Delen via


Voorwaardelijke toegang voor Exchange-e-mail in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Notitie

De informatie in dit onderwerp is van toepassing op System Center 2012 Configuration Manager SP1 of later en System Center 2012 R2 Configuration Manager of later.

Gebruik het Configuration Manager-beleid voor voorwaardelijke toegang om de toegang tot Exchange-e-mail te beheren op basis van de opgegeven criteria.

U kunt de toegang beheren tot:

  • Microsoft Exchange On-premises

  • Microsoft Exchange Online

  • Exchange Online-specifiek

Als u voorwaardelijke toegang configureert voordat gebruikers verbinding kunnen maken met hun e-mail, moet het apparaat dat ze gebruiken:

  • Zijn ingeschreven bij Intune of een pc die lid is van een domein.

  • Registreer het apparaat bij Azure Active Directory. Dit gebeurt automatisch wanneer het apparaat wordt geregistreerd bij Intune (alleen voor Exchange Online). Bovendien moet de client-id van Exchange ActiveSync worden geregistreerd bij Azure Active Directory (niet van toepassing op Windows- en Windows Phone-apparaten die verbinding maken met Exchange On-Premises).

    Een pc die lid is van een domein moet zo zijn ingesteld dat deze automatisch wordt geregistreerd bij Azure Active Directory. In de sectie Voorwaardelijke toegang voor pc's van het onderwerp Voorwaardelijke toegang in Configuration Manager wordt de volledige lijst met vereisten gegeven voor het inschakelen van voorwaardelijke toegang voor pc's.

  • Compatibel zijn met alle soorten Configuration Manager-nalevingsbeleid dat op dat apparaat wordt geïmplementeerd

Als niet aan een voorwaarde voor voorwaardelijke toegang wordt voldaan, krijgt de gebruiker een van de volgende berichten te zien wanneer de gebruiker zich aanmeldt.

  • Als het apparaat is niet ingeschreven bij Intune, of als het niet is geregistreerd in Azure Active Directory, wordt een bericht weergegeven met instructies over het installeren van de bedrijfsportal-app, het inschrijven van het apparaat en (voor Android- en iOS-apparaten) het activeren van het e-mailadres waarmee de Exchange ActiveSync-id van het apparaat wordt gekoppeld aan de apparaatrecord in Azure Active Directory.

  • Als het apparaat niet compatibel is, wordt er een bericht weergegeven waarin de gebruiker naar de Intune-webportal wordt verwezen; daar is informatie te vinden over het probleem en hoe het kan worden opgelost.

Voor pc's:

  • Als de vereiste van het beleid voor voorwaardelijke toegang is om domein toegevoegd of compatibel toe te staan, wordt een bericht met instructies voor het registreren van het apparaat weergegeven. Als de pc niet voldoet aan een van deze vereisten, wordt de gebruiker gevraagd het apparaat te registreren bij Intune.

  • Als de vereiste van het beleid voor voorwaardelijke toegang is ingesteld om alleen Windows-apparaten toe te staan die aan een domein zijn toegevoegd, wordt het apparaat geblokkeerd en wordt er een bericht weergegeven dat de gebruiker contact moet opnemen met de IT-beheerder.

U kunt op de volgende platformen toegang tot Exchange blokkeren via de op het apparaat ingebouwde Exchange ActiveSync-e-mailclient:

  • Android 4.0 of hoger, Samsung Knox Standard 4.0 of hoger

  • iOS 7.1 en hoger

  • Windows Phone 8.1 en hoger

  • De e-mailtoepassing in Windows 8.1 en hoger

Outlook-app voor iOS en Android, en Outlook-bureaublad 2013 wordt alleen ondersteund voor Exchange Online.

Voor de werking van voorwaardelijke toegang is de On-premises Exchange Connector tussen Configuration Manager en Exchange vereist.

U kunt het voorwaardelijke toegangsbeleid voor Exchange On-Premises configureren vanaf de Configuration Manager-console. Wanneer u een voorwaardelijk toegangsbeleid configureert voor Exchange Online, kunt u met het proces beginnen in de Configuration Manager-console. Vervolgens wordt de Microsoft Intune-console gestart, waar u het proces kunt voltooien.

Stap 1: het effect van het beleid voor voorwaardelijke toegang beoordelen

Wanneer u de On-premises Exchange Connector hebt geconfigureerd, kunt u het rapport Configuration Manager Lijst met apparaten op voorwaardelijke toegangsstatus gebruiken om apparaten te identificeren waarvoor de toegang tot Exchange wordt geblokkeerd nadat u het beleid voor voorwaardelijke toegang hebt geconfigureerd. Voor dit rapport is tevens het volgende vereist:

  • Een abonnement op Intune

  • De Intune-connector moet worden geconfigureerd en geïmplementeerd

Selecteer in de rapportparameters de Intune-groep die u wilt evalueren en, indien nodig, de apparaatplatforms waarop het beleid van toepassing zal zijn.

Zie Rapportage in Configuration Manager voor meer informatie over het uitvoeren van rapporten.

Nadat u het rapport hebt uitgevoerd, controleert u deze vier kolommen om te bepalen of een gebruiker wordt geblokkeerd:

  • Beheerkanaal – geeft aan of het apparaat wordt beheerd door Intune, Exchange ActiveSync of beide.

  • Geregistreerd bij AAD: geeft aan of het apparaat is geregistreerd bij de Azure Active Directory (ook wel 'toegevoegd aan werkplek' genoemd).

  • Compatibel – geeft aan of het apparaat voldoet aan alle nalevingsbeleidsregels die u hebt geïmplementeerd.

  • EAS geactiveerd: op iOS- en Android-apparaten moet de Exchange ActiveSync-id aan de apparaatregistratierecord in Azure Active Directory zijn gekoppeld. Dit gebeurt wanneer de gebruiker in de quarantaine-e-mail op de koppeling E-mail activeren klikt.

    Notitie

    Op Windows Phone-apparaten wordt altijd een waarde weergegeven in deze kolom.

Apparaten die deel uitmaken van een doelgroep of doelverzameling, krijgen geen toegang tot Exchange, tenzij de kolomwaarden overeenkomen met de waarden die in de volgende tabel worden weergegeven:

Beheerkanaal

Geregistreerd bij AAD

Compliant

EAS geactiveerd

Resulterende actie

Beheerd door Microsoft Intune en Exchange ActiveSync

Ja

Ja

Ja of Nee wordt weergegeven

Toegang tot e-mail toegestaan

Een andere waarde

Nee

Nee

Er wordt geen waarde weergegeven

Toegang tot e-mail geblokkeerd

U kunt de inhoud van het rapport exporteren en de kolom E-mailadres gebruiken om gebruikers ervan op de hoogte te stellen dat toegang voor hen wordt geblokkeerd.

Stap 2: gebruikersgroepen of -verzamelingen configureren voor het beleid voor voorwaardelijke toegang

U richt de beleidsregels voor voorwaardelijke toegang op verschillende gebruikersgroepen of -verzamelingen, afhankelijk van de soorten beleid. Deze groepen bevatten de gebruikers die deel uitmaken van de doelgroep, of op wie het beleid juist niet van toepassing is. Wanneer een gebruiker deel uitmaakt van de doelgroep voor het beleid, moet elk apparaat dat wordt gebruikt, compatibel zijn om toegang te kunnen krijgen tot e-mail.

  • Voor het Exchange Online-beleid – gericht op Azure Active Directory-beveiligingsgebruikersgroepen. U kunt deze groepen configureren in het Office 365-beheercentrum of in de Intune-accountportal.

  • Voor het Exchange On-Premises-beleid: gericht op Configuration Manager-gebruikersverzamelingen. U kunt deze configureren in de werkruimte Activa en naleving.

U kunt twee soorten groepen opgeven in elk beleid:

  • Doelgroepen: gebruikersgroepen of -verzamelingen waarop het beleid wordt toegepast

  • Uitgesloten groepen: gebruikersgroepen of -verzamelingen waarop het beleid niet van toepassing is (optioneel)

Als een gebruiker zich in beide groepen bevindt, wordt het beleid niet op de gebruiker toegepast.

Alleen de doelgroepen of -verzamelingen van het beleid voor voorwaardelijke toegang worden beoordeeld voor toegang tot Exchange.

Stap 3: nalevingsbeleid configureren en implementeren

Zorg ervoor dat u een nalevingsbeleid hebt gemaakt en geïmplementeerd op alle apparaten waar het Exchange-beleid voor voorwaardelijke toegang op van toepassing is.

Zie Nalevingsbeleid in Configuration Manager voor meer informatie over het configureren van het nalevingsbeleid.

System_CAPS_importantBelangrijk

Als u geen nalevingsbeleid hebt geïmplementeerd en daarna een Exchange-beleid voorwaardelijke toegang inschakelt, krijgen alle apparaten uit de doelgroep toegang.

Wanneer u klaar bent, gaat u door naar Stap 4.

Stap 4: het beleid voor voorwaardelijke toegang configureren

Voor Exchange Online (en tenants in de nieuwe Exchange Online-specifieke omgeving)

De volgende stroom wordt gebruikt door het beleid voor voorwaardelijke toegang van Exchange Online om te beoordelen of apparaten toegang moeten krijgen of moeten worden geblokkeerd.

Flow for Exchange Online Conditional Access

Voor toegang tot e-mail moet het apparaat:

  • Geregistreerd zijn bij Intune

  • Pc's moeten lid zijn van een domein of moeten zijn geregistreerd en voldoen aan het beleid dat is ingesteld in Intune.

  • Registreer het apparaat bij Azure Active Directory. Dit gebeurt automatisch wanneer het apparaat wordt geregistreerd bij Intune.

    Een pc die lid is van een domein moet zo zijn ingesteld dat deze automatisch wordt geregistreerd bij Azure Active Directory.

  • Beschikken over een geregistreerd e-mailadres waarmee de Exchange ActiveSync-id wordt gekoppeld aan de apparaatrecord in de Azure Active Directory (alleen van toepassing op iOS- en Android-apparaten).

  • Voldoen aan een geïmplementeerd nalevingsbeleid

De apparaatstatus wordt opgeslagen in Azure Active Directory, die toegang tot e-mail verleent of blokkeert op basis van de geëvalueerde voorwaarden.

Als niet aan een voorwaarde wordt voldaan, krijgt de gebruiker een van de volgende berichten te zien wanneer deze zich aanmeldt:

  • Als het apparaat niet is ingeschreven, of is geregistreerd bij Azure Active Directory, wordt een bericht weergegeven met instructies over het installeren van de bedrijfsportal-app en het inschrijven

  • Als het apparaat niet compatibel is, wordt er een bericht weergegeven waarin de gebruiker naar de Intune-webportal wordt verwezen; daar is informatie te vinden over het probleem en hoe het kan worden opgelost.

  • Voor een pc:

    • Als het beleid zo is ingesteld dat de pc lid moet zijn van een domein en de pc geen lid is van een domein, wordt in een bericht weergegeven dat contact moet worden opgenomen met de IT-beheerder.

    • Als het beleid zo is ingesteld dat de pc lid moet zijn van een domein of aan het beleid moet voldoen en de pc niet aan de vereiste voldoet, wordt er een bericht weergegeven met instructies over het installeren van de bedrijfsportal-app en de registratie.

Het bericht wordt op het apparaat weergegeven aan Exchange Online-gebruikers en tenants in de nieuwe Exchange Online-specifiek omgeving en gebruikers van Exchange On-Premises en oudere Exchange Online-specifieke apparaten ontvangen het bericht in hun Postvak IN.

Notitie

De regels voor voorwaardelijke toegang van Configuration Manager kunnen regels die zijn gedefinieerd in de Exchange Online-beheerconsole overschrijven, toestaan, blokkeren en in quarantaine plaatsen.

Notitie

Het beleid voor voorwaardelijke toegang moet worden geconfigureerd in de Intune-console. De volgende stappen beginnen met het openen van de Intune-console via Configuration Manager. Als hierom wordt gevraagd, meldt u zich aan met dezelfde referenties die werden gebruikt voor het instellen van de connector tussen Configuration Manager en Intune.

Het Exchange Online-beleid inschakelen

  1. Klik in de Configuration Manager-console op Activa en naleving.

  2. Vouw Compatibiliteitsinstellingen uit, vouw Voorwaardelijke toegang uit en klik vervolgens op Exchange Online.

  3. Op het tabblad Start, in de groep Koppelingen, klikt u op Voorwaardelijk toegangsbeleid configureren in de Intune-console. Mogelijk moet u de gebruikersnaam en het wachtwoord opgeven van het account dat wordt gebruikt om Configuration Manager te verbinden met een algemene beheerder voor de Intune-service.

    De Intune-beheerconsole wordt geopend.

  4. In de Microsoft Intune-beheerconsole klikt u op Beleid > Voorwaardelijke toegang > Exchange Online-beleid.

    HybridOnlineSetupInIntune

  5. Selecteer op de pagina Exchange Online-beleid de optie Enable conditional access policy for Exchange Online (Beleid voor voorwaardelijke toegang inschakelen voor Exchange Online). Als u dit selectievakje inschakelt, moet het apparaat compatibel zijn. Als dit niet is ingeschakeld, wordt voorwaardelijke toegang niet toegepast.

    Notitie

    Als u geen nalevingsbeleid hebt geïmplementeerd en daarna het Exchange Online-beleid inschakelt, worden alle apparaten gerapporteerd als zijnde compatibel.

    Ongeacht de nalevingsstatus, moeten alle gebruikers die zich in de doelgroep van het apparaat bevinden hun apparaten inschrijven bij Intune.

  6. Onder Apps met moderne authenticatie gebruiken kunt u ervoor kiezen de toegang te beperken tot apparaten die voldoen aan het beleid voor elk platform. Windows-apparaten moeten lid zijn van een domein of moeten zijn ingeschreven bij en voldoen aan het beleid van Intune.

    Tip

    Moderne verificatie biedt aanmelding bij Office-clients op basis van Active Directory Authentication Library (ADAL)

    • Dankzij verificatie op basis van ADAL is voor Office-clients verificatie via een browser (ook wel passieve verificatie) mogelijk. De gebruiker wordt hierbij naar een aanmeldingspagina geleid om de verificatie uit te voeren.

    • Deze nieuwe aanmeldingsmethode maakt nieuwe scenario's, zoals voorwaardelijke toegang, mogelijk op basis van apparaatcompatibiliteit en of meervoudige verificatie is uitgevoerd.

    Dit artikel bevat gedetailleerde informatie over de werking van moderne verificatie.

    Als u Exchange Online met Configuration Manager en Intune gebruikt, kunt u niet alleen mobiele apparaten met voorwaardelijke toegang beheren, maar ook desktopcomputers. Pc's moeten lid zijn van een domein of moeten zijn geregistreerd en voldoen aan het beleid. U kunt de volgende vereisten instellen:

    - **Apparaten moeten lid zijn van een domein of voldoen aan het beleid.** Pc's moeten lid zijn van een domein of voldoen aan het beleid dat is ingesteld in Intune. Als een pc niet aan een van deze vereisten voldoet, wordt de gebruiker gevraagd het apparaat in te schrijven bij Intune.
    
    - **Apparaten moeten lid zijn van een domein.** Pc's moeten lid zijn van een domein om toegang te krijgen tot Exchange Online. Als een pc geen lid is van een domein, wordt de toegang tot e-mail geblokkeerd en wordt de gebruiker gevraagd contact op te nemen met de IT-beheerder.
    
    - **Apparaten moeten voldoen aan het beleid.** Pc's moeten zijn ingeschreven bij Intune en moeten aan het beleid voldoen. Als een pc niet is ingeschreven, wordt een bericht met instructies voor de inschrijving weergegeven.
    
  7. Onder Exchange ActiveSync-e-mailapps kunt u voorkomen dat e-mail via Exchange Online wordt geopend als het apparaat niet-compatibel is en kunt u selecteren of u de toegang tot e-mail wilt toestaan of blokkeren als Microsoft Intune het apparaat niet kan beheren.

  8. Onder Doelgroepen selecteert u de Active Directory-beveiligingsgebruikersgroepen waarop het beleid van toepassing moet zijn.

    Notitie

    Voor gebruikers in Doelgroepen wordt het Intune-beleid vervangen door Exchange-regels en -beleid.

    In Exchange worden alleen in de volgende gevallen regels voor toestaan, blokkeren en in quarantaine plaatsen die zijn gedefinieerd in Exchange en Exchange-beleid afgedwongen:

    • De gebruiker heeft geen licentie voor Intune.

    • De gebruiker heeft een licentie voor Intune, maar de gebruiker behoort niet tot een beveiligingsgroep die is gedefinieerd in het beleid voor voorwaardelijke toegang.

  9. Onder Uitgesloten groepen selecteert u de Active Directory-beveiligingsgebruikersgroepen waarop dit beleid niet van toepassing is. Als een gebruiker zich in beide groepen bevindt, wordt het beleid niet op de gebruiker toegepast en heeft de gebruiker toegang tot zijn e-mail.

  10. Klik op Opslaan als u klaar bent.

  • U hoeft het beleid voor voorwaardelijke toegang niet te implementeren; het wordt direct van kracht.

  • Wanneer een gebruiker een e-mailaccount maakt, wordt het apparaat onmiddellijk geblokkeerd.

  • Als een geblokkeerde gebruiker het apparaat inschrijft bij Intune (of de compatibiliteit herstelt), krijgt deze binnen twee minuten toegang tot e-mail.

  • Als de gebruiker het apparaat uitschrijft, wordt de toegang tot e-mail na circa 6 uur geblokkeerd.

Voor Exchange On-Premises (en tenants in de oude Exchange Online-specifieke omgeving)

De volgende stroom wordt gebruikt door het beleid voor voorwaardelijke toegang van Exchange On-Premises en tenants in de oude Exchange Online-specifieke omgeving om te beoordelen of apparaten toegang moeten krijgen of moeten worden geblokkeerd.

Conditional Access flow for Exchange On-Premises

Het beleid van Exchange On-Premises inschakelen

  1. Klik in de Configuration Manager-console op Activa en naleving.

  2. Vouw Instellingen voor naleving uit, vouw Voorwaardelijke toegang uit en klik vervolgens op On-Premises Exchange.

  3. Op het tabblad Start, in de groep On-Premises Exchange, klikt u op Voorwaardelijk toegangsbeleid configureren.

  4. Op de pagina Algemeen van de Wizard Beleid voor voorwaardelijke toegang configureren geeft u de Intune-domeinnaam van de tenant op. Dit is het achtervoegsel van de tenant-ID die u hebt gebruikt voor het instellen van de Intune-connector. Als de tenant-ID die u hebt gebruikt bijvoorbeeld admin@corpemail.contoso.com is, is de domeinnaam die u op deze pagina van de wizard invoert corpemail.contoso.com.

    HybridCondAccessWiz1

    Klik op Volgende.

  5. Op de pagina Doelverzamelingen voegt u één of meerdere gebruikersverzamelingen toe. Om toegang te krijgen tot Exchange, moeten gebruikers in deze verzamelingen hun apparaten inschrijven bij Intune en moeten ze voldoen aan eventuele beleidsregels voor nalevingsbeleid die u hebt geïmplementeerd.

    HybridCondAccessWiz2

    Klik op Volgende.

  6. Op de pagina Vrijgestelde verzamelingen voegt u de gebruikersverzamelingen toe die u wilt vrijstellen van het voorwaardelijke toegangsbeleid. Gebruikers in deze groepen hoeven hun apparaten niet te registreren bij Intune en hoeven niet te voldoen aan geïmplementeerde beleidsregels voor naleving om toegang te krijgen tot Exchange.

    HybridCondAccessWiz3

    Als een gebruiker zich in beide lijsten bevindt, wordt het beleid niet op de gebruiker toegepast.

    Klik op Volgende.

  7. Op de pagina Gebruikersmelding bewerken configureert u het e-mailbericht met instructies voor het opheffen van de blokkering van het apparaat dat door Intune naar gebruikers wordt verzonden (naast het e-mailbericht dat wordt verzonden door Exchange).

    U kunt het standaardbericht bewerken en HTML-codes gebruiken om de opmaak van de tekst te wijzigen. U kunt ook van tevoren een e-mailbericht naar uw werknemers verzenden met een melding van de komende wijzigingen en met instructies voor het inschrijven van hun apparaten.

    HybridCondAccessWiz4

    Notitie

    Omdat de Intune-meldings-e-mail die herstelinstructies bevat, wordt bezorgd in het Exchange-postvak van de gebruiker, kan de gebruiker ook een niet-geblokkeerd apparaat of een andere methode gebruiken om Exchange te openen en het bericht weer te geven, mocht het apparaat van de gebruiker worden geblokkeerd voordat deze het e-mailbericht heeft ontvangen.

    Notitie

    Als u ervoor wilt zorgen dat Exchange de e-mailmelding kan verzenden, moet u het account dat wordt gebruikt om de e-mailmelding te verzenden, configureren. U doet dit wanneer u de eigenschappen van de Exchange Server-connector configureert.

    Zie Mobiele apparaten beheren met Configuration Manager en Exchange voor meer informatie.

    Klik op Volgende.

  8. Controleer uw instellingen op de pagina Overzicht en voltooi daarna de wizard.

  • U hoeft het beleid voor voorwaardelijke toegang niet te implementeren; het wordt direct van kracht.

  • Wanneer een gebruiker een Exchange ActiveSync-profiel heeft ingesteld, kan het 1-3 uur duren tot het apparaat is geblokkeerd (als het niet wordt beheerd door Intune).

  • Als een geblokkeerde gebruiker vervolgens het apparaat inschrijft bij Intune (of de compatibiliteit herstelt), krijgt deze binnen twee minuten toegang tot e-mail.

  • Als de gebruiker de inschrijving van het apparaat verwijdert uit Intune, wordt de toegang tot e-mail na 1-3 uur geblokkeerd.