Feltételes hozzáférés Exchange-alapú levelezés esetén a Configuration Managerben

 

Érvényes: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Megjegyzés
Ezek az információk csak a System Center 2012 Configuration Manager SP1 és a System Center 2012 R2 Configuration Manager szoftverekre, illetve azok újabb verzióira vonatkoznak.

A Configuration Manager feltételes hozzáférését használva kezelheti az Exchange e-mailek elérését a megadott feltételek alapján.

A következők hozzáférését kezelheti:

• Helyszíni Microsoft Exchange

• Microsoft Exchange Online

• Dedikált Exchange Online

Ha feltételes hozzáférést konfigurál, mielőtt a felhasználók az e-mail fiókjukhoz csatlakozhatnának, a használt eszköznek:

• Regisztrálva kell lennie az Intune-ban, vagy tartományhoz csatlakozó számítógépnek kell lennie.

• Regisztrálja az eszközt az Azure Active Directoryban (ez automatikusan megtörténik az eszköz az Intune-nal való regisztrálásakor) (csak Exchange Online esetén). Emellett az ügyfél Exchange ActiveSync-azonosítóját regisztrálni kell az Azure Active Directoryban (nem érvényes a helyszíni Exchange-hez csatlakozó Windows és Windows Phone rendszerű eszközökre).

  Tartományhoz csatlakozó számítógépek esetén be kell állítani az Azure Active Directoryban való automatikus regisztrációt. A Feltételes hozzáférés a Configuration Managerben című témakör számítógépek feltételes hozzáférésével foglalkozó szakaszában megtalálható minden, a számítógépek feltételes hozzáférésének engedélyezésére vonatkozó követelmény.

• Meg kell felelnie az eszközön telepített összes Configuration Manager-alapú megfelelőségi szabályzatnak.

Ha a feltételes hozzáférés egy feltétele nem teljesül, a felhasználó számára az alábbi üzenetek egyike jelenik meg a bejelentkezéskor:

• Ha az eszköz nincs az Intune-nal regisztrálva, vagy nincs regisztrálva az Azure Active Directoryban, megjelenik egy utasításokat tartalmazó üzenet, amely leírja, hogyan telepítse a Vállalati portál alkalmazást, hogyan regisztrálja az eszközt és (Android- és iOS-eszközök esetén) hogyan aktiválja az e-mail fiókot, amely az eszköz Exchange ActiveSync-azonosítóját az Azure Active Directoryban lévő eszközrekordhoz társítja.

• Ha az eszköz nem megfelelő, egy üzenet jelenik meg, amely a felhasználót az Intune webportálra irányítja, ahol további információt talál a problémáról és annak megoldásáról.

Számítógépek esetén:

• Ha a feltételes hozzáférési szabályzat tartományhoz való csatlakozást vagy megfelelőséget követel meg az engedélyezéshez, megjelenik egy utasításokat tartalmazó üzenet, amely leírja, hogyan regisztrálja az eszközt. Ha a számítógép egyik követelménynek sem felel meg, a rendszer azt is kérni fogja a felhasználótól, hogy regisztrálja az eszközt az Intune-nal.

• Ha a feltételes hozzáférési szabályzat követelménye úgy van beállítva, hogy csak a tartományhoz csatlakozó windowsos eszközöket engedélyezze, az eszköz le lesz tiltva, és megjelenik egy üzenet, amely jelzi, hogy kapcsolatba kell lépni a rendszergazdával.

A következő platformokon blokkolhatja az Exchange e-mail fiókok elérését az eszközök beépített Exchange ActiveSync levelezési ügyfeléről:

• Android 4.0-s és újabb verziók, Samsung KNOX szabvány 4.0-s és újabb verziók

• iOS 7.1-es és újabb verziók

• Windows Phone 8.1 és újabb verziók

• A Posta alkalmazás a Windows 8.1-ben és az újabb verziókban

Az iOS és Android rendszerhez készült Outlook alkalmazás és az Outlook 2013 asztali alkalmazás csak az Exchange Online-hoz támogatott.

A helyi Exchange Connector szükséges a Configuration Manager és az Exchange között a feltételes hozzáférés működéséhez.

A helyi Exchange feltételes hozzáférési házirendje a Configuration Manager konzolról állítható be. Az Exchange Online feltételes hozzáférési házirendjének konfigurálásakor a folyamat a Configuration Manager konzolon kezdhető el, amely elindítja az Microsoft Intune konzolt, ahol befejezhető a folyamat.

1. lépés: A feltételes hozzáférési szabályzat hatásának értékelése

Miután konfigurálta a helyi Exchange Connectort, a Configuration Manager a feltételes hozzáférési állapot szerinti eszközlistára vonatkozó jelentést használva azonosíthatja azokat az eszközöket, amelyeknek az Exchange-hez való hozzáférése a feltételes hozzáférési házirend konfigurálását követően le lesz tiltva. A jelentéshez az alábbiak szükségesek:

• Előfizetés az Intune-ra

• Konfigurálni és telepíteni kell az Intune-összekötőt

A jelentés paramétereiben válassza ki az értékelni kívánt Intune-csoportot és szükség esetén azon eszközplatformokat, amelyekre alkalmazza a házirendet.

További információ a jelentések futtatásáról: Jelentéskészítés a Configuration Manageralkalmazásban.

A jelentés futtatása után vizsgálja meg a következő négy oszlopot annak meghatározásához, hogy a felhasználók le lesznek-e tiltva:

• Kezelési csatorna – Jelzi, hogy az eszközt az Intune, az Exchange ActiveSync vagy mindkettő kezeli.

• Az AAD-ben regisztrált – Azt jelzi, hogy az eszköz regisztrálva van-e az Azure Active Directoryban (vagyis munkahelyi csatlakoztatással).

• Megfelelő – Jelzi, hogy az eszköz megfelel-e a telepített megfelelőségi házirendeknek.

• EAS engedélyezve – Az iOS- és Android-eszközök Exchange ActiveSync-azonosítójának társítva kell lennie az Azure Active Directoryban található eszközregisztrációs rekorddal. Ez akkor történik meg, amikor a felhasználó a Levelezés aktiválása hivatkozásra kattint a karanténba helyezett e-mailben.

  Megjegyzés
  Windows Phone-telefonok esetén ebben az oszlopban mindig szerepel érték.

A célcsoporthoz vagy -gyűjteményhez tartozó eszközök Exchange-hozzáférése le lesz tiltva, ha az oszlop értékei nem egyeznek a következő táblázatban lévő értékekkel:

Kezelési csatorna	Az AAD-ben regisztrált	Compliant (Megfelelő)	EAS engedélyezve	Eredményművelet
A Microsoft Intune és az Exchange ActiveSync kezeli	Igen	Igen	Igen vagy Nem van megjelenítve	Az e-mail hozzáférés engedélyezett
Bármely más érték	Nem	Nem	Nem jelenik meg érték	Az e-mail hozzáférés le van tiltva

Exportálhatja a jelentés tartalmát, és az E-mail cím oszlop segítségével értesítheti a felhasználókat arról, hogy le lesznek tiltva.

2. lépés: Felhasználói csoportok vagy gyűjtemények konfigurálása a feltételes hozzáférési szabályzathoz

A feltételes hozzáférési szabályzatokkal a szabályzat típusától függően különböző felhasználói csoportokat vagy gyűjteményeket célozhat meg. Ezek a csoportok tartalmazzák a célzott vagy a házirend alól mentesülő felhasználókat. Amikor egy felhasználóra házirend vonatkozik, az általa használt összes eszköznek megfelelőnek kell lennie az e-mailek eléréséhez.

• Az Exchange Online házirendhez – az Azure Active Directory biztonsági felhasználói csoportok számára. Ezeket a csoportokat az Office 365 Felügyeleti központban vagy az Intune-fiókportálon konfigurálhatja.

• Helyszíni Exchange-szabályzat esetén – Configuration Manager-alapú felhasználói gyűjtemények számára. Ezek az Eszközök és megfelelőség munkaterületen konfigurálhatók.

Minden házirendben két csoporttípust adhat meg:

• Megcélzott csoportok – Azok a felhasználói csoportok vagy gyűjtemények, amelyekre a szabályzat érvényes

• Kivétel alá eső csoportok – Azon felhasználói csoportok vagy gyűjtemények, amelyek mentesülnek a szabályzat alól (nem kötelező)

Ha egy felhasználó mindkettőben szerepel, mentesül a szabályzat alól.

Csak a feltételes hozzáférési szabályzat által célzott csoportokat vagy gyűjteményeket értékeli ki a rendszer az Exchange-hozzáférés szempontjából.

3. lépés: Megfelelőségi szabályzat konfigurálása és telepítése

Győződjön meg arról, hogy minden olyan eszközön létrehozott és telepített megfelelőségi házirendet, amelyet az Exchange feltételes hozzáférési házirenddel fog megcélozni.

A megfelelőségi szabályzat konfigurálásának részletei: Megfelelőségi házirendek a Configuration Managerben.

Fontos
Ha nem telepített megfelelőségi házirendet, és engedélyez egy Exchange feltételes hozzáférési házirendet, az összes megcélzott eszköz hozzáférése engedélyezett lesz.

Ha készen áll, folytassa a 4. lépéssel.

4. lépés: A feltételes hozzáférési szabályzat konfigurálása

Exchange Online (és az új dedikált Exchange Online-környezetbeli bérlők) esetén

Az Exchange Online feltételes hozzáférési házirendjei a következő folyamatot használják annak kiértékeléséhez, hogy engedélyezzék vagy letiltsák-e az eszközöket.

Az e-mailek eléréséhez az eszköznek:

• Az Intune-nal regisztrálva kell lennie.

• A számítógépeknek egy tartományhoz kell csatlakoznia, vagy regisztrálva kell lennie és meg kell felelnie az Intune-ban beállított szabályzatoknak.

• Az eszközt regisztrálni kell az Azure Active Directoryban (ez automatikusan megtörténik az eszköz az Intune-nal való regisztrálásakor).

  Tartományhoz csatlakozó számítógépek esetén be kell állítani az eszköz automatikus regisztrációját az Azure Active Directoryban.

• Aktivált e-mail fiókkal kell rendelkeznie, amely az eszköz Exchange ActiveSync-azonosítóját az Azure Active Directoryban található eszközrekordhoz társítja (csak iOS- és Android-eszközökre érvényes).

• Meg kell felelnie az összes telepített megfelelőségi szabályzatnak.

Az eszköz állapotát a rendszer az Azure Active Directoryban tárolja, amely engedélyezi vagy letiltja az e-mailek elérését az értékelt feltételek alapján.

Ha egy feltétel nem teljesül, a felhasználó számára az alábbi üzenetek egyike jelenik meg a bejelentkezéskor:

• Ha az eszköz nincs regisztrálva, vagy nincs az Azure Active Directoryban regisztrálva, megjelenik egy utasításokat tartalmazó üzenet, amely leírja, hogyan telepítse a Vállalati portál alkalmazást és regisztrálja az eszközt

• Ha az eszköz nem megfelelő, egy üzenet jelenik meg, amely a felhasználót az Intune webportálra irányítja, ahol további információt talál a problémáról és annak megoldásáról.

• Számítógépek esetén:

  • Ha a házirend úgy van beállítva, hogy megkövetelje a tartományhoz való csatlakozást, és a számítógép nem csatlakozik tartományhoz, megjelenik egy üzenet, amely jelzi, hogy kapcsolatba kell lépni a rendszergazdával.

  • Ha a szabályzat úgy van beállítva, hogy tartományhoz való csatlakozást vagy megfelelőséget követeljen meg, és a számítógép egyik követelménynek sem felel meg, egy utasításokat tartalmazó üzenet jelenik meg, amely leírja, hogyan telepítse a Vállalati portál alkalmazást és hogyan regisztrálja az eszközt.

Megjelenik az üzenet az eszközön az Exchange Online-felhasználók és az új dedikált Exchange Online-környezetbeli bérlők számára, és a helyszíni Exchange és az örökölt dedikált Exchange Online eszközök felhasználói e-mailben kapják meg.

Megjegyzés
A Configuration Manager feltételes hozzáférési szabályai felülírják, engedélyezik, letiltják, illetve karanténba helyezik az Exchange Online felügyeleti konzolján meghatározott szabályokat.

Megjegyzés
A feltételes hozzáférési szabályzatot az Intune-konzolon kell konfigurálni. Ehhez először a Configuration Manageren keresztül kell elérnie az Intune-konzolt. Ha a rendszer kéri, jelentkezzen be a Configuration Manager és az Intune közötti összekötő telepítése során használt hitelesítő adatokkal.

Az Exchange Online-házirend engedélyezése

1. Kattintson a Configuration Manager konzolon az Eszközök és megfelelőség elemre.

2. Bontsa ki a Megfelelőségi beállítások, majd a Feltételes hozzáférés csomópontot, és kattintson az Exchange Online elemre.

3. A Kezdőlap lap Hivatkozások csoportjában kattintson a Feltételes hozzáférési házirend konfigurálása az Intune-konzolon hivatkozásra. Előfordulhat, hogy meg kell adnia annak a fióknak a felhasználónevét és jelszavát, amellyel az Intune valamelyik globális rendszergazdáját összekapcsolta a Configuration Managerrel.

   Ekkor megnyílik az Intune felügyeleti konzolja.

4. A Microsoft Intune felügyeleti konzolon kattintson a Házirend > Feltételes hozzáférés > Exchange Online-házirend. lehetőségre.

   

5. Az Exchange Online-szabályzat lapon válassza a Feltételes hozzáférési házirend engedélyezése Exchange Online-hoz lehetőséget. Ha bejelöli ezt a beállítást, az eszköznek kompatibilisnek kell lennie. Ha a beállítás nincs bejelölve, a feltételes hozzáférés nem lesz alkalmazva.

   Megjegyzés
   Ha nem telepített megfelelőségi házirendet, és engedélyezi az Exchange Online-házirendet, a rendszer az összes megcélzott eszközt megfelelőként jelenti. A megfelelőségi állapottól függetlenül a házirend által megcélzott összes felhasználónak be kell léptetnie az eszközét az Intune-nal.

6. A Modern hitelesítést használó alkalmazások lehetőségnél minden platform esetén dönthet úgy, hogy kizárólag a megfelelő eszközökre korlátozza a hozzáférést. A Windows-eszközöknek vagy tartományhoz kell csatlakozniuk, vagy regisztrálva kell lenniük az Intune-ban.

   Tipp

   A modern hitelesítéssel Active Directory Authentication Library-alapú (ADAL-alapú) bejelentkezés biztosítható az Office-ügyfelekhez. Az ADAL-alapú hitelesítéssel az Office-ügyfelek végezhetnek böngészőalapú hitelesítést (más néven passzív hitelesítést). A hitelesítéshez a felhasználó egy bejelentkezési weblapra van átirányítva. Az új bejelentkezési móddal olyan új forgatókönyvek használhatók, mint például a feltételes hozzáférés eszközmegfelelőség alapján, és az alapján, hogy többtényezős hitelesítést hajtottak-e végre. Ebben a cikkben olvashatók további információk a modern hitelesítés működéséről.

   Ha az Exchange Online-t a Configuration Managerrel és az Intune-nal együtt használja, nemcsak mobileszközök, hanem asztali számítógépek feltételes hozzáférését is kezelheti. A számítógépeknek egy tartományhoz kell csatlakoznia, vagy regisztrálva kell lennie az Intune-ban. A következő követelményeket állíthatja be:

   - **Az eszközöknek tartományhoz kell csatlakozniuk vagy meg kell felelniük a házirendnek.** A számítógépeknek tartományhoz kell csatlakozniuk, vagy meg kell felelniük az Intune-ban beállított szabályzatoknak. Ha a számítógép egyik követelménynek sem felel meg, a rendszer kérni fogja a felhasználótól, hogy regisztrálja az eszközt az Intune-ban.
   
   - **Az eszközöknek tartományhoz kell csatlakozniuk.** A számítógépeknek tartományhoz kell csatlakozniuk az Exchange Online-hoz való hozzáféréshez. Ha a számítógép nem csatlakozik tartományhoz, a rendszer blokkolja a levelezéshez való hozzáférést, és kéri a felhasználót, hogy lépjen kapcsolatba a rendszergazdával.
   
   - **Az eszközöknek meg kell felelniük a házirendnek.** A számítógépeknek regisztrálva kell lenniük az Intune-ban, és meg kell felelniük a szabályzatnak. Ha a számítógép nincs regisztrálva, megjelenik egy, a regisztráció lépéseit bemutató üzenet.
   

7. Az Exchange ActiveSync-levelezőalkalmazások szakaszban blokkolhatja a levelezőalkalmazások hozzáférését az Exchange Online-hoz, ha az eszköz nem megfelelő, illetve megadhatja, hogy engedélyezi vagy letiltja a levelezéshez való hozzáférést, ha az Intune nem tudja kezelni az eszközt.

8. A Megcélzott csoportok területen válassza ki azon felhasználók Active Directory biztonsági csoportjait, akikre érvényes a házirend.

   Megjegyzés

   A Megcélzott csoportokban lévő felhasználók esetében az Intune-házirendek leváltják az Exchange-szabályokat és -házirendeket. Az Exchange csak a következő esetekben érvényesíti az engedélyezési, blokkolási és karanténba helyezési Exchange-szabályokat és az Exchange-házirendeket: A felhasználó nem rendelkezik Intune-licenccel. A felhasználó rendelkezik Intune-licenccel, de egy, a feltételes hozzáférési házirendben megcélzott biztonsági csoportnak sem tagja.

9. A Kivétel alá eső csoportok területen válassza ki azon felhasználók Active Directory biztonsági csoportjait, akikre nem érvényes a házirend. Ha egy felhasználó a megcélzott és a mentesített csoportban is szerepel, mentes a szabályzat alól, és hozzáfér a levelezéséhez.

10. Amikor végzett, kattintson a Mentés gombra.

• Nem kell telepítenie a feltételes hozzáférési szabályzatot, az azonnal érvénybe lép.

• Miután egy felhasználó e-mail fiókot hoz létre, azonnal letiltja az eszközt.

• Ha egy letiltott felhasználó regisztrálja az eszközt az Intune-ban (vagy javítja a nem megfelelőséget), a rendszer 2 percen belül feloldja az e-mail elérést.

• Ha a felhasználó megszünteti az eszköz regisztrációját, körülbelül 6 óra múlva letiltja a rendszer a levelezést.

A helyszíni Exchange (és az örökölt dedikált Exchange Online-környezetbeli bérlők) esetén

A helyszíni Exchange és az örökölt dedikált Exchange Online-környezetbeli bérlők feltételes hozzáférési házirendjei a következő folyamatot használják annak kiértékeléséhez, hogy engedélyezzék vagy letiltsák az eszközöket.

A helyszíni Exchange-házirend engedélyezése

1. Kattintson a Configuration Manager konzolon az Eszközök és megfelelőség elemre.

2. Bontsa ki a Megfelelőségi beállítások, majd a Feltételes hozzáférés csomópontot, és kattintson az Helyi Exchange elemre.

3. A Kezdőlap lap Helyi Exchange csoportjában kattintson a Feltételes hozzáférési házirend konfigurálása elemre.

4. A Feltételes hozzáférési házirend konfigurálása varázslóÁltalános lapján adja meg az Intune-bérlő tartománynevét. Ez az Intune-összekötő beállításához használt bérlői azonosító utótagjával egyezik meg. Ha például az admin@corpemail.contoso.com bérlőazonosítót használta, a varázslóban ezen a lapon beírandó tartománynév corpemail.contoso.com.

   

   Kattintson a Tovább gombra.

5. A Célgyűjtemények lapon vegyen fel legalább egy felhasználói gyűjteményt. Az Exchange eléréséhez a gyűjteményekbe tartozó felhasználóknak regisztrálniuk kell az eszközeiket az Intune-ban, és meg kell felelniük minden megfelelőségi szabályzatnak, amelyet telepített.

   

   Kattintson a Tovább gombra.

6. A Kivételezett gyűjtemények lapon bármilyen felhasználói gyűjteményt felvehet, amelyet mentesíteni kíván a házirend alól. Az ebben a csoportokban lévő felhasználóknak nem kell regisztrálniuk eszközeiket az Intune-nal, és nem kell megfelelniük semmilyen telepített megfelelőségi szabályzatnak az Exchange eléréséhez.

   

   Ha egy felhasználó a megcélzott és a mentesített listában is szerepel, mentesül a feltételes hozzáférési házirend alól.

   Kattintson a Tovább gombra.

7. A Felhasználói értesítés szerkesztése lapon konfigurálhatja az e-maileket, amelyeket az Intune a felhasználóknak küld az eszköz letiltásának feloldására vonatkozó utasításokkal (az Exchange által küldött e-mailek mellett).

   Szerkesztheti az alapértelmezett üzenetet, és HTML-címkékkel formázhatja a szöveg megjelenését. Az alkalmazottakat előzetesen is értesítheti e-mailben a jövőbeli változásokról, és útmutatást adhat nekik az eszközük regisztrációjával kapcsolatban.

   

   Megjegyzés
   Mivel a javítással kapcsolatos utasításokat tartalmazó Intune értesítő e-mail a felhasználó Exchange-postaládájába kerül, ha a felhasználó eszköze le van tiltva az e-mail üzenet megérkezése előtt, egy le nem tiltott eszközzel vagy más módon érhetik el az Exchange-fiókot és tekinthetik meg az üzenetet.

   Megjegyzés
   Konfigurálnia kell az értesítő e-mail elküldéséhez használt fiókot, hogy az Exchange elküldhesse az értesítő e-mailt. Ezt az Exchange Server Connector konfigurálásakor végezheti el. További részletek: Mobileszközök kezelése a Configuration Manager és az Exchange használatával.

   Kattintson a Tovább gombra.

8. Az Összefoglalás lapon ellenőrizze a beállításokat, majd hajtsa végre a varázsló lépéseit.

• Nem kell telepítenie a feltételes hozzáférési házirendet, azonnal érvénybe lép.

• Miután a felhasználó beállítja az Exchange ActiveSync-profilt, az eszköz letiltása 1–3 órát vehet igénybe (ha azt nem az Intune kezeli).

• Ha egy letiltott felhasználó ezután regisztrálja az eszközt az Intune-ban (vagy javítja a nem megfelelőséget), a rendszer 2 percen belül feloldja az e-mailek elérését.

• Ha a felhasználó megszünteti az eszköz regisztrációját az Intune-ban, az eszköz letiltása 1–3 óráig tarthat.

Lásd még

Feltételes hozzáférés a Configuration Managerben