Feltételes hozzáférés Exchange-alapú levelezés esetén a Configuration Managerben
Érvényes: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
Megjegyzés |
---|
Ezek az információk csak a System Center 2012 Configuration Manager SP1 és a System Center 2012 R2 Configuration Manager szoftverekre, illetve azok újabb verzióira vonatkoznak. |
A Configuration Manager feltételes hozzáférését használva kezelheti az Exchange e-mailek elérését a megadott feltételek alapján.
A következők hozzáférését kezelheti:
Helyszíni Microsoft Exchange
Microsoft Exchange Online
Dedikált Exchange Online
Ha feltételes hozzáférést konfigurál, mielőtt a felhasználók az e-mail fiókjukhoz csatlakozhatnának, a használt eszköznek:
Regisztrálva kell lennie az Intune-ban, vagy tartományhoz csatlakozó számítógépnek kell lennie.
Regisztrálja az eszközt az Azure Active Directoryban (ez automatikusan megtörténik az eszköz az Intune-nal való regisztrálásakor) (csak Exchange Online esetén). Emellett az ügyfél Exchange ActiveSync-azonosítóját regisztrálni kell az Azure Active Directoryban (nem érvényes a helyszíni Exchange-hez csatlakozó Windows és Windows Phone rendszerű eszközökre).
Tartományhoz csatlakozó számítógépek esetén be kell állítani az Azure Active Directoryban való automatikus regisztrációt. A Feltételes hozzáférés a Configuration Managerben című témakör számítógépek feltételes hozzáférésével foglalkozó szakaszában megtalálható minden, a számítógépek feltételes hozzáférésének engedélyezésére vonatkozó követelmény.
Meg kell felelnie az eszközön telepített összes Configuration Manager-alapú megfelelőségi szabályzatnak.
Ha a feltételes hozzáférés egy feltétele nem teljesül, a felhasználó számára az alábbi üzenetek egyike jelenik meg a bejelentkezéskor:
Ha az eszköz nincs az Intune-nal regisztrálva, vagy nincs regisztrálva az Azure Active Directoryban, megjelenik egy utasításokat tartalmazó üzenet, amely leírja, hogyan telepítse a Vállalati portál alkalmazást, hogyan regisztrálja az eszközt és (Android- és iOS-eszközök esetén) hogyan aktiválja az e-mail fiókot, amely az eszköz Exchange ActiveSync-azonosítóját az Azure Active Directoryban lévő eszközrekordhoz társítja.
Ha az eszköz nem megfelelő, egy üzenet jelenik meg, amely a felhasználót az Intune webportálra irányítja, ahol további információt talál a problémáról és annak megoldásáról.
Számítógépek esetén:
Ha a feltételes hozzáférési szabályzat tartományhoz való csatlakozást vagy megfelelőséget követel meg az engedélyezéshez, megjelenik egy utasításokat tartalmazó üzenet, amely leírja, hogyan regisztrálja az eszközt. Ha a számítógép egyik követelménynek sem felel meg, a rendszer azt is kérni fogja a felhasználótól, hogy regisztrálja az eszközt az Intune-nal.
Ha a feltételes hozzáférési szabályzat követelménye úgy van beállítva, hogy csak a tartományhoz csatlakozó windowsos eszközöket engedélyezze, az eszköz le lesz tiltva, és megjelenik egy üzenet, amely jelzi, hogy kapcsolatba kell lépni a rendszergazdával.
A következő platformokon blokkolhatja az Exchange e-mail fiókok elérését az eszközök beépített Exchange ActiveSync levelezési ügyfeléről:
Android 4.0-s és újabb verziók, Samsung KNOX szabvány 4.0-s és újabb verziók
iOS 7.1-es és újabb verziók
Windows Phone 8.1 és újabb verziók
A Posta alkalmazás a Windows 8.1-ben és az újabb verziókban
Az iOS és Android rendszerhez készült Outlook alkalmazás és az Outlook 2013 asztali alkalmazás csak az Exchange Online-hoz támogatott.
A helyi Exchange Connector szükséges a Configuration Manager és az Exchange között a feltételes hozzáférés működéséhez.
A helyi Exchange feltételes hozzáférési házirendje a Configuration Manager konzolról állítható be. Az Exchange Online feltételes hozzáférési házirendjének konfigurálásakor a folyamat a Configuration Manager konzolon kezdhető el, amely elindítja az Microsoft Intune konzolt, ahol befejezhető a folyamat.
1. lépés: A feltételes hozzáférési szabályzat hatásának értékelése
Miután konfigurálta a helyi Exchange Connectort, a Configuration Manager a feltételes hozzáférési állapot szerinti eszközlistára vonatkozó jelentést használva azonosíthatja azokat az eszközöket, amelyeknek az Exchange-hez való hozzáférése a feltételes hozzáférési házirend konfigurálását követően le lesz tiltva. A jelentéshez az alábbiak szükségesek:
Előfizetés az Intune-ra
Konfigurálni és telepíteni kell az Intune-összekötőt
A jelentés paramétereiben válassza ki az értékelni kívánt Intune-csoportot és szükség esetén azon eszközplatformokat, amelyekre alkalmazza a házirendet.
További információ a jelentések futtatásáról: Jelentéskészítés a Configuration Manageralkalmazásban.
A jelentés futtatása után vizsgálja meg a következő négy oszlopot annak meghatározásához, hogy a felhasználók le lesznek-e tiltva:
Kezelési csatorna – Jelzi, hogy az eszközt az Intune, az Exchange ActiveSync vagy mindkettő kezeli.
Az AAD-ben regisztrált – Azt jelzi, hogy az eszköz regisztrálva van-e az Azure Active Directoryban (vagyis munkahelyi csatlakoztatással).
Megfelelő – Jelzi, hogy az eszköz megfelel-e a telepített megfelelőségi házirendeknek.
EAS engedélyezve – Az iOS- és Android-eszközök Exchange ActiveSync-azonosítójának társítva kell lennie az Azure Active Directoryban található eszközregisztrációs rekorddal. Ez akkor történik meg, amikor a felhasználó a Levelezés aktiválása hivatkozásra kattint a karanténba helyezett e-mailben.
Megjegyzés Windows Phone-telefonok esetén ebben az oszlopban mindig szerepel érték.
A célcsoporthoz vagy -gyűjteményhez tartozó eszközök Exchange-hozzáférése le lesz tiltva, ha az oszlop értékei nem egyeznek a következő táblázatban lévő értékekkel:
Kezelési csatorna |
Az AAD-ben regisztrált |
Compliant (Megfelelő) |
EAS engedélyezve |
Eredményművelet |
---|---|---|---|---|
A Microsoft Intune és az Exchange ActiveSync kezeli |
Igen |
Igen |
Igen vagy Nem van megjelenítve |
Az e-mail hozzáférés engedélyezett |
Bármely más érték |
Nem |
Nem |
Nem jelenik meg érték |
Az e-mail hozzáférés le van tiltva |
Exportálhatja a jelentés tartalmát, és az E-mail cím oszlop segítségével értesítheti a felhasználókat arról, hogy le lesznek tiltva.
2. lépés: Felhasználói csoportok vagy gyűjtemények konfigurálása a feltételes hozzáférési szabályzathoz
A feltételes hozzáférési szabályzatokkal a szabályzat típusától függően különböző felhasználói csoportokat vagy gyűjteményeket célozhat meg. Ezek a csoportok tartalmazzák a célzott vagy a házirend alól mentesülő felhasználókat. Amikor egy felhasználóra házirend vonatkozik, az általa használt összes eszköznek megfelelőnek kell lennie az e-mailek eléréséhez.
Az Exchange Online házirendhez – az Azure Active Directory biztonsági felhasználói csoportok számára. Ezeket a csoportokat az Office 365 Felügyeleti központban vagy az Intune-fiókportálon konfigurálhatja.
Helyszíni Exchange-szabályzat esetén – Configuration Manager-alapú felhasználói gyűjtemények számára. Ezek az Eszközök és megfelelőség munkaterületen konfigurálhatók.
Minden házirendben két csoporttípust adhat meg:
Megcélzott csoportok – Azok a felhasználói csoportok vagy gyűjtemények, amelyekre a szabályzat érvényes
Kivétel alá eső csoportok – Azon felhasználói csoportok vagy gyűjtemények, amelyek mentesülnek a szabályzat alól (nem kötelező)
Ha egy felhasználó mindkettőben szerepel, mentesül a szabályzat alól.
Csak a feltételes hozzáférési szabályzat által célzott csoportokat vagy gyűjteményeket értékeli ki a rendszer az Exchange-hozzáférés szempontjából.
3. lépés: Megfelelőségi szabályzat konfigurálása és telepítése
Győződjön meg arról, hogy minden olyan eszközön létrehozott és telepített megfelelőségi házirendet, amelyet az Exchange feltételes hozzáférési házirenddel fog megcélozni.
A megfelelőségi szabályzat konfigurálásának részletei: Megfelelőségi házirendek a Configuration Managerben.
Fontos |
---|
Ha nem telepített megfelelőségi házirendet, és engedélyez egy Exchange feltételes hozzáférési házirendet, az összes megcélzott eszköz hozzáférése engedélyezett lesz. |
Ha készen áll, folytassa a 4. lépéssel.
4. lépés: A feltételes hozzáférési szabályzat konfigurálása
Exchange Online (és az új dedikált Exchange Online-környezetbeli bérlők) esetén
Az Exchange Online feltételes hozzáférési házirendjei a következő folyamatot használják annak kiértékeléséhez, hogy engedélyezzék vagy letiltsák-e az eszközöket.
Az e-mailek eléréséhez az eszköznek:
Az Intune-nal regisztrálva kell lennie.
A számítógépeknek egy tartományhoz kell csatlakoznia, vagy regisztrálva kell lennie és meg kell felelnie az Intune-ban beállított szabályzatoknak.
Az eszközt regisztrálni kell az Azure Active Directoryban (ez automatikusan megtörténik az eszköz az Intune-nal való regisztrálásakor).
Tartományhoz csatlakozó számítógépek esetén be kell állítani az eszköz automatikus regisztrációját az Azure Active Directoryban.
Aktivált e-mail fiókkal kell rendelkeznie, amely az eszköz Exchange ActiveSync-azonosítóját az Azure Active Directoryban található eszközrekordhoz társítja (csak iOS- és Android-eszközökre érvényes).
Meg kell felelnie az összes telepített megfelelőségi szabályzatnak.
Az eszköz állapotát a rendszer az Azure Active Directoryban tárolja, amely engedélyezi vagy letiltja az e-mailek elérését az értékelt feltételek alapján.
Ha egy feltétel nem teljesül, a felhasználó számára az alábbi üzenetek egyike jelenik meg a bejelentkezéskor:
Ha az eszköz nincs regisztrálva, vagy nincs az Azure Active Directoryban regisztrálva, megjelenik egy utasításokat tartalmazó üzenet, amely leírja, hogyan telepítse a Vállalati portál alkalmazást és regisztrálja az eszközt
Ha az eszköz nem megfelelő, egy üzenet jelenik meg, amely a felhasználót az Intune webportálra irányítja, ahol további információt talál a problémáról és annak megoldásáról.
Számítógépek esetén:
Ha a házirend úgy van beállítva, hogy megkövetelje a tartományhoz való csatlakozást, és a számítógép nem csatlakozik tartományhoz, megjelenik egy üzenet, amely jelzi, hogy kapcsolatba kell lépni a rendszergazdával.
Ha a szabályzat úgy van beállítva, hogy tartományhoz való csatlakozást vagy megfelelőséget követeljen meg, és a számítógép egyik követelménynek sem felel meg, egy utasításokat tartalmazó üzenet jelenik meg, amely leírja, hogyan telepítse a Vállalati portál alkalmazást és hogyan regisztrálja az eszközt.
Megjelenik az üzenet az eszközön az Exchange Online-felhasználók és az új dedikált Exchange Online-környezetbeli bérlők számára, és a helyszíni Exchange és az örökölt dedikált Exchange Online eszközök felhasználói e-mailben kapják meg.
Megjegyzés |
---|
A Configuration Manager feltételes hozzáférési szabályai felülírják, engedélyezik, letiltják, illetve karanténba helyezik az Exchange Online felügyeleti konzolján meghatározott szabályokat. |
Megjegyzés |
---|
A feltételes hozzáférési szabályzatot az Intune-konzolon kell konfigurálni. Ehhez először a Configuration Manageren keresztül kell elérnie az Intune-konzolt. Ha a rendszer kéri, jelentkezzen be a Configuration Manager és az Intune közötti összekötő telepítése során használt hitelesítő adatokkal. |
Az Exchange Online-házirend engedélyezése
-
Kattintson a Configuration Manager konzolon az Eszközök és megfelelőség elemre.
-
Bontsa ki a Megfelelőségi beállítások, majd a Feltételes hozzáférés csomópontot, és kattintson az Exchange Online elemre.
-
A Kezdőlap lap Hivatkozások csoportjában kattintson a Feltételes hozzáférési házirend konfigurálása az Intune-konzolon hivatkozásra. Előfordulhat, hogy meg kell adnia annak a fióknak a felhasználónevét és jelszavát, amellyel az Intune valamelyik globális rendszergazdáját összekapcsolta a Configuration Managerrel.
Ekkor megnyílik az Intune felügyeleti konzolja.
-
A Microsoft Intune felügyeleti konzolon kattintson a Házirend > Feltételes hozzáférés > Exchange Online-házirend. lehetőségre.
-
Az Exchange Online-szabályzat lapon válassza a Feltételes hozzáférési házirend engedélyezése Exchange Online-hoz lehetőséget. Ha bejelöli ezt a beállítást, az eszköznek kompatibilisnek kell lennie. Ha a beállítás nincs bejelölve, a feltételes hozzáférés nem lesz alkalmazva.
Megjegyzés Ha nem telepített megfelelőségi házirendet, és engedélyezi az Exchange Online-házirendet, a rendszer az összes megcélzott eszközt megfelelőként jelenti.
A megfelelőségi állapottól függetlenül a házirend által megcélzott összes felhasználónak be kell léptetnie az eszközét az Intune-nal.
-
A Modern hitelesítést használó alkalmazások lehetőségnél minden platform esetén dönthet úgy, hogy kizárólag a megfelelő eszközökre korlátozza a hozzáférést. A Windows-eszközöknek vagy tartományhoz kell csatlakozniuk, vagy regisztrálva kell lenniük az Intune-ban.
Tipp A modern hitelesítéssel Active Directory Authentication Library-alapú (ADAL-alapú) bejelentkezés biztosítható az Office-ügyfelekhez.
Az ADAL-alapú hitelesítéssel az Office-ügyfelek végezhetnek böngészőalapú hitelesítést (más néven passzív hitelesítést). A hitelesítéshez a felhasználó egy bejelentkezési weblapra van átirányítva.
Az új bejelentkezési móddal olyan új forgatókönyvek használhatók, mint például a feltételes hozzáférés eszközmegfelelőség alapján, és az alapján, hogy többtényezős hitelesítést hajtottak-e végre.
Ebben a cikkben olvashatók további információk a modern hitelesítés működéséről.
Ha az Exchange Online-t a Configuration Managerrel és az Intune-nal együtt használja, nemcsak mobileszközök, hanem asztali számítógépek feltételes hozzáférését is kezelheti. A számítógépeknek egy tartományhoz kell csatlakoznia, vagy regisztrálva kell lennie az Intune-ban. A következő követelményeket állíthatja be:
- **Az eszközöknek tartományhoz kell csatlakozniuk vagy meg kell felelniük a házirendnek.** A számítógépeknek tartományhoz kell csatlakozniuk, vagy meg kell felelniük az Intune-ban beállított szabályzatoknak. Ha a számítógép egyik követelménynek sem felel meg, a rendszer kérni fogja a felhasználótól, hogy regisztrálja az eszközt az Intune-ban. - **Az eszközöknek tartományhoz kell csatlakozniuk.** A számítógépeknek tartományhoz kell csatlakozniuk az Exchange Online-hoz való hozzáféréshez. Ha a számítógép nem csatlakozik tartományhoz, a rendszer blokkolja a levelezéshez való hozzáférést, és kéri a felhasználót, hogy lépjen kapcsolatba a rendszergazdával. - **Az eszközöknek meg kell felelniük a házirendnek.** A számítógépeknek regisztrálva kell lenniük az Intune-ban, és meg kell felelniük a szabályzatnak. Ha a számítógép nincs regisztrálva, megjelenik egy, a regisztráció lépéseit bemutató üzenet.
-
Az Exchange ActiveSync-levelezőalkalmazások szakaszban blokkolhatja a levelezőalkalmazások hozzáférését az Exchange Online-hoz, ha az eszköz nem megfelelő, illetve megadhatja, hogy engedélyezi vagy letiltja a levelezéshez való hozzáférést, ha az Intune nem tudja kezelni az eszközt.
-
A Megcélzott csoportok területen válassza ki azon felhasználók Active Directory biztonsági csoportjait, akikre érvényes a házirend.
Megjegyzés A Megcélzott csoportokban lévő felhasználók esetében az Intune-házirendek leváltják az Exchange-szabályokat és -házirendeket.
Az Exchange csak a következő esetekben érvényesíti az engedélyezési, blokkolási és karanténba helyezési Exchange-szabályokat és az Exchange-házirendeket:
A felhasználó nem rendelkezik Intune-licenccel.
A felhasználó rendelkezik Intune-licenccel, de egy, a feltételes hozzáférési házirendben megcélzott biztonsági csoportnak sem tagja.
-
A Kivétel alá eső csoportok területen válassza ki azon felhasználók Active Directory biztonsági csoportjait, akikre nem érvényes a házirend. Ha egy felhasználó a megcélzott és a mentesített csoportban is szerepel, mentes a szabályzat alól, és hozzáfér a levelezéséhez.
-
Amikor végzett, kattintson a Mentés gombra.
Nem kell telepítenie a feltételes hozzáférési szabályzatot, az azonnal érvénybe lép.
Miután egy felhasználó e-mail fiókot hoz létre, azonnal letiltja az eszközt.
Ha egy letiltott felhasználó regisztrálja az eszközt az Intune-ban (vagy javítja a nem megfelelőséget), a rendszer 2 percen belül feloldja az e-mail elérést.
Ha a felhasználó megszünteti az eszköz regisztrációját, körülbelül 6 óra múlva letiltja a rendszer a levelezést.
A helyszíni Exchange (és az örökölt dedikált Exchange Online-környezetbeli bérlők) esetén
A helyszíni Exchange és az örökölt dedikált Exchange Online-környezetbeli bérlők feltételes hozzáférési házirendjei a következő folyamatot használják annak kiértékeléséhez, hogy engedélyezzék vagy letiltsák az eszközöket.
A helyszíni Exchange-házirend engedélyezése
-
Kattintson a Configuration Manager konzolon az Eszközök és megfelelőség elemre.
-
Bontsa ki a Megfelelőségi beállítások, majd a Feltételes hozzáférés csomópontot, és kattintson az Helyi Exchange elemre.
-
A Kezdőlap lap Helyi Exchange csoportjában kattintson a Feltételes hozzáférési házirend konfigurálása elemre.
-
A Feltételes hozzáférési házirend konfigurálása varázslóÁltalános lapján adja meg az Intune-bérlő tartománynevét. Ez az Intune-összekötő beállításához használt bérlői azonosító utótagjával egyezik meg. Ha például az admin@corpemail.contoso.com bérlőazonosítót használta, a varázslóban ezen a lapon beírandó tartománynév corpemail.contoso.com.
Kattintson a Tovább gombra.
-
A Célgyűjtemények lapon vegyen fel legalább egy felhasználói gyűjteményt. Az Exchange eléréséhez a gyűjteményekbe tartozó felhasználóknak regisztrálniuk kell az eszközeiket az Intune-ban, és meg kell felelniük minden megfelelőségi szabályzatnak, amelyet telepített.
Kattintson a Tovább gombra.
-
A Kivételezett gyűjtemények lapon bármilyen felhasználói gyűjteményt felvehet, amelyet mentesíteni kíván a házirend alól. Az ebben a csoportokban lévő felhasználóknak nem kell regisztrálniuk eszközeiket az Intune-nal, és nem kell megfelelniük semmilyen telepített megfelelőségi szabályzatnak az Exchange eléréséhez.
Ha egy felhasználó a megcélzott és a mentesített listában is szerepel, mentesül a feltételes hozzáférési házirend alól.
Kattintson a Tovább gombra.
-
A Felhasználói értesítés szerkesztése lapon konfigurálhatja az e-maileket, amelyeket az Intune a felhasználóknak küld az eszköz letiltásának feloldására vonatkozó utasításokkal (az Exchange által küldött e-mailek mellett).
Szerkesztheti az alapértelmezett üzenetet, és HTML-címkékkel formázhatja a szöveg megjelenését. Az alkalmazottakat előzetesen is értesítheti e-mailben a jövőbeli változásokról, és útmutatást adhat nekik az eszközük regisztrációjával kapcsolatban.
Megjegyzés Mivel a javítással kapcsolatos utasításokat tartalmazó Intune értesítő e-mail a felhasználó Exchange-postaládájába kerül, ha a felhasználó eszköze le van tiltva az e-mail üzenet megérkezése előtt, egy le nem tiltott eszközzel vagy más módon érhetik el az Exchange-fiókot és tekinthetik meg az üzenetet.
Megjegyzés Konfigurálnia kell az értesítő e-mail elküldéséhez használt fiókot, hogy az Exchange elküldhesse az értesítő e-mailt. Ezt az Exchange Server Connector konfigurálásakor végezheti el.
További részletek: Mobileszközök kezelése a Configuration Manager és az Exchange használatával.
Kattintson a Tovább gombra.
-
Az Összefoglalás lapon ellenőrizze a beállításokat, majd hajtsa végre a varázsló lépéseit.
Nem kell telepítenie a feltételes hozzáférési házirendet, azonnal érvénybe lép.
Miután a felhasználó beállítja az Exchange ActiveSync-profilt, az eszköz letiltása 1–3 órát vehet igénybe (ha azt nem az Intune kezeli).
Ha egy letiltott felhasználó ezután regisztrálja az eszközt az Intune-ban (vagy javítja a nem megfelelőséget), a rendszer 2 percen belül feloldja az e-mailek elérését.
Ha a felhasználó megszünteti az eszköz regisztrációját az Intune-ban, az eszköz letiltása 1–3 óráig tarthat.