Dotyczy: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Uwaga
Informacje w tym temacie dotyczą programów System Center 2012 Configuration Manager SP2 i System Center 2012 R2 Configuration Manager SP1.
Jeśli używasz rozszerzenia dostępu warunkowego usługi Microsoft Intune: funkcjonalność tego rozszerzenia jest teraz zawarta w produkcie podstawowym, a rozszerzenie nie jest już wyświetlane w węźle Rozszerzenia usługi Microsoft Intune w konsoli programu Menedżer konfiguracji.
Jednak w przypadku programu System Center 2012 R2 Configuration Manager SP1 następujące nowe funkcje są od 2 listopada udostępniane przez rozszerzenie dostępu warunkowego. Rozszerzenie to będzie wyświetlane w węźle Rozszerzenia usługi Microsoft Intune w konsoli programu Menedżer konfiguracji.
Funkcja dostępu warunkowego w programie Menedżer konfiguracji ułatwia zabezpieczanie poczty e-mail i innych usług na urządzeniach zarejestrowanych w usłudze Microsoft Intune w zależności od określonych kryteriów.
Typowy przepływ dla dostępu warunkowego może wyglądać następująco:
Dostęp warunkowy umożliwia zarządzanie dostępem do następujących usług:
Lokalny program Microsoft Exchange
Microsoft Exchange Online
Usługa Exchange Online w wersji dedykowanej
SharePoint Online
Dostęp do programu Exchange Online i lokalnego programu Exchange można kontrolować z wbudowanego klienta poczty e-mail na poniższych platformach:
System Android 4.0 lub nowszy, system Samsung Knox Standard 4.0 lub nowszy
System iOS 7.1 lub nowszy
System Windows Phone 8.1 lub nowszy
Aplikacja do obsługi poczty w systemie Windows 8.1 lub nowszym
Dostęp do programu SharePoint Online można kontrolować z poniższych aplikacji dla wymienionych platform:
Microsoft Office Mobile (Android)
Microsoft OneDrive (Android i iOS)
Microsoft Word (iOS)
Microsoft Excel (iOS)
Microsoft PowerPoint (iOS)
Microsoft OneNote (iOS)
Aplikacje komputerowe pakietu Office mogą uzyskiwać dostęp do usług Exchange Online i SharePoint Online na komputerach z:
Uwaga
Komputery powinny zostać przyłączone do domeny lub być zgodne z zasadami ustawionymi w usłudze Intune.
Aby zaimplementować dostęp warunkowy, należy skonfigurować dwa typy zasad w usłudze Menedżer konfiguracji:
Zasady zgodności są opcjonalnymi zasadami, które można wdrożyć dla kolekcji użytkowników, aby oceniać ustawienia, takie jak:
Kod dostępu
Szyfrowanie
Określanie, czy urządzenie ma złamane zabezpieczenia lub odblokowany dostęp
Określanie, czy poczta e-mail na urządzeniu jest zarządzana przez zasady programu Menedżer konfiguracji, czy usługi Intune
Jeśli na urządzeniu nie wdrożono żadnych zasad zgodności, to wszystkie zasady dostępu warunkowego, które mają zastosowanie, będą traktować to urządzenie jako zgodne.
Zasady dostępu warunkowego są konfigurowane pod kątem określonej usługi i definiują reguły określające na przykład docelowe lub zwolnione grupy użytkowników zabezpieczeń usługi Azure Active Directory albo kolekcje użytkowników programu Menedżer konfiguracji.
Do konfigurowania zasad dostępu warunkowego do lokalnego programu Exchange służy konsola programu Menedżer konfiguracji. Gdy zaczniesz jednak konfigurować zasady dotyczące usługi Exchange Online lub SharePoint Online, spowoduje to otwarcie przeznaczonej do tego konsoli administracyjnej usługi Microsoft Intune.
W odróżnieniu od innych zasad usługi Intune lub programu Menedżer konfiguracji, zasady dostępu warunkowego nie są wdrażane przez użytkownika. Zamiast tego użytkownik konfiguruje je jednorazowo, a następnie stosuje do wszystkich użytkowników docelowych.
Gdy urządzenia nie spełniają skonfigurowanych warunków, użytkownik jest przeprowadzany przez procedurę rejestracji urządzenia i rozwiązywania problemu, w związku z którym urządzenie nie może być zgodne.
Przed rozpoczęciem
Przed rozpoczęciem korzystania z dostępu warunkowego upewnij się, że zostały spełnione odpowiednie wymagania:
Usługa Exchange Online (korzystająca ze współużytkowanego środowiska z wieloma dzierżawami) |
Dostęp warunkowy do usługi Exchange Online obsługuje urządzenia, na których są uruchomione:
System Windows 8.1 lub nowszy (jeśli jest zarejestrowany w usłudze Intune) System Windows 7.0 lub Windows 8.1 (jeśli jest częścią domeny) System Windows Phone 8.1 lub nowszy System iOS 7.1 lub nowszy System Android 4.0 lub nowszy, system Samsung Knox Standard 4.0 lub nowszy
Dodatkowo:
Urządzenia muszą być dołączone do obszaru roboczego, co spowoduje rejestrację urządzenia w usłudze rejestracji urządzeń usługi Azure Active Directory (AAD DRS).
Komputery przyłączone do domeny muszą być automatycznie rejestrowane w usłudze Azure Active Directory za pomocą funkcji MSI lub zasad grupy. W części Dostęp warunkowy dla komputerów tego tematu opisano wszystkie wymagania dotyczące włączania dostępu warunkowego na komputerze.
Usługa AAD DRS zostanie automatycznie uaktywniona dla klientów usług Intune i Office 365. Klienci, którzy już wdrożyli usługę rejestrowania urządzeń usług AD FS, nie będą widzieć zarejestrowanych urządzeń w lokalnej usłudze Active Directory. Należy użyć subskrypcji usługi Office 365 obejmującej usługę Exchange Online (na przykład E3), a użytkownicy muszą mieć licencję programu Exchange Online. Łącznik serwera Exchange jest opcjonalny. Łączy on program Menedżer konfiguracji z usługą Microsoft Exchange Online i pomaga w monitorowaniu informacji o urządzeniach przy użyciu konsoli programu Menedżer konfiguracji (zobacz Jak zarządzać urządzeniami przenośnymi przy użyciu programów Configuration Manager i Exchange). Łącznik nie musi być używany do stosowania zasad zgodności lub dostępu warunkowego, ale jest wymagany do uruchamiania raportów umożliwiających ocenę wpływu dostępu warunkowego. |
Usługa Exchange Online w wersji dedykowanej |
Dostęp warunkowy do usługi Exchange Online w wersji dedykowanej obsługuje urządzenia, na których są uruchomione:
System Windows 8 lub nowszy (jeśli jest zarejestrowane w usłudze Intune) System Windows 7.0 lub Windows 8.1 (jeśli jest częścią domeny)
Dostęp warunkowy do komputerów przyłączonych do domeny tylko do dzierżawców w nowym dedykowanym środowisku usługi Exchange Online. System Windows Phone 8 lub nowszy Dowolne urządzenie z systemem iOS, które używa klienta poczty e-mail programu Exchange ActiveSync (EAS) System Android 4 lub nowszy W przypadku dzierżawców korzystających ze starszej wersji środowiska usługi Exchange Online w wersji dedykowanej:
Musisz użyć łącznika serwera Exchange, który łączy program Menedżer konfiguracji z lokalnym programem Microsoft Exchange. Pozwala to zarządzać urządzeniami przenośnymi i powoduje włączenie dostępu warunkowego (zobacz Jak zarządzać urządzeniami przenośnymi przy użyciu programów Configuration Manager i Exchange). W przypadku dzierżawców korzystających z nowej wersji środowiska usługi Exchange Online w wersji dedykowanej:
Opcjonalny łącznik serwera Exchange łączy program Menedżer konfiguracji z usługą Microsoft Exchange Online i pomaga w zarządzaniu informacjami o urządzeniach (patrz Jak zarządzać urządzeniami przenośnymi przy użyciu programów Configuration Manager i Exchange). Łącznik nie musi być używany do stosowania zasad zgodności lub dostępu warunkowego, ale jest wymagany do uruchamiania raportów umożliwiających ocenę wpływu dostępu warunkowego. |
Lokalna instalacja programu Exchange |
Dostęp warunkowy do lokalnego programu Exchange obsługuje:
System Windows 8 lub nowszy (jeśli jest zarejestrowane w usłudze Intune) System Windows Phone 8 lub nowszy Natywna aplikacja poczty e-mail w systemie iOS Natywna aplikacja poczty e-mail w systemie Android 4 lub nowszym Aplikacja Microsoft Outlook w systemach Android i iOS nie jest obsługiwana.
Dodatkowo:
Wymagany jest program Exchange 2010 lub nowszy. Macierz serwerów dostępu klienta (CAS) serwera programu Exchange jest obsługiwana.
Jeśli środowisko programu Exchange znajduje się w konfiguracji serwera CAS, musisz skonfigurować łącznik lokalnego programu Exchange w taki sposób, aby wskazywał jeden z serwerów CAS. |
Musisz użyć łącznika serwera Exchange, który łączy program Menedżer konfiguracji z lokalnym programem Microsoft Exchange. Pozwala to zarządzać urządzeniami przenośnymi i umożliwia dostęp warunkowy (zobacz Jak zarządzać urządzeniami przenośnymi przy użyciu programów Configuration Manager i Exchange).
Upewnij się, że używasz najnowszej wersji łącznika lokalnego programu Exchange. Łącznik lokalnego programu Exchange powinien zostać zainstalowany i skonfigurowany za pośrednictwem konsoli programu Configuration Manager. Aby uzyskać szczegółowe wskazówki, zobacz Jak zarządzać urządzeniami przenośnymi za pomocą programu Configuration Manager i Exchange. Łącznik należy zainstalować wyłącznie w lokacji głównej programu System Center Configuration Manager. Ten łącznik obsługuje środowisko serwera CAS programu Exchange. Podczas konfigurowania łącznika należy ustawić go tak, aby komunikował się z jednym z serwerów CAS programu Exchange. Program Exchange ActiveSync można skonfigurować przy użyciu uwierzytelniania opartego na certyfikatach lub wpisu poświadczeń użytkownika. |
SharePoint Online |
Dostęp warunkowy do usługi SharePoint Online obsługuje urządzenia, na których uruchomiono:
System Windows 8.1 lub nowszy (jeśli jest zarejestrowany w usłudze Intune) System Windows 7.0 lub Windows 8.1 (jeśli jest częścią domeny) System Windows Phone 8.1 lub nowszy System iOS 7.1 lub nowszy System Android 4.0 lub nowszy, system Samsung Knox Standard 4.0 lub nowszy
Dodatkowo:
Urządzenia muszą być dołączone do obszaru roboczego, co spowoduje rejestrację urządzenia w usłudze rejestracji urządzeń usługi Azure Active Directory (AAD DRS).
Komputery przyłączone do domeny muszą być automatycznie rejestrowane w usłudze Azure Active Directory za pomocą funkcji MSI lub zasad grupy. W części Dostęp warunkowy dla komputerów tego tematu opisano wszystkie wymagania dotyczące włączania dostępu warunkowego na komputerze.
Usługa AAD DRS zostanie automatycznie uaktywniona dla klientów usług Intune i Office 365. Klienci, którzy już wdrożyli usługę rejestrowania urządzeń usług AD FS, nie będą widzieć zarejestrowanych urządzeń w lokalnej usłudze Active Directory. Wymagana jest subskrypcja usługi SharePoint Online, a użytkownicy muszą mieć licencję programu SharePoint Online. |
Dostęp warunkowy dla komputerów |
Dostęp warunkowy można skonfigurować dla komputerów z aplikacjami klasycznymi pakietu Office, aby uzyskiwać dostęp do usług Exchange Online i SharePoint Online na komputerach spełniających następujące wymagania:
Na komputerze musi działać system Windows 7.0 lub Windows 8.1. Komputer musi zostać przyłączony do domeny lub być zgodny.
W celu zapewnienia zgodności komputer należy musi zostać zarejestrowany w usłudze Intune i być zgodny z zasadami.
W przypadku komputerów przyłączonych do domeny musisz skonfigurować automatyczne rejestrowanie urządzenia w usłudze Azure Active Directory. Należy włączyć nowoczesne uwierzytelnianie usługi Office 365 i zainstalować wszystkie najnowsze aktualizacje pakietu Office.
Nowoczesne uwierzytelniane umożliwia logowanie do klientów systemu Windows z pakietem Office 2013 oparte na bibliotece uwierzytelniania w usłudze Active Directory (ADAL), a także udostępnia lepsze zabezpieczenia, takie jak uwierzytelnianie wieloskładnikowe i uwierzytelnianie oparte na certyfikatach. Aby zablokować nienowoczesne protokoły uwierzytelniania, należy skonfigurować reguły oświadczeń ADFS. |
Następne kroki
Przeczytaj następujące tematy, aby dowiedzieć się, jak skonfigurować zasady zgodności i zasady dostępu warunkowego dla wymaganego scenariusza:
.jpeg "Advanced conditional access flow")
.jpeg "System_CAPS_tip")
Porada