  • Exigir que os dispositivos utilizem a aplicação Outlook para acesso ao e-mail.

Pode configurar políticas de Acesso Condicional no centro de administração do Microsoft Entra ou no centro de administração do Microsoft Intune. Os passos seguintes utilizam o centro de administração do Intune.

  1. Entre no Centro de administração do Microsoft Intune.

  2. Selecione Segurança >de ponto finalAcesso> CondicionalCriar nova política.

  3. Em Nome, insira Política de teste para email do Microsoft 365.

  4. Em Atribuições, para Utilizadores ou agentes, selecione 0 utilizadores e grupos selecionados. No separador Incluir , selecione Todos os utilizadores. O valor das atualizações de Utilizadores para Todos os utilizadores.

  5. Também em Atribuições, em Recursos de destino, selecione Sem recursos de destino selecionados. Para o menu pendente Selecionar o que esta política se aplica, selecione Recursos (anteriormente aplicações na cloud).

    Em seguida, para proteger o e-mail do Microsoft 365 Exchange Online, selecione essa aplicação:

    1. No separador Incluir , selecione Selecionar recursos.
    2. Em Selecionar recursos específicos, selecione Nenhum para abrir o painel Recursos .
    3. Na lista de recursos, selecione a caixa de verificação para Office 365 Exchange Online e, em seguida, selecione Selecionar.

    Selecione Office 365 Exchange Online para adicionar à política.

  6. Também em Atribuições, em Condições , selecione 0 condições selecionadas. Na nova página disponível, para Plataformas de dispositivos , selecione Não configurado para abrir o painel Plataformas de dispositivos .

    1. Defina Configurar como Sim.
    2. No separador Incluir , selecione Qualquer dispositivo e, em seguida, selecione Concluído.

    Configurar as plataformas de dispositivos

  7. Mais uma vez, em Atribuições, abra As Condições>Aplicações do cliente.

    1. Defina Configurar como Sim.

    2. Neste tutorial, selecione Aplicações móveis e clientes de ambiente de trabalho, parte dos clientes de autenticação Moderna (que se refere a aplicações como o Outlook para iOS e o Outlook para Android). Desmarque todas as outras caixas de seleção.

    3. Selecione Concluído e, em seguida, Concluído novamente.

    Selecione aplicações e clientes como condições para a política.

  8. Em Controlos de acesso, em Conceder , selecione Não configurado para abrir o painel Concessão :

    1. No painel Conceder, selecione Conceder acesso.

    2. Selecione Exigir que o dispositivo seja marcado como em conformidade.

    3. Selecione Exigir política de proteção de aplicações.

    4. Em Para vários controles, selecione Exigir todos os controles selecionados. Essa configuração garante que os dois requisitos selecionados sejam aplicados quando um dispositivo tentar acessar o email.

    5. Escolha Selecionar.

    Selecionar controles

  9. Em Habilitar política, selecione Ativado.

    Para ativar a política, defina o controlo de deslize Ativar política como Ativado.

  10. Selecione Criar para guardar as alterações. O perfil está atribuído.

Observação

Alguns serviços dependentes, como o Microsoft Teams, integram-se com recursos Exchange Online e são regidos pela imposição de Políticas vinculadas antecipadamente. Consequentemente, os utilizadores têm de cumprir as políticas do Exchange antes de iniciarem sessão no Microsoft Teams.

Se tiver uma Política de Acesso Condicional que restrinja pedidos de autenticação para recursos Exchange Online, os utilizadores têm de cumprir os requisitos da Política do Exchange antes de iniciarem sessão no Teams. O não cumprimento destas políticas afeta a capacidade de iniciar sessão no Teams.

Para obter mais informações, veja a documentação da Microsoft sobre dependências de serviço e imposição de políticas.

Experimente

Com as políticas que criou, qualquer dispositivo iOS que tente iniciar sessão no e-mail do Microsoft 365 tem de se inscrever no Intune e utilizar a aplicação Outlook para dispositivos móveis para iOS/iPadOS. Para testar esse cenário em um dispositivo iOS, tente entrar no Exchange Online usando credenciais para um usuário em seu locatário de teste. É-lhe pedido para inscrever o dispositivo e instalar a aplicação Outlook para dispositivos móveis.

  1. Para testar num iPhone, aceda a Definições Aplicações>>Correio>Contas>de Correio Adicionar Conta e, em seguida, selecione Microsoft Exchange.

    Observação

    O caminho nas Definições pode variar consoante a versão do iOS. Os passos anteriores baseiam-se no iOS 26. Para obter os passos mais recentes, consulte Adicionar uma conta de e-mail ao seu iPhone ou iPad no site de suporte da Apple.

  2. Digite o endereço de email de um usuário em seu locatário de teste e, em seguida, pressione Avançar.

  3. Pressione Entrar.

  4. Insira a senha do usuário de teste e pressione Entrar.

  5. É exibida uma mensagem informando que seu dispositivo deve ser gerenciado para acessar o recurso, com uma opção para se inscrever.

Limpe os recursos

Quando as políticas de teste não forem mais necessárias, é possível removê-las.

  1. Entre no Centro de administração do Microsoft Intune.

  2. SelecioneConformidade deDispositivos>.

  3. Na lista Nome da política, selecione a política de teste e, em seguida, selecione Eliminar. Confirme a exclusão.

  4. SelecioneAcesso Condicional de Segurança> de ponto final.

  5. Selecione a política de teste e, em seguida, selecione Eliminar. Confirme a exclusão.

Próximas etapas

Neste tutorial, você criou políticas que exigem que os dispositivos iOS se inscrevam no Intune e usem o aplicativo do Outlook para acessar o email do Exchange Online. Para saber mais sobre como utilizar Intune com Acesso Condicional para proteger outras aplicações e serviços, veja Configurar o Acesso Condicional.

  • Last updated on