With 微软 音调you can do great things. 您可以 enroll all kind of mobile devices to enforce MDM policies, push applications 和 even configure managed mobile applicaties like the 微软 Office applications. 您可以 add an additional security layer to these managed applications by applying an additional access pincode 和 encrypt the data within the applications. Data can be isolated, so it can only be exchanged between other managed apps. In this way you can prevent that users can save email attachments to the local device if they use the management 微软 Outlook application.
但是,如果您仅可以在iPhone或Android设备上的非托管本机邮件客户端中配置邮件,那么什么使这一切有用?
For that, we have the option to configure Conditional Access. With Conditional Access you can control under what conditions the user or device has access to SaaS applications like SharePoint 和 交换 上 line. The most common Conditional Access policies that I use are;
- 强制用户在访问电子邮件之前先注册设备 已授予(任何邮件客户端)
- 强制用户将托管的Microsoft Outlook应用程序用于电子邮件(本机邮件客户端无法再用于访问电子邮件)
In this blog I will show you how to configure Conditional Access to 交换 上 line. First I will show you how to enforce device enrollment 和 second how to enforce the use of the 微软 Outlook application. You must know that in both cases you 需要配置两个单独的条件访问以使其完全起作用!我告诉你为什么...
配置条件访问以强制设备注册(第1部分)
此博客的第一步是创建条件访问策略,以强制现代应用程序(支持现代身份验证的应用程序,例如Microsoft Outlook)注册设备。
内 微软 蔚蓝 门户, 导航 音调> Conditional access
请点击 政策规定 和 click the “+ New policy” 按钮。
给新策略命名。对于这个博客,我将其命名为: CA-ExchangeOnline-ModernApps
在分配下,单击 用户和组 和 选择 an 蔚蓝 AD security group if you want to apply this policy to a 选择ed group of users (optional). All users is also an option. 请点击 完成了
点击 云应用 ,点击 选择 apps 搜寻 Office 365 交换 在线 。 点击 选择 和 完成了
选择 条件 , 和 then choose for 客户端应用 。在右侧单击 选择 client apps 和 选择 both 浏览器 和 Mobile apps 和 desktop clients 。 请点击 完成了 两次。
下 访问控制 选择 格兰特 。在屏幕的右侧,单击 授予访问权限 和 选择 要求设备被标记为兼容 。 点击 选择 在屏幕底部。
确保 启用政策 被设置为 上 和 click on 创造
测试条件访问策略以强制设备注册(第1部分)
I will now show you what the effect of this policy is on a 苹果 iPad device within the 微软 Outlook app 和 also the native 邮件 app.
打开 微软 Outlook app 和 click 开始使用
Fill in your email address 和 click 新增帐户
Enter your password 和 click 登入
如您所见,在授予对电子邮件的访问权限之前,用户被迫注册设备。到现在为止还挺好 …
让’使用本地邮件客户端进行相同的测试。开始 邮件 app 和 click 交换
Fill in your email address 和 click 下一个
This is an important step. 如果你 choose for 登入 the modern authorization method will be used with Autodiscovery. 如果你 choose for 手动配置就像名字说的那样。您必须自己配置所有内容,而无需自动发现,也不需要现代授权。我们待会儿再讲。现在选择 登入 .
填写密码,然后单击 登入
如您所见,这次还强制用户注册设备,以便’好的。但是,如果您击中了 取消 按钮或您是否已选择 手动配置 在上一步中?让我们找出..打 取消 按钮。
请点击 好
Manually fill in the requested information 和 click 下一个
一切都正确
请点击 保存
现在,我无需注册设备即可访问我的电子邮件。为了解决这个问题“problem”我们需要配置第二个策略。
配置条件访问以强制设备注册(第2部分)
在Microsoft 蔚蓝 门户中,返回到 音调> Conditional access. 选择 政策,然后点击 “+新政策” botton.
给新策略命名。对于这个博客,我将其命名为: CA-ExchangeOnline-EAS
在分配下,单击 用户和组 如果您想将此策略应用于选定的用户组,则选择一个Azure AD安全组(可选),然后单击“确定”。 完成了
点击 云应用 ,点击 选择 apps en search for Office 365 交换 在线 。 请点击 选择 and 完成了
选择 条件 , 和 then choose for 客户端应用 . This time 选择 交换 ActiveSync 。 请点击 完成了 两次。
下 访问控制 select 格兰特 。在屏幕的右侧,单击 授予访问权限 and 选择 要求设备被标记为兼容 。 点击 选择 在屏幕底部。
确保 启用政策 is set to 上 and click on 创造
测试条件访问策略以强制设备注册(第2部分)
I will now show you what the effect of this policy is on a 苹果 iPad device within the native 邮件 app with manual configuration.
启动本机 邮件 app 和 click 交换
Fill in your email address 和 click 下一个
请点击 手动配置
填写密码,然后单击 下一个
Fill in the requested information 和 click 下一个
请点击 保存
As you can see, the policy is applied 和 no mail can be received before enrolling the device.
配置条件访问以强制执行Microsoft Outlook App(并阻止使用本机邮件应用程序)
In the next step I show you how to enforce the use of the (managed) 微软 Outlook app 和 blocking the use of any native mail client. 如果你 are using 微软 音调and configure Mobile Application Management (MAM) policies to protect company data (like email 和 documents) this 将是要配置的最低条件访问策略。
The steps of this Conditional Access policy are, except for one step, the same as the previously made Conditional Access policies to enforce device enrollment. Therefore, I only show you the setting that is different. 创造 also two policies for this scenario, one for the modern apps, 和 one for 交换 ActiveSync! 您可以 also combine the settings into one policy (Enrollment enforcement 和 Outlook enforcement, but again, you still need to create two policies, one for ModernApps, one for EAS).
创造 a new Conditional Access policy (or edit the first one) 和 walk through the same steps as with the first created CA policy. The only difference is under 访问控制. Select 格兰特 。在屏幕的右侧,单击 授予访问权限 and 选择 需要批准的客户应用 。 点击 选择 in the bottom of the screen 和 保存 . Repeat this step for both policies (EAS 和 Modern Apps).
测试Microsoft Outlook条件访问实施策略
让我们看一下第二个条件访问策略的结果。
这些是您选择的结果 登入 配置本机邮件客户端时选择选项(自动发现)
这些是您选择的结果 手动配置 配置本机邮件客户端时选择“选项”。
结论
When using 微软 音调to manage mobile devices 和 manage applications in combination with 微软 Office 365 / 交换 上 line, Conditional Access policies are a very powerful way to protect company email 和 data. Enforcing the end user to enroll their mobile devices or to force the end user to use a managed version of the 微软 Outlook mobile app (instead of the unmanaged native mail client) gives the company the power to keep in control of the company data at any time.
11条评论。 离开新的
我爱你!!!!感谢这篇美丽的文章。
As of late, have you seen an issue where you are able to bypass CA when manually configuring the email profile? At work I can do this on both the native app for iOS 和 安卓 和 also any third party apps, I have created a new trial account, 和 can only bypass it with the native email app.
嗨,加百列,是的。那’这是您需要确保在现代身份验证旁边还具有专门为Exchange ActiveSync客户端配置的CA的原因。
如果有人已经配置了客户端怎么办?它似乎并没有阻止他们’s already there
丹尼尔,您好:当然,不是直接,而是几个小时之后。如果不是这种情况,我将提出一个支持案例。
你好罗宾,我已经制定了政策,但我’我在Chrome浏览器中访问Outlook应用时遇到问题。
该设备已被标记为兼容,但是当我在浏览器中打开Outlook时,出现以下错误消息。
您可以’不能从这里到达
This application contains sensitive information 和 can only be accessed from:
符合Cloud Productivity Solutions Limited管理合规性策略的设备或客户端应用程序。
自从你’re using Chrome, you need to install this extension. You must be on Windows 10 version 1703 和 above. Please click here for details. Alternatively, you can use 微软 Edge or Internet Explorer to access this application.
如果你’如果您现在不打算这样做,您仍然可以浏览到其他Cloud Productivity Solutions Limited网站。否则,请退出以保护您的帐户。
Sign out 和 sign in with a different account
更多细节
Hi Hemdan, For using Conditional Access on Windows 10 with Google Chrome, Windows 10 build 1702 or higher is required. For Google Chrome a plugin is needed as your massage indicate. 您可以 find more info about the requirements 和 the Chrome plugin here: //docs.microsoft.com/en-us/azure/active-directory/conditional-access/technical-reference#approved-client-app-requirement
Hi Robin, can blocking EAS with 音调and Conditional Access be achieved on iOS without having to install the 微软 Authenticator app? The end goal is to just have Outlook as the default mail app.
嗨罗宾!
一个非常有用的帖子,但是我’我试图使用Android应用程序Samsung Galaxy Note 9(使用本机应用程序Samsung邮件)执行此操作,但它没有’工作。你知道吗’s possible or if a beaviour of the Samsung mail application 和 I have to use Outlook application on Samsung phone instead the native app.
谢谢!
嗨,怀亚特(Wyatt),昨天我的客户遇到的情况完全一样。我制定了单独的CA政策,如下所述“配置条件访问以强制设备注册(第2部分)” 和 then it worked. Did you combine the CA’首先尝试将其纳入一项政策吗?
感谢您的文章。这是我希望很快推出的东西