Dostęp warunkowy do poczty e-mail programu Exchange w programie Configuration Manager

 

Dotyczy: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Uwaga

Informacje w tym temacie dotyczą programu System Center 2012 Configuration Manager SP1 lub nowszego oraz programu System Center 2012 R2 Configuration Manager lub nowszego.

Dostęp warunkowy programu Menedżer konfiguracji umożliwia zarządzanie dostępem do poczty e-mail programu Exchange przy użyciu określonych warunków.

Możesz zarządzać dostępem do następujących programów i usług:

• Lokalny program Microsoft Exchange

• Microsoft Exchange Online

• Usługa Exchange Online w wersji dedykowanej

Jeśli skonfigurujesz dostęp warunkowy, to aby użytkownik mógł połączyć się ze swoją pocztą e-mail, jego urządzenie musi:

• zostać zarejestrowane w usłudze Intune lub na komputerze przyłączonym do domeny;

• zostać zarejestrowane w usłudze Azure Active Directory (dzieje się to automatycznie podczas rejestrowania urządzenia w usłudze Intune) — tylko w przypadku usługi Exchange Online); ponadto identyfikator klienta programu Exchange ActiveSync musi być zarejestrowany w usłudze Azure Active Directory (nie dotyczy to urządzeń z systemem Windows i Windows Phone łączących się z lokalnym programem Exchange);

  W przypadku komputera przyłączonego do domeny należy skonfigurować urządzenie do automatycznego rejestrowania w usłudze Azure Active Directory. W sekcji Dostęp warunkowy dla komputerów w temacie Dostęp warunkowy w programie Configuration Manager przedstawiono wszystkie wymagania dotyczące włączania dostępu warunkowego dla komputerów.

• być zgodne ze wszystkimi zasadami zgodności programu Menedżer konfiguracji wdrożonymi na tym urządzeniu.

Jeśli warunki dostępu warunkowego nie zostaną spełnione, użytkownik zobaczy podczas logowania jeden z następujących komunikatów:

• Jeśli urządzenie nie jest zarejestrowane w usłudze Intune lub nie jest zarejestrowane w usłudze Azure Active Directory, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalowania aplikacji portalu firmy, rejestrowania urządzenia i (w przypadku urządzeń z systemami Android i iOS) aktywowania poczty e-mail, co umożliwia skojarzenie identyfikatora programu Exchange ActiveSync urządzenia z rekordem urządzenia w usłudze Azure Active Directory.

• Jeśli urządzenie nie jest zgodne, zostanie wyświetlony komunikat kierujący użytkownika do portalu internetowego usługi Intune, gdzie można znaleźć informacje o problemie i sposobie jego rozwiązania.

W przypadku komputerów:

• Jeśli zasady dostępu warunkowego wymagają zezwolenia na użycie komputerów przyłączonych do domeny lub zgodnych, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu rejestrowania urządzenia. Jeśli komputer nie spełnia żadnego z tych wymagań, użytkownik zostanie poproszony o zarejestrowanie urządzenia w usłudze Intune.

• Jeśli zasady dostępu warunkowego zostały ustawione tak, aby zezwalać tylko na użycie urządzeń z systemem Windows przyłączonych do domeny, urządzenie zostanie zablokowane oraz pojawi się komunikat o konieczności skontaktowania się z administratorem IT.

Możesz zablokować dostęp do poczty e-mail programu Exchange z poziomu klienta poczty e-mail programu Exchange ActiveSync dostarczonego z urządzeniem na następujących platformach:

• System Android 4.0 lub nowszy, system Samsung Knox Standard 4.0 lub nowszy

• System iOS 7.1 lub nowszy

• System Windows Phone 8.1 lub nowszy

• Aplikacja Poczta w systemie Windows 8.1 lub nowszym

Aplikacja Outlook dla systemów iOS i Android oraz aplikacja klasyczna Outlook 2013 są obsługiwane tylko w usłudze Exchange Online.

Do działania dostępu warunkowego wymagany jest łącznik lokalnego programu Exchange między programami Menedżer konfiguracji i Exchange.

Do konfigurowania zasad dostępu warunkowego dla lokalnego programu Exchange służy konsola programu Menedżer konfiguracji. Gdy konfigurujesz zasady dostępu warunkowego do usługi Exchange Online, możesz rozpocząć ten proces w konsoli programu Menedżer konfiguracji, co spowoduje uruchomienie konsoli usługi Microsoft Intune umożliwiającej ukończenie tego procesu.

Krok 1. Ocena wpływu zasad dostępu warunkowego

Gdy skonfigurujesz łącznik lokalnego programu Exchange, możesz skorzystać z raportu Lista urządzeń uporządkowana według stanu dostępu warunkowego programu Menedżer konfiguracji, aby zidentyfikować urządzenia, które będą miały zablokowany dostęp do programu Exchange po skonfigurowaniu zasad dostępu warunkowego. Ten raport wymaga również:

• posiadania subskrypcji usługi Intune,

• skonfigurowania i wdrożenia łącznika usługi Intune.

W parametrach raportu wybierz grupę usługi Intune, która ma zostać oceniona, i, w razie potrzeby, platformy urządzeń, których mają dotyczyć zasady.

Więcej informacji o sposobie uruchamiania raportów znajduje się w temacie Raportowanie w programie Configuration Manager.

Po uruchomieniu raportu sprawdź następujące cztery kolumny w celu określenia, czy użytkownik będzie zablokowany:

• Kanał zarządzania — wskazuje, czy urządzenie jest zarządzane przez usługę Intune, program Exchange ActiveSync, czy jednocześnie przez usługę i przez program.

• Zarejestrowane w usłudze AAD — wskazuje, czy urządzenie jest zarejestrowane w usłudze Azure Active Directory (tzn. dołączone do miejsca pracy).

• Zgodne — wskazuje, czy urządzenie jest zgodne ze wszystkimi wdrożonymi zasadami zgodności.

• Aktywowano program EAS — urządzenia z systemami iOS i Android muszą mieć identyfikator programu Exchange ActiveSync skojarzony z rekordem rejestracji urządzenia w usłudze Azure Active Directory. Kojarzenie jest wykonywane, kiedy użytkownik kliknie link Uaktywnij pocztę e-mail w wiadomości e-mail z kwarantanny.

  Uwaga

  Urządzenia z systemem Windows Phone zawsze wyświetlają wartość w tej kolumnie.

Urządzenia, które należą do grupy lub kolekcji docelowej, nie będą mieć dostępu do programu Exchange, jeśli wartości w kolumnach nie są zgodne z wartościami w poniższej tabeli:

Kanał zarządzania	Zarejestrowane w usłudze AAD	Zgodny	Aktywowano program EAS	Wynikowa akcja
Zarządzane przez usługę Microsoft Intune i program Exchange ActiveSync	Tak	Tak	Wyświetlana jest wartość Tak lub Nie	Dozwolony dostęp do poczty e-mail
Dowolna inna wartość	Nie	Nie	Żadna wartość nie jest wyświetlana	Zablokowany dostęp do poczty e-mail

Możesz wyeksportować zawartość raportu i użyć kolumny Adres e-mail, aby zawiadomić użytkowników o tym, że będą blokowani.

Krok 2. Konfigurowanie grup lub kolekcji użytkowników pod kątem zasad dostępu warunkowego

Zasady dostępu warunkowego są przeznaczone dla różnych grup lub kolekcji użytkowników w zależności od typów zasad. Grupy te zawierają użytkowników, którzy będą objęci zasadami lub wykluczeni z nich. Jeśli zasady obejmują użytkownika, każde używane przez niego urządzenie musi być zgodne, aby mógł uzyskać dostęp do poczty e-mail.

• W przypadku zasad usługi Exchange Online — są stosowane grupy użytkowników zabezpieczeń usługi Azure Active Directory. Możesz skonfigurować te grupy w centrum administracyjnym usługi Office 365 lub w portalu konta usługi Intune.

• W przypadku zasad lokalnego programu Exchange — są stosowane kolekcje użytkowników programu Menedżer konfiguracji. Możesz je konfigurować w obszarze roboczym Zasoby i zgodność.

Możesz określić dwa typy grup dla każdej zasady:

• Grupy docelowe — grupy lub kolekcje użytkowników, do których są stosowane zasady

• Wykluczone grupy — grupy lub kolekcje użytkowników wykluczone z zasad (opcjonalnie)

Jeśli użytkownik należy do obu grup, zostanie wykluczony z zasad.

Tylko grupy i kolekcje objęte zasadami dostępu warunkowego są oceniane pod kątem dostępu do programu Exchange.

Krok 3. Konfigurowanie i wdrażanie zasad zgodności

Upewnij się, że utworzono zasady zgodności i wdrożono je na wszystkich urządzeniach, które będą objęte zasadami dostępu warunkowego do programu Exchange.

Aby uzyskać szczegółowe informacje na temat konfigurowania zasad zgodności, zobacz Zasady zgodności w programie Configuration Manager.

Ważne
Jeśli zasady zgodności nie zostaną wdrożone i włączysz zasady dostępu warunkowego do programu Exchange, wszystkie objęte nimi urządzenia będą miały dostęp.

Gdy wszystko będzie gotowe, przejdź do kroku 4.

Krok 4. Konfigurowanie zasad dostępu warunkowego

Usługa Exchange Online (i dzierżawy w nowym środowisku usługi Exchange Online w wersji dedykowanej)

Następujący przepływ jest używany przez zasady dostępu warunkowego dla usługi Exchange Online na potrzeby oceniania, czy urządzenia mają mieć do niej dostęp.

Aby uzyskać dostęp do poczty e-mail, urządzenie musi:

• być zarejestrowane w usłudze Intune;

• Komputery muszą zostać przyłączone do domeny lub zostać zarejestrowane i być zgodne z zasadami ustawionymi w usłudze Intune.

• zostać zarejestrowane w usłudze Azure Active Directory (dzieje się to automatycznie podczas rejestrowania urządzenia w usłudze Intune);

  W przypadku komputerów przyłączonych do domeny należy skonfigurować automatyczne rejestrowanie urządzenia w usłudze Azure Active Directory.

• mieć aktywną pocztę e-mail, co powoduje skojarzenie identyfikatora programu Exchange ActiveSync urządzenia z rekordem urządzenia w usłudze Azure Active Directory (dotyczy tylko urządzeń z systemami iOS i Android);

• być zgodne z wdrożonymi zasadami zgodności.

Stan urządzenia jest przechowywany w usłudze Azure Active Directory, która blokuje dostęp do poczty e-mail lub go przydziela na podstawie ocenionych warunków.

Jeśli warunek nie jest spełniony, użytkownik zobaczy podczas logowania jeden z następujących komunikatów:

• Jeśli urządzenie nie jest zarejestrowane w usłudze Azure Active Directory, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalowania aplikacji portalu firmy i rejestrowania.

• Jeśli urządzenie nie jest zgodne, zostanie wyświetlony komunikat kierujący użytkownika do portalu internetowego usługi Intune, gdzie można znaleźć informacje o problemie i sposobie jego rozwiązania.

• W przypadku komputera:

  • Jeśli zasady zostały ustawione tak, aby przyłączenie do domeny było wymagane, a komputer nie został przyłączony do domeny, zostanie wyświetlony komunikat o konieczności skontaktowania się z administratorem IT.

  • Jeśli zasady zostały ustawione tak, aby wymagane było przyłączenie do domeny lub zgodność, komputer nie spełnia żadnego z tych wymagań. W takiej sytuacji zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalowania aplikacji portalu firmy i rejestrowania.

Komunikat jest wyświetlany na urządzeniu w przypadku użytkowników usługi Exchange Online i dzierżaw w nowym środowisku usługi Exchange Online w wersji dedykowanej. Jest także dostarczany do skrzynki odbiorczej poczty e-mail w przypadku lokalnego programu Exchange i starszych urządzeń usługi Exchange Online w wersji dedykowanej.

Uwaga

Zasady dostępu warunkowego programu Menedżer konfiguracji powodują przesłanianie i blokowanie reguł, a także zezwalanie na nie i umieszczanie ich w kwarantannie w przypadku reguł zdefiniowanych w konsoli administracyjnej usługi Exchange Online.

Uwaga

Zasady dostępu warunkowego muszą zostać skonfigurowane w konsoli usługi Intune. Aby rozpocząć wykonywanie poniższych czynności, uzyskaj dostęp do konsoli usługi Intune za pośrednictwem programu Configuration Manager. W przypadku wyświetlenia monitu zaloguj się za pomocą poświadczeń użytych w celu skonfigurowania łącznika programu Configuration Manager i usługi Intune.

Włączanie zasad usługi Exchange Online

1. W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność.

2. Rozwiń węzeł Ustawienia zgodności, rozwiń węzeł Dostęp warunkowy, a następnie kliknij pozycję Exchange Online.

3. Na karcie Narzędzia główne w grupie Linki kliknij pozycję Konfiguruj zasady dostępu warunkowego w konsoli usługi Intune. Może być konieczne podanie nazwy użytkownika i hasła konta używanego do łączenia programu Menedżer konfiguracji z administratorami globalnymi usługi Intune.

   Zostanie otwarta konsola administracyjna usługi Intune.

4. W konsoli administracyjnej usługi Microsoft Intune kliknij pozycję Zasady > Dostęp warunkowy > Zasady usługi Exchange Online.

   

5. Na stronie Zasady usługi Exchange Online zaznacz opcję Włącz zasady dostępu warunkowego dla usługi Exchange Online. Jeśli wybierzesz tę opcję, urządzenie musi być zgodne. Jeśli nie wybierzesz tej opcji, dostęp warunkowy nie będzie mieć zastosowania.

   Uwaga

   Jeśli zasady zgodności nie zostaną wdrożone i włączysz zasady usługi Exchange Online, wszystkie objęte nimi urządzenia będą raportowane jako zgodne.

   Bez względu na stan zgodności wszyscy użytkownicy, którzy są objęci zasadami, będą musieli zarejestrować używane urządzenia w usłudze Intune.

6. W obszarze aplikacji korzystających z nowoczesnego uwierzytelniania możesz ograniczyć dostęp tylko do urządzeń zgodnych z poszczególnymi platformami. Urządzenia z systemem Windows muszą zostać przyłączone do domeny lub zostać zarejestrowane w usłudze Intune i być zgodne.

   Porada

   Nowoczesne uwierzytelnianie umożliwia klientom pakietu Office logowanie się przy użyciu biblioteki uwierzytelniania usługi Active Directory (ADAL). Uwierzytelnianie oparte na bibliotece ADAL umożliwia klientom pakietu Office korzystanie z uwierzytelniania za pomocą przeglądarki (nazywanego też uwierzytelnianiem pasywnym). W celu uwierzytelnienia użytkownik jest kierowany do strony logowania. Ta nowa metoda logowania umożliwia obsługę nowych scenariuszy, takich jak dostęp warunkowy, na podstawie zgodności urządzeń oraz tego, czy przeprowadzono uwierzytelnianie wieloskładnikowe. W tym artykule przedstawiono bardziej szczegółowe informacje dotyczące sposobu działania nowoczesnego uwierzytelniania.

   Oprócz zarządzania urządzeniami przenośnymi przy użyciu dostępu warunkowego usługa Exchange Online razem z programem Configuration Manager i usługą Intune umożliwiają zarządzanie komputerami. Komputery muszą zostać przyłączone do domeny lub zostać zarejestrowane w usłudze Intune i być zgodne. Można ustawić następujące wymagania:

   - **Urządzenia muszą zostać przyłączone do domeny lub być zgodne.** Komputery muszą zostać przyłączone do domeny lub być zgodne z zasadami ustawionymi w usłudze Intune. Jeśli komputer nie spełnia żadnego z tych wymagań, użytkownik otrzyma monit o zarejestrowanie urządzenia w usłudze Intune.
   
   - **Urządzenia muszą zostać przyłączone do domeny.** Komputery muszą zostać przyłączone do domeny, aby mogły uzyskiwać dostęp do usługi Exchange Online. Jeśli komputer nie został przyłączony do domeny, dostęp do poczty e-mail będzie zablokowany, a użytkownik zostanie poproszony o skontaktowanie się z administratorem IT.
   
   - **Urządzenia muszą być zgodne.** Komputery muszą zostać zarejestrowane w usłudze Intune i być zgodne. Jeśli komputer nie został zarejestrowany, zostanie wyświetlony komunikat z instrukcjami dotyczącymi rejestrowania.
   

7. W obszarze Aplikacje poczty programu Exchange ActiveSync możesz zablokować dostęp do usługi Exchange Online z poziomu poczty e-mail, jeśli urządzenie jest niezgodne, a także zdecydować, czy zezwolić na dostęp do poczty e-mail bądź go zablokować, jeśli usługa Intune nie może zarządzać urządzeniem.

8. W obszarze Grupy docelowe wybierz grupy zabezpieczeń użytkowników usługi Active Directory obejmowane przez te zasady.

   Uwaga

   W przypadku użytkowników należących do grup docelowych zasady usługi Intune spowodują zastąpienie reguł i zasad programu Exchange.

   Program Exchange będzie tylko wymuszać reguły zezwalania, blokowania i kwarantanny programu Exchange oraz zasady programu Exchange w następujących sytuacjach:

   • Użytkownik nie ma licencji na usługę Intune.

   • Użytkownik ma licencję na usługę Intune, ale nie należy do żadnej grupy zabezpieczeń użytej w zasadach dostępu warunkowego.

9. W obszarze Grupy docelowe wybierz grupy zabezpieczeń użytkowników usługi Active Directory wykluczane z tych zasad. Jeśli użytkownik należy zarówno do grupy objętej zasadami, jak i do grupy wykluczonej z zasad, zostanie wykluczony z zasad i będzie mieć dostęp do swojej poczty e-mail.

10. Po zakończeniu kliknij pozycję Zapisz.

• Nie musisz wdrażać zasad dostępu warunkowego; są one aktywne natychmiast.

• Gdy użytkownik utworzy konto e-mail, urządzenie zostanie od razu zablokowane.

• Jeśli zablokowany użytkownik zarejestruje urządzenia w usłudze Intune (lub rozwiąże problemy z niezgodnością), dostęp do poczty e-mail zostanie odblokowany w ciągu 2 minut.

• Jeśli użytkownik wyrejestruje swoje urządzenie, poczta e-mail zostanie zablokowana po około 6 godzinach.

Lokalny program Exchange (i dzierżawy w starszym środowisku usługi Exchange Online w wersji dedykowanej)

Następujący przepływ jest używany przez zasady dostępu warunkowego dla lokalnego programu Exchange i dzierżaw w starszej usłudze Exchange Online w wersji dedykowanej na potrzeby oceniania, czy zezwolić na dostęp urządzeń, czy też zablokować urządzenia.

Włączanie zasad lokalnego programu Exchange

1. W konsoli programu Menedżer konfiguracji kliknij przycisk Zasoby i zgodność.

2. Rozwiń węzeł Ustawienia zgodności, rozwiń węzeł Dostęp warunkowy, a następnie kliknij pozycję Lokalny program Exchange.

3. Na karcie Narzędzia główne w grupie Lokalny program Exchange kliknij pozycję Konfiguruj zasady dostępu warunkowego.

4. Na stronie OgólneKreatora konfiguracji zasad dostępu warunkowego podaj nazwę domeny dzierżawy usługi Intune. Jest to sufiks identyfikatora dzierżawy, w której skonfigurowano łącznik usługi Intune. Jeśli na przykład identyfikator dzierżawy to admin@corpemail.contoso.com, na tej stronie kreatora należy podać nazwę domeny corpemail.contoso.com.

   

   Kliknij przycisk Dalej.

5. Na stronie Kolekcje docelowe dodaj jedną lub więcej kolekcji użytkowników. Aby uzyskać dostęp do programu Exchange, użytkownicy w tych kolekcjach muszą zarejestrować swoje urządzenia w usłudze Intune i muszą być zgodni z wdrożonymi przez Ciebie zasadami zgodności.

   

   Kliknij przycisk Dalej.

6. Na stronie Wykluczone kolekcje dodaj dowolne kolekcje użytkowników, które mają być wykluczone z zasad dostępu warunkowego. Użytkownicy w tych grupach nie muszą rejestrować swoich urządzeń w usłudze Intune i nie muszą być zgodni z żadnymi wdrożonymi zasadami zgodności, aby uzyskać dostęp do programu Exchange.

   

   Jeśli użytkownik należy zarówno do listy objętej zasadami, jak i do listy wykluczonej z zasad, zostanie wykluczony z zasad dostępu warunkowego.

   Kliknij przycisk Dalej.

7. Na stronie Edytowanie powiadomienia użytkownika skonfiguruj wysyłaną przez usługę Intune wiadomość e-mail z instrukcjami dotyczącymi odblokowywania urządzenia (jako uzupełnienie wiadomości e-mail wysyłanej przez program Exchange).

   Możesz zmienić domyślną wiadomość i użyć tagów HTML do formatowania wyświetlania tekstu. Możesz też wysłać wcześniej do pracowników wiadomość e-mail z informacjami o nadchodzących zmianach i instrukcjami dotyczącymi rejestrowania urządzeń.

   

   Uwaga

   Ponieważ powiadomienie e-mail usługi Intune z instrukcjami odblokowywania jest dostarczane do skrzynki pocztowej programu Exchange użytkownika, to w przypadku, gdy urządzenie użytkownika zostanie zablokowane przed odebraniem wiadomości e-mail, może on użyć niezablokowanego urządzenia lub innej metody, aby uzyskać dostęp do programu Exchange i wyświetlić wiadomość.

   Uwaga

   Aby program Exchange mógł wysłać powiadomienie e-mail, musisz skonfigurować konto, które będzie używane do wysyłania powiadomień e-mail. Czynność tę wykonujesz podczas konfigurowania właściwości łącznika serwera Exchange.

   Aby uzyskać szczegółowe informacje, zobacz Jak zarządzać urządzeniami przenośnymi za pomocą programu Configuration Manager i Exchange.

   Kliknij przycisk Dalej.

8. Na stronie Podsumowanie przejrzyj ustawienia, a następnie zakończ działanie kreatora.

• Nie musisz wdrażać zasad dostępu warunkowego; są one aktywne natychmiast.

• Po skonfigurowaniu przez użytkownika profilu programu Exchange ActiveSync zablokowanie urządzenia może potrwać od 1 do 3 godzin (jeśli nie jest zarządzane przez usługę Intune).

• Jeśli zablokowany użytkownik zarejestruje urządzenie w usłudze Intune (lub rozwiąże problemy z niezgodnością), dostęp do poczty e-mail zostanie odblokowany w ciągu 2 minut.

• Jeśli użytkownik wyrejestruje urządzenie z usługi Intune, zablokowanie urządzenia może potrwać od 1 do 3 godzin.

Zobacz też

Dostęp warunkowy w programie Configuration Manager