Compartir a través de


Acceso condicional en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

La información de este tema se aplica a System Center 2012 Configuration Manager SP2 y System Center 2012 R2 Configuration Manager SP1.

Si usa la extensión de acceso condicional para Microsoft Intune, la funcionalidad de esta extensión ahora se incluye en el producto principal, y la extensión ya no se muestra en el nodo Extensiones para Microsoft Intune de la consola de Configuration Manager.

Sin embargo, para System Center 2012 R2 Configuration Manager SP1, a partir del 2 de noviembre, la extensión de acceso condicional proporciona la siguiente funcionalidad nueva. La extensión se mostrará en el nodo Extensiones de Microsoft Intune de la consola de Configuration Manager.

  • Regla de cumplimiento mínimo del sistema operativo

  • Regla de cumplimiento máximo del sistema operativo

Use el acceso condicional en Configuration Manager para proteger el correo electrónico y otros servicios en los dispositivos que están inscritos con Microsoft Intune, en función de las condiciones que especifique.

A continuación se muestra un ejemplo de flujo típico de acceso condicional:

Advanced conditional access flow

Usar acceso condicional para administrar el acceso a los servicios siguientes:

  • Microsoft Exchange local

  • Microsoft Exchange Online

  • Exchange Online Dedicated

  • SharePoint Online

Puede controlar el acceso a Exchange Online y Exchange local desde el cliente de correo electrónico integrada en las siguientes plataformas:

  • Android 4.0 y versiones posterior, Samsung Knox Standard 4.0 y versiones posteriores

  • iOS 7.1 y versiones posteriores

  • Windows Phone 8.1 y versiones posteriores

  • Aplicación de correo en Windows 8.1 y posterior

Puede controlar el acceso a SharePoint Online desde las siguientes aplicaciones para plataformas que se indican:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)

  • Microsoft Word (iOS)

  • Microsoft Excel (iOS)

  • Microsoft PowerPoint (iOS)

  • Microsoft OneNote (iOS)

Las aplicaciones de escritorio de Office pueden tener acceso a Exchange Online y SharePoint Online en los equipos que ejecutan:

  • Aplicaciones de escritorio de Office 2013 y versiones posteriores con la autenticación moderna habilitada.

  • Windows 7.0 o Windows 8.1

Nota

Los equipos deben estar unidos a un dominio o ser compatibles con las directivas establecidas Intune.

Para implementar el acceso condicional, se configuran dos tipos de directivas en Configuration Manager:

  • Las directivas de cumplimiento son directivas opcionales que se pueden implementar en las recopilaciones de usuarios y evaluar opciones como:

    • Código de acceso

    • Cifrado

    • Si el dispositivo está desbloqueado o modificado

    • Si el correo electrónico en el dispositivo administrado por una directiva de Configuration Manager o Intune

    Si no hay ninguna directiva de cumplimiento implementada en un dispositivo, las directivas de acceso condicional aplicables tratarán el dispositivo como compatible.

  • Las directivas de acceso condicional se configuran para un servicio particular y definen reglas, como las dirigidas a los grupos de usuarios de seguridad de Azure Active Directory o las recopilaciones de usuarios de Configuration Manager, o exentas.

    Puede configurar una directiva de acceso condicional para Exchange local desde la consola de Configuration Manager. Sin embargo, cuando se configura una directiva de Exchange Online o SharePoint Online, se abrirá la consola del administrador de Microsoft Intune donde se configura la directiva.

    A diferencia de otras directivas de Intune o Configuration Manager, no se implementan directivas de acceso condicional. En su lugar, al configurar estas una vez, se aplicarán a todos los usuarios objetivo.

Cuando los dispositivos no cumplen las condiciones que configure, se indica al usuario el proceso que debe seguir para registrar el dispositivo en cuestión y corregir el problema que impide que cumpla los requisitos.

Antes de empezar

Antes de empezar a utilizar el acceso condicional, asegúrese de que tiene los requisitos adecuados en su lugar:

Tipo de directiva

Requisitos

Exchange Online (mediante el entorno de varios inquilinos compartido)

El acceso condicional a Exchange Online admite dispositivos que ejecutan:

  • Windows 8.1 y versiones posteriores (si cuando están inscritos con Intune)

  • Windows 7.0 o Windows 8.1 (si están unidos a un dominio)

  • Windows Phone 8.1 y versiones posteriores

  • iOS 7.1 y versiones posteriores

  • Android 4.0 y versiones posterior, Samsung Knox Standard 4.0 y versiones posteriores

Además:

  • Los dispositivos deben estar combinados en el área de trabajo, que registra el dispositivo con el servicio de registro del dispositivo de Azure Active Directory (AAD DRS).

    Los equipos unidos a un dominio se deben registrar automáticamente con Azure Active Directory a través de una directiva de grupo o MSI. En la sección Acceso condicional para equipos de este tema se describen todos los requisitos para habilitar el acceso condicional para un equipo.

    AAD DRS se activará automáticamente para los clientes de Intune y Office 365. Los clientes que ya hayan implementado el servicio de registro de dispositivos de ADFS no podrán ver los dispositivos registrados en la instancia local de Active Directory.

  • Debe utilizar una suscripción de Office 365 que incluya Exchange Online (por ejemplo, E3) y los usuarios deben tener licencia para Exchange Online.

  • El conector de Exchange Server es opcional, conecta Configuration Manager con Microsoft Exchange Online y ayuda a supervisar la información del dispositivo a través de la consola de Configuration Manager (consulte Cómo administrar dispositivos móviles mediante Configuration Manager y Exchange). No necesita usar el conector para utilizar directivas de cumplimiento ni de acceso condicional, pero sí para ejecutar informes que ayuden a evaluar el impacto del acceso condicional.

Exchange Online Dedicated

El acceso condicional a Exchange Online Dedicated admite dispositivos que ejecutan:

  • Windows 8 y versiones posteriores (cuando están inscritos con Intune)

  • Windows 7.0 o Windows 8.1 (si están unidos a un dominio)

    Acceso condicional a equipos unidos a un dominio solo con inquilinos en el nuevo entorno dedicado de Exchange Online.

  • Windows Phone 8 y versiones posteriores

  • Cualquier dispositivo iOS que utilice un cliente de correo electrónico de Exchange ActiveSync (EAS)

  • Android 4 y versiones más recientes.

  • Para los inquilinos en el entorno heredado de Exchange Online Dedicated:

    Debe usar el conector de Exchange Server que conecta Configuration Manager con Microsoft Exchange local. Esto permite administrar dispositivos móviles y habilitar el acceso condicional (consulte Cómo administrar dispositivos móviles mediante Configuration Manager y Exchange).

  • Para los inquilinos en el nuevo entorno de Exchange Online Dedicated:

    El conector de Exchange Server opcional conecta Configuration Manager con Microsoft Exchange Online y ayuda a administrar información del dispositivo (consulte Cómo administrar dispositivos móviles mediante Configuration Manager y Exchange). No necesita usar el conector para utilizar directivas de cumplimiento ni de acceso condicional, pero sí para ejecutar informes que ayuden a evaluar el impacto del acceso condicional.

Exchange local

El acceso condicional a Exchange local admite lo siguiente:

  • Windows 8 y versiones posteriores (cuando están inscritos con Intune)

  • Windows Phone 8 y versiones posteriores

  • Aplicación de correo electrónico nativo de iOS

  • Aplicación de correo electrónico nativo de Android 4 o posterior

  • La aplicación de Microsoft Outlook no es compatible para iOS y Android.

Además:

  • Su versión de Exchange debe ser Exchange 2010 o posterior. Se admite la matriz del servidor de acceso de cliente (CAS) del servidor de Exchange.

    System_CAPS_tipSugerencia

    Si su entorno de Exchange se encuentra en una configuración de servidor CAS, debe configurar el conector de Exchange local de modo que apunte a uno de los servidores CAS.

  • Debe usar el conector de Exchange Server que conecta Configuration Manager con Microsoft Exchange local. Esto permite administrar dispositivos móviles y habilita el acceso condicional (consulte Cómo administrar dispositivos móviles mediante Configuration Manager y Exchange).

    • Asegúrese de que está usando la versión más reciente del conector de Exchange local. El conector de Exchange local debe estar instalarse y configurarse a través de la consola de Configuration Manager. Para obtener un tutorial detallado, consulte Cómo configurar dispositivos móviles mediante Configuration Manager y Exchange.

    • El conector debe instalarse sólo en el sitio primario de System Center Configuration Manager.

    • Este conector es compatible con el entorno de CAS de Exchange. Al configurar el conector, debe establecerse para hablar con uno de los servidores CAS de Exchange.

  • Exchange ActiveSync se puede configurar con autenticación basada en certificados o con la entrada de credenciales de usuario

SharePoint Online

El acceso condicional a SharePoint Online admite dispositivos que ejecutan:

  • Windows 8.1 y versiones posteriores (si cuando están inscritos con Intune)

  • Windows 7.0 o Windows 8.1 (si están unidos a un dominio)

  • Windows Phone 8.1 y versiones posteriores

  • iOS 7.1 y versiones posteriores

  • Android 4.0 y versiones posterior, Samsung Knox Standard 4.0 y versiones posteriores

Además:

  • Los dispositivos deben estar combinados en el área de trabajo, que registra el dispositivo con el servicio de registro del dispositivo de Azure Active Directory (AAD DRS).

    Los equipos unidos a un dominio se deben registrar automáticamente con Azure Active Directory a través de una directiva de grupo o MSI. En la sección Acceso condicional para equipos de este tema se describen todos los requisitos para habilitar el acceso condicional para un equipo.

    AAD DRS se activará automáticamente para los clientes de Intune y Office 365. Los clientes que ya hayan implementado el servicio de registro de dispositivos de ADFS no podrán ver los dispositivos registrados en la instancia local de Active Directory.

  • Es necesaria una suscripción de SharePoint Online y los usuarios deben tener licencia para SharePoint Online.

Acceso condicional para equipos

Puede configurar el acceso condicional para equipos que ejecutan aplicaciones de escritorio de Office, para que tengan acceso a Exchange Online y SharePoint Online en los equipos que cumplen los requisitos siguientes:

  • El equipo debe ejecutar Windows 7.0 o Windows 8.1.

  • El equipo debe estar unido a un dominio o ser compatible

    Para ser compatible, el equipo debe estar inscrito en Intune y cumplir las directivas.

    Los equipos unidos a un dominio deben configurarse para que registren automáticamente el dispositivo con Azure Active Directory.

  • La autenticación moderna de Office 365 debe estar habilitada y tener las últimas actualizaciones de Office.

    La autenticación moderna aporta inicio de sesión basado en Active Directory Authentication Library (AAL) para los clientes de Windows en Office 2013 y habilita una mejor seguridad como la autenticación multifactor y la autenticación basada en certificados.

  • Configure reglas de notificaciones de ADFS para bloquear protocolos de autenticación no moderna.

Pasos siguientes

Lea los siguientes temas para obtener información sobre cómo configurar directivas de cumplimiento y las directivas de acceso condicional para su escenario requiere: