Érvényes: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Az ebben a témakörben található információk a System Center 2012 Configuration Manager SP2 és System Center 2012 R2 Configuration Manager SP1 szervizcsomagra vonatkoznak.
Ha használja a Microsoft Intune Feltételes hozzáférési bővítményét, a bővítmény funkcióit mostantól az alaptermék is tartalmazza, így a bővítmény már nem jelenik meg a Configuration Manager konzoljának A Microsoft Intune bővítményei csomópontján.
A System Center 2012 R2 Configuration Manager SP1 használata esetén azonban november 2-től kezdve a Feltételes hozzáférési bővítmény az alábbi új funkciókat biztosítja. A bővítmény megjelenik a Configuration Manager konzoljának Microsoft Intune-bővítmények csomópontjában.
|
A feltételes hozzáféréssel a Configuration Managerben az Ön által megadott feltételek alapján biztosíthatja a levelezés és más szolgáltatások védelmét a Microsoft Intune használatával regisztrált eszközökön.
Egy tipikus feltételes hozzáférési folyamat a következőhöz hasonlóan néz ki:
Feltételes hozzáféréssel a következő szolgáltatásokhoz való hozzáférést kezelheti:
Az Exchange Online-hoz és a helyszíni Exchange-hez a hozzáférést a következő platformokon szabályozhatja a beépített e-mail ügyfélprogramból:
Android 4.0-s és újabb verziók, Samsung KNOX szabvány 4.0-s és újabb verziók
iOS 7.1-es és újabb verziók
Windows Phone 8.1 és újabb verziók
Levelezőalkalmazás a Windows 8.1-es és újabb verzióiban
A SharePoint Online-hoz a felsorolt platformok következő alkalmazásaiból szabályozhatja a hozzáférést:
Microsoft Office Mobile (Android)
Microsoft OneDrive (Android és iOS)
Microsoft Word (iOS)
Microsoft Excel (iOS)
Microsoft PowerPoint (iOS)
Microsoft OneNote (iOS)
Az Office asztali alkalmazásai a következő szoftvereket futtató számítógépeken férhetnek hozzá az Exchange Online-hoz és a SharePoint Online-hoz:
A számítógépeknek egy tartományhoz kell csatlakozniuk, vagy meg kell felelniük az Intune-ban beállított házirendeknek. |
A feltételes hozzáférés bevezetéséhez két házirendtípust kell konfigurálnia az Configuration Manager-ban:
A kompatibilitási szabályzatok felhasználógyűjteményekre alkalmazható opcionális szabályzatok, amelyekkel például az alábbi beállítások vizsgálhatók:
PIN-kód
Titkosítás
Az, hogy az eszközt feltörték-e
Az, hogy az eszközön a levelezés kezelése Configuration Manager- vagy Intune-szabályzattal történik-e
Ha egy eszközre nincs kompatibilitási házirend alkalmazva, akkor az esetleges alkalmazható feltételes hozzáférési házirendek kompatibilisként fogják kezelni az eszközt.
Konfigurálhatja a Feltételes hozzáférési szabályzatok beállítást egy adott szolgáltatáshoz, és szabályokat definiálhat, például hogy az Azure Active Directory mely felhasználói biztonsági csoportjai, illetve az Configuration Manager mely felhasználógyűjteményei legyenek megcélozva, illetve mentesüljenek.
A helyi Exchange feltételes hozzáférési házirendje a Configuration Manager konzolról állítható be. Az Exchange Online vagy a SharePoint Online házirendjének konfigurálásakor megnyílik a Microsoft Intune felügyeleti konzol, ahol konfigurálhatja a házirendet.
Más Intune- vagy Configuration Manager-szabályzatoktól eltérően nem kell feltételes hozzáférési szabályzatokat alkalmaznia. Ehelyett ezeket csak egyszer kell konfigurálnia, és ezzel az összes megcélzott felhasználóra alkalmazza őket.
Ha az eszközök nem felelnek meg az Ön által konfigurált feltételeknek, a rendszer végigvezeti a felhasználót az eszköz beléptetésének és az eszköz kompatibilitását megakadályozó probléma megoldásának a folyamatán.
Előkészületek
A feltételes hozzáférés használatának megkezdése előtt győződjön meg arról, hogy megfelelők a követelmények:
Exchange Online (a megosztott, több-bérlős környezet használatával) |
Az Exchange Online-hoz való feltételes hozzáférés a következőket futtató eszközöket támogatja:
Windows 8.1 és újabb verziók (ha a beléptetés megtörtént az Intune-nal) Windows 7.0 vagy Windows 8.1 (ha tartományhoz csatlakozik) Windows Phone 8.1 és újabb verziók iOS 7.1-es és újabb verziók Android 4.0-s és újabb verziók, Samsung KNOX szabvány 4.0-s és újabb verziók
Egyéb rendelkezések:
Az eszközöknek egy munkahelyhez kell csatlakozniuk, amely regisztrálja az eszközt az Azure Active Directory eszközregisztrációs szolgáltatásában (AAD DRS).
A tartományhoz csatlakozó számítógépeket automatikusan regisztrálni kell az Azure Active Directoryban csoportos házirenden vagy MSI-n keresztül. A jelen témakör Feltételes hozzáférés a PC-ken című szakasza a számítógép feltételes hozzáférésének engedélyezéséhez szükséges követelményeket ismerteti.
Az AAD DRS szolgáltatás automatikusan aktiválódik az Intune-t és az Office 365-öt használó ügyfelek számára. Azok az ügyfelek, akik már telepítették az ADFS eszközregisztrációs szolgáltatását, nem fogják látni a regisztrált eszközöket a helyszíni Active Directoryban. Olyan Office 365-ös előfizetést kell használnia, amely tartalmazza az Exchange Online-t (például E3), és a felhasználóknak licenccel kell rendelkezniük az Exchange Online-hoz. A választható Exchange Server Connector összekapcsolja a Configuration Managert a Microsoft Exchange Online-nal, és a segítségével a Configuration Manager konzolon keresztül figyelheti az eszközadatokat (lásd: Mobileszközök kezelése a Configuration Manager és az Exchange használatával). Feltételes házirendek vagy feltételes hozzáférési házirendek használatához nincs szükség az összekötő használatára, szükség van rá azonban az olyan jelentések futtatásához, amelyek segítenek a feltételes hozzáférés hatásának vizsgálatában. |
Dedikált Exchange Online |
A dedikált Exchange Online-hoz való feltételes hozzáférés a következőket futtató eszközöket támogatja:
Windows 8 és újabb verziók (az Intune-nal végzett regisztráció esetén) Windows 7.0 vagy Windows 8.1 (ha tartományhoz csatlakozik)
A tartományhoz csatlakozó számítógépekhez csak az új dedikált Exchange Online-környezet bérlői kapnak feltételes hozzáférést. Windows Phone 8 és újabb verziók Bármely olyan iOS-eszköz, amely Exchange ActiveSync (EAS) típusú e-mail ügyfélprogramot használ Android 4 és újabb verziók Az örökölt dedikált Exchange Online-környezetbeli bérlők esetén:
Az Exchange Server Connectort kell használnia, amely összeköti a Configuration Managert a helyi Microsoft Exchange-dzsel. Ez lehetővé teszi a mobileszközök kezelését, és engedélyezi a feltételes hozzáférést (lásd: Mobileszközök kezelése a Configuration Manager és az Exchange használatával). Az új dedikált Exchange Online-környezetbeli bérlők esetén:
Az Exchange Server-összekötő összekapcsolja a Configuration Managert a Microsoft Exchange Online-nal, és a segítségével kezelhetők az eszközadatok (lásd: Mobileszközök kezelése a Configuration Manager és az Exchange használatával). Feltételes házirendek vagy feltételes hozzáférési házirendek használatához nincs szükség az összekötő használatára, szükség van rá azonban az olyan jelentések futtatásához, amelyek segítenek a feltételes hozzáférés hatásának vizsgálatában. |
Helyszíni Exchange |
A helyszíni Exchange-hez való feltételes hozzáférés az alábbi platformokat támogatja:
Windows 8 és újabb verziók (az Intune-nal végzett regisztráció esetén) Windows Phone 8 és újabb verziók Natív e-mail alkalmazás iOS rendszerű eszközökön Natív e-mail alkalmazás Android 4 vagy újabb rendszerű eszközökön Az Android és az iOS rendszerű eszközök nem támogatják a Microsoft Outlook alkalmazást.
Egyéb rendelkezések:
Az Exchange esetében Exchange 2010-es vagy újabb verzió szükséges. Az Exchange-kiszolgáló ügyfél-hozzáférési kiszolgálótömbje (CAS) nem támogatott.
Ha az Exchange-környezet CAS-kiszolgálói konfigurációban található, úgy kell beállítania a helyszíni Exchange-összekötőt, hogy az egyik CAS-kiszolgálóra mutasson. |
Az Exchange Server-összekötőt kell használnia, amely összekapcsolja a Configuration Managert és a helyi Microsoft Exchange-et. Ez lehetővé teszi a mobileszközök felügyeletét, és engedélyezi a feltételes hozzáférést (lásd: Mobileszközök kezelése a Configuration Manager és az Exchange használatával).
Gondoskodjon arról, hogy a helyszíni Exchange összekötőjének a legújabb verzióját használja. A helyszíni Exchange-összekötőt a Configuration Manager konzollal kell telepíteni és konfigurálni. Részletes útmutató: Mobileszközök kezelése a Configuration Manager és az Exchange használatával. Az összekötőt csak a System Center Configuration Manager elsődleges helyén kell telepíteni. Ez az összekötő támogatja a Exchange CAS-környezetet. Az összekötőt a konfigurálásakor úgy kell beállítani, hogy az egyik Exchange CAS-kiszolgálóval kommunikáljon. Az Exchange ActiveSync tanúsítványalapú hitelesítéssel vagy felhasználó által megadott hitelesítő adatokkal konfigurálható. |
SharePoint Online |
A SharePoint Online-hoz való feltételes hozzáférés a következőket futtató eszközöket támogatja:
Windows 8.1 és újabb verziók (ha a beléptetés megtörtént az Intune-nal) Windows 7.0 vagy Windows 8.1 (ha tartományhoz csatlakozik) Windows Phone 8.1 és újabb verziók iOS 7.1-es és újabb verziók Android 4.0-s és újabb verziók, Samsung KNOX szabvány 4.0-s és újabb verziók
Egyéb rendelkezések:
Az eszközöknek egy munkahelyhez kell csatlakozniuk, amely regisztrálja az eszközt az Azure Active Directory eszközregisztrációs szolgáltatásában (AAD DRS).
A tartományhoz csatlakozó számítógépeket automatikusan regisztrálni kell az Azure Active Directoryban csoportos házirenden vagy MSI-n keresztül. A jelen témakör Feltételes hozzáférés a PC-ken című szakasza a számítógép feltételes hozzáférésének engedélyezéséhez szükséges követelményeket ismerteti.
Az AAD DRS szolgáltatás automatikusan aktiválódik az Intune-t és az Office 365-öt használó ügyfelek számára. Azok az ügyfelek, akik már telepítették az ADFS eszközregisztrációs szolgáltatását, nem fogják látni a regisztrált eszközöket a helyszíni Active Directoryban. Szükség van egy SharePoint Online-előfizetésre, a felhasználóknak pedig licenccel kell rendelkezniük a SharePoint Online-hoz. |
Feltételes hozzáférés a PC-ken |
Az asztali Office-alkalmazásokat futtató számítógépekhez beállíthatja az Exchange Online és a SharePoint Online feltételes hozzáférését, ha a számítógépek megfelelnek az alábbi követelményeknek:
A számítógépen Windows 7.0 vagy Windows 8.1 operációs rendszernek kell futnia. A számítógépnek tartományhoz kell csatlakoznia vagy megfelelőnek kell lennie.
A megfelelőség biztosításához a számítógépet regisztrálni kell az Intune-ban, és meg kell felelnie a házirendeknek.
Tartományhoz csatlakozó számítógépek esetén be kell állítani az eszköz automatikus regisztrációját az Azure Active Directoryban. Az Office 365 modern hitelesítésének engedélyezettnek kell lennie, és a számítógépen telepíteni kell az Office legújabb frissítéseit.
A modern hitelesítés Active Directory hitelesítési címtáron (ADAL) alapuló bejelentkezést biztosít az Office 2013 Windows-ügyfelein, és jobb biztonságot kínál, többek között a többtényezős hitelesítéssel és a tanúsítványalapú hitelesítéssel. Állítsa be az ADFS-jogcímszabályokat a nem modern hitelesítési protokollok blokkolására. |
Következő lépések
A következő témakörökből megtudhatja, hogy miként konfigurálhat kompatibilitási házirendeket és feltételes hozzáférési házirendeket az adott helyzetben:
.jpeg "System_CAPS_note")
Megjegyzés.jpeg "Advanced conditional access flow")
.jpeg "System_CAPS_tip"){kind=icon}
Tipp