Delen via


Voorwaardelijke toegang voor SharePoint Online in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Notitie

De informatie in dit onderwerp is van toepassing op System Center 2012 Configuration Manager SP1 of later en System Center 2012 R2 Configuration Manager of later.

Gebruik het beleid van Configuration Manager voor voorwaardelijke toegang tot SharePoint Online om de toegang tot bestanden in OneDrive voor Bedrijven op SharePoint Online te beheren op basis van de opgegeven criteria.

Wanneer een gebruiker in de doelgroep probeert verbinding te maken met een bestand via een ondersteunde app, zoals OneDrive, op zijn of haar apparaat, wordt de volgende evaluatie uitgevoerd:

Conditional Access for SharePoint

Om verbinding te kunnen maken met de vereiste bestanden moet het apparaat waarop OneDrive wordt uitgevoerd:

  • Zijn geregistreerd bij Microsoft Intune of een pc die lid is van een domein.

  • Registreer het apparaat bij Azure Active Directory. Dit gebeurt automatisch wanneer het apparaat wordt geregistreerd bij Intune.

    Voor pc’s die deel uitmaken van een domein, moet u dit instellen op automatisch registreren bij Azure Active Directory.

  • Compatibel zijn met een geïmplementeerd Configuration Manager-nalevingsbeleid

De apparaatstatus wordt opgeslagen in Azure Active Directory, die toegang tot de bestanden verleent of blokkeert op basis van de opgegeven voorwaarden.

Als niet aan een voorwaarde wordt voldaan, krijgt de gebruiker een van de volgende berichten te zien wanneer deze zich aanmeldt:

  • Als het apparaat niet is ingeschreven bij Intune of niet is geregistreerd bij Azure Active Directory, wordt een bericht weergegeven met instructies over het installeren van de bedrijfsportal-app en het inschrijven.

  • Als het apparaat niet aan het beleid voldoet, wordt er een bericht weergegeven waarin de gebruiker naar de Intune-webportal wordt verwezen, waar informatie is te vinden over het probleem en hoe het kan worden opgelost.

  • Voor een pc:

    • Als het beleid zo is ingesteld dat de pc lid moet zijn van een domein en de pc geen lid is van een domein, wordt in een bericht weergegeven dat contact moet worden opgenomen met de IT-beheerder.

    • Als het beleid zo is ingesteld dat de pc lid moet zijn van een domein of aan het beleid moet voldoen en de pc niet aan de vereiste voldoet, wordt er een bericht weergegeven met instructies over het installeren van de bedrijfsportal-app en de registratie.

U kunt de toegang tot SharePoint Online blokkeren vanuit de volgende apps:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android en iOS)

  • Microsoft Word (Android en iOS)

  • Microsoft Excel (Android en iOS)

  • Microsoft PowerPoint (Android en iOS)

  • Microsoft OneNote (Android en iOS)

Stappen voor het configureren van voorwaardelijke toegang tot SharePoint Online

Stap 1: Active Directory-beveiligingsgroepen configureren

Voordat u begint, moet u Azure Active Directory-beveiligingsgroepen configureren voor het beleid voor voorwaardelijke toegang. U kunt deze groepen configureren in het Office 365-beheercentrum of in de Intune-accountportal. Deze groepen bevatten de gebruikers die deel uitmaken van de doelgroep of op wie het beleid juist niet van toepassing is. Wanneer een gebruiker deel uitmaakt van de doelgroep voor het beleid, moet elk apparaat dat hij of zij gebruikt, aan het beleid voldoen om toegang te krijgen tot bronnen.

U kunt twee soorten groepen opgeven in een SharePoint Online-beleid:

  • Doelgroepen: dit zijn groepen gebruikers waarop het beleid van toepassing is

  • Uitgesloten groepen: dit zijn groepen gebruikers waarop het beleid niet van toepassing is (optioneel)

Als een gebruiker zich in beide groepen bevindt, wordt het beleid niet op de gebruiker toegepast.

Stap 2: nalevingsbeleid configureren en implementeren

Zorg ervoor dat u een nalevingsbeleid maakt en implementeert op alle apparaten waarop het SharePoint Online-beleid van toepassing is.

Notitie

Terwijl nalevingsbeleid wordt geïmplementeerd voor Intune-groepen of Configuration Manager-verzamelingen, is beleid voor voorwaardelijke toegang gericht op Azure Active Directory-beveiligingsgroepen.

Zie Nalevingsbeleid in Configuration Manager voor meer informatie over het configureren van het nalevingsbeleid.

System_CAPS_importantBelangrijk

Als u geen nalevingsbeleid hebt geïmplementeerd en daarna het SharePoint Online-beleid inschakelt, krijgen alle apparaten uit de doelgroep toegang.

Wanneer u klaar bent, gaat u door naar stap 3.

Stap 3: het SharePoint Online-beleid configureren

Configureer vervolgens het beleid om ervoor te zorgen dat alleen beheerde apparaten en apparaten die aan het beleid voldoen toegang hebben tot SharePoint Online. Dit beleid wordt opgeslagen in Azure Active Directory.

  1. Klik in de Configuration Manager-console op Activa en naleving.

  2. Selecteer Beleid voor voorwaardelijke toegang inschakelen voor SharePoint Online.

  3. Onder Apps met moderne authenticatie gebruiken kunt u ervoor kiezen de toegang te beperken tot apparaten die voldoen aan het beleid voor elk platform.

    Tip

    Moderne verificatie biedt aanmelding bij Office-clients op basis van Active Directory Authentication Library (ADAL)

    • Dankzij verificatie op basis van ADAL is voor Office-clients verificatie via een browser (ook wel passieve verificatie) mogelijk. De gebruiker wordt hierbij naar een aanmeldingspagina geleid om de verificatie uit te voeren.

    • Deze nieuwe aanmeldingsmethode maakt nieuwe scenario's, zoals voorwaardelijke toegang, mogelijk op basis van apparaatcompatibiliteit en of meervoudige verificatie is uitgevoerd.

    Dit artikel bevat gedetailleerde informatie over de werking van moderne verificatie.

    Voor Windows-pc's moet de pc lid zijn van een domein of zijn ingeschreven bij Intune en voldoen aan het beleid. U kunt de volgende vereisten instellen:

    - **Apparaten moeten lid zijn van een domein of voldoen aan het beleid.** Dit betekent dat de pc's lid moeten zijn van een domein of moeten voldoen aan het beleid dat is ingesteld in Intune. Als de pc niet voldoet niet aan een van deze vereisten, wordt de gebruiker gevraagd het apparaat te registreren bij Intune.
    
    - **Apparaten moeten lid zijn van een domein.** Dit betekent dat de pc's lid moeten zijn van een domein om toegang te krijgen tot Exchange Online. Als de pc geen lid is van een domein, wordt de toegang tot e-mail geblokkeerd en wordt de gebruiker gevraagd contact op te nemen met de IT-beheerder.
    
    - **Apparaten moeten voldoen aan het beleid.** Dit betekent dat de pc's moeten zijn geregistreerd bij Intune en moeten voldoen aan het beleid. Als de pc niet is geregistreerd, wordt een bericht met instructies voor de registratie weergegeven.
    
  4. Op het tabblad Start, in de groep Koppelingen, klikt u op Voorwaardelijk toegangsbeleid configureren in de Intune-console. Mogelijk moet u de gebruikersnaam en het wachtwoord opgeven van het account dat wordt gebruikt om Configuration Manager verbinding te laten maken met Intune.

    De Intune-beheerconsole wordt geopend.

  5. Klik in de Microsoft Intune-beheerconsole op Beleid > Voorwaardelijke toegang > SharePoint Online-beleid.

  6. Selecteer Apps blokkeren zodat deze geen toegang hebben tot SharePoint Online als het apparaat niet aan het nalevingsbeleid voldoet.

  7. Klik onder Doelgroepen op Wijzigen om de Active Directory-beveiligingsgroepen te selecteren waarop het beleid van toepassing moet zijn.

  8. Klik desgewenst onder Uitgesloten groepen op Wijzigen om de Active Directory-beveiligingsgroepen te selecteren waarop dit beleid niet van toepassing is.

  9. Wanneer u klaar bent, klikt u op Opslaan.

U hoeft het beleid voor voorwaardelijke toegang niet te implementeren; het wordt direct van kracht.

Zie Toegang tot SharePoint Online beheren met Microsoft Intune voor informatie over hoe u het beleid vanuit de Intune-console kunt bewaken.