Udostępnij za pośrednictwem

  • Artykuł

Konfigurowanie warunkowe dostępu do usługi SharePoint Online w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Uwaga

Informacje w tym temacie dotyczą programu System Center 2012 Configuration Manager SP1 lub nowszego oraz programu System Center 2012 R2 Configuration Manager lub nowszego.

Do zarządzania dostępem do plików usługi OneDrive dla Firm znajdujących się w usłudze SharePoint w trybie online na podstawie określonych przez Ciebie warunków służą zasady warunkowego dostępu do usługi Online programu SharePoint programu Menedżer konfiguracji.

Jeśli wybrany użytkownik próbuje połączyć się z plikiem za pomocą obsługiwanej aplikacji, takiej jak usługa OneDrive, na swoim urządzeniu, sprawdzane są następujące kwestie:

Conditional Access for SharePoint

Aby nawiązać połączenie z wymaganymi plikami, urządzenie z uruchomioną usługą OneDrive musi:

  • zostać zarejestrowane w usłudze Microsoft Intune lub na komputerze przyłączonym do domeny;

  • zostać zarejestrowane w usłudze Azure Active Directory (dzieje się to automatycznie podczas rejestrowania urządzenia w usłudze Intune);

    W przypadku komputerów przyłączonych do domeny należy skonfigurować urządzenie do automatycznego rejestrowania w usłudze Azure Active Directory.

  • być zgodne z wdrożonymi zasadami zgodności usługi Menedżer konfiguracji.

Stan urządzenia jest przechowywany w usłudze Azure Active Directory, która na podstawie wybranych warunków blokuje dostęp do plików lub go przydziela.

Jeśli warunek nie jest spełniony, użytkownik zobaczy podczas logowania jeden z następujących komunikatów:

  • Jeśli urządzenie nie zostało zarejestrowane w usłudze Intune lub Azure Active Directory, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalowania aplikacji portalu firmy i rejestrowania.

  • Jeśli urządzenie nie jest zgodne, zostanie wyświetlony komunikat kierujący użytkownika do portalu usługi Intune w sieci Web, gdzie można znaleźć informacje o problemie i sposobie jego rozwiązania.

  • W przypadku komputera:

    • Jeśli zasady zostały ustawione tak, aby przyłączenie do domeny było wymagane, a komputer nie został przyłączony do domeny, zostanie wyświetlony komunikat o konieczności skontaktowania się z administratorem IT.

    • Jeśli zasady zostały ustawione tak, aby wymagane było przyłączenie do domeny lub zgodność, komputer nie spełnia żadnego z tych wymagań. W takiej sytuacji zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalowania aplikacji portalu firmy i rejestrowania.

Dostęp do usługi SharePoint Online można blokować za pomocą następujących aplikacji:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android i iOS)

  • Microsoft Word (Android i iOS)

  • Microsoft Excel (Android i iOS)

  • Microsoft PowerPoint (Android i iOS)

  • Microsoft OneNote (Android i iOS)

Kroki konfigurowania warunkowego dostępu do usługi SharePoint Online

Krok 1. Konfigurowanie grup zabezpieczeń usługi Active Directory

Przed rozpoczęciem skonfiguruj grupy zabezpieczeń usługi Azure Active Directory dla zasad dostępu warunkowego. Możesz skonfigurować te grupy w centrum administracyjnym usługi Office 365 lub w portalu konta usługi Intune. Grupy te zawierają użytkowników, którzy będą objęci zasadami lub wykluczeni z nich. Jeśli zasady obejmują użytkownika, każde używane przez niego urządzenie musi być zgodne, aby mógł uzyskać dostęp do zasobów.

Możesz określić dwa typy grup dla zasad usługi SharePoint Online:

  • Grupy docelowe — grupy użytkowników, do których zasady będą stosowane

  • Wykluczone grupy — grupy użytkowników, które są wykluczone z zasad (opcjonalnie)

Jeśli użytkownik należy do obu grup, będzie wykluczony z zasad.

Krok 2. Konfigurowanie i wdrażanie zasad zgodności

Upewnij się, że utworzono zasady zgodności i wdrożono je na wszystkich urządzeniach, które będą objęte zasadami dostępu usługi SharePoint Online.

Uwaga

Jeśli zasady zgodności są wdrażane w grupach usługi Intune lub kolekcjach programu Menedżer konfiguracji, zasady dostępu warunkowego są stosowane dla grup zabezpieczeń usługi Azure Active Directory.

Aby uzyskać szczegółowe informacje o sposobie konfigurowania zasad zgodności, zobacz Zasady zgodności w programie Configuration Manager.

System_CAPS_importantWażne

Jeśli zasady zgodności nie zostaną wdrożone i włączysz zasady dostępu do usługi SharePoint Online, wszystkie objęte nimi urządzenia będą mieć dostęp.

Gdy wszystko będzie gotowe, przejdź do kroku 3.

Krok 3. Konfigurowanie zasad usługi SharePoint Online

Skonfiguruj zasady wymagające, aby tylko urządzenia zarządzane i zgodne miały dostęp do usługi SharePoint Online. Te zasady będą przechowywane w usłudze Azure Active Directory.

  1. W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność.

  2. Wybierz pozycję Włącz zasady dostępu warunkowego dla usługi SharePoint Online..

  3. W obszarze aplikacji korzystających z nowoczesnego uwierzytelniania możesz ograniczyć dostęp tylko do zgodnych urządzeń dla każdej z platform.

    System_CAPS_tipPorada

    Nowoczesne uwierzytelnianie umożliwia klientom pakietu Office logowanie się przy użyciu biblioteki uwierzytelniania usługi Active Directory (ADAL).

    • Uwierzytelnianie oparte na bibliotece ADAL umożliwia klientom pakietu Office korzystanie z uwierzytelniania za pomocą przeglądarki (nazywanego też uwierzytelnianiem pasywnym). W celu uwierzytelnienia użytkownik jest kierowany do strony logowania.

    • Ta nowa metoda logowania umożliwia obsługę nowych scenariuszy, takich jak dostęp warunkowy, na podstawie zgodności urządzeń oraz tego, czy przeprowadzono uwierzytelnianie wieloskładnikowe.

    W tym artykule przedstawiono bardziej szczegółowe informacje dotyczące sposobu działania nowoczesnego uwierzytelniania.

    Komputery z systemem Windows muszą zostać przyłączone do domeny lub zarejestrowane w usłudze Intune i być zgodne. Można ustawić następujące wymagania:

    - **Urządzenia muszą zostać przyłączone do domeny lub być zgodne.** Oznacza to, że komputery muszą zostać przyłączone do domeny lub być zgodne z zasadami ustawionymi w usłudze Intune. Jeśli komputer nie spełnia żadnego z tych wymagań, użytkownik otrzyma monit o zarejestrowanie urządzenia w usłudze Intune.

- **Urządzenia muszą zostać przyłączone do domeny.** Oznacza to, że komputery muszą zostać przyłączone do domeny, aby mogły uzyskiwać dostęp do usługi Exchange Online. Jeśli komputer nie został przyłączony do domeny, dostęp do poczty e-mail będzie zablokowany, a użytkownik zostanie poproszony o skontaktowanie się z administratorem IT.

- **Urządzenia muszą być zgodne.** Oznacza to, że komputery muszą zostać zarejestrowane w usłudze Intune i być zgodne. Jeśli komputer nie został zarejestrowany, zostanie wyświetlony komunikat z instrukcjami dotyczącymi rejestrowania.

  4. Na karcie Narzędzia główne w grupie Linki kliknij pozycję Konfiguruj zasady dostępu warunkowego w konsoli usługi Intune. Może być konieczne podanie nazwy użytkownika i hasła konta używanego do łączenia programu Menedżer konfiguracji z usługą Intune.

    Zostanie otwarta konsola administracyjna usługi Intune.

  5. W konsoli administracyjnej usługi Microsoft Intune kliknij kolejno pozycje Zasady > Dostęp warunkowy > Zasady usługi SharePoint Online.

  6. Wybierz polecenie Blokuj dostęp aplikacji do usługi SharePoint Online, jeśli urządzenie jest niezgodne.

  7. W obszarze Grupy docelowe kliknij pozycję Modyfikuj, aby wybrać grupy zabezpieczeń usługi Azure Active Directory, do których zasady zostaną zastosowane.

  8. W obszarze Wykluczone grupy możesz kliknąć pozycję Modyfikuj, jeśli chcesz, aby zasady nie były stosowane dla wskazanych grup zabezpieczeń usługi Azure Active Directory.

  9. Gdy wszystko będzie gotowe, kliknij pozycję Zapisz.

Nie musisz wdrażać zasad dostępu warunkowego; są one aktywne natychmiast.

Zobacz Zarządzanie dostępem do usługi SharePoint Online w usłudze Microsoft Intune, aby uzyskać informacje na temat sposobu monitorowania zasad z konsoli usługi Intune.