Compartilhar via


Acesso condicional para o SharePoint Online no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObservação

As informações neste tópico se aplicam somente ao System Center 2012 Configuration Manager SP1 ou posterior, e ao System Center 2012 R2 Configuration Manager ou posterior.

Use a política de acesso condicional do Gerenciador de Configurações SharePoint Online para gerenciar o acesso aos arquivos do OneDrive para Empresas localizados no SharePoint Online, com base nas condições especificadas.

Quando um determinado usuário tenta se conectar a um arquivo usando um aplicativo com suporte assim como o OneDrive em seu dispositivo, ocorre a seguinte avaliação:

Conditional Access for SharePoint

Para conectar-se aos arquivos necessários, o dispositivo que executa o OneDrive deve:

  • Estar registrado no Microsoft Intune ou em um PC ingressado no domínio.

  • Registre o dispositivo no Active Directory do Azure (isso ocorre automaticamente quando o dispositivo for registrado no Intune).

    Para PCs ingressados no domínio, você deve configurá-los para registrarem-se automaticamente no Active Directory do Azure.

  • Ser compatível com todas as políticas de conformidade do Gerenciador de Configurações implantadas

O estado do dispositivo é armazenado no Active Directory do Azure que concede ou bloqueia o acesso a arquivos, com base nas condições que você especifica.

Se uma condição não for atendida, o usuário receberá uma das seguintes mensagens de erro ao fazer logon:

  • Se o dispositivo não estiver registrado no Intune ou não estiver registrado no Active Directory do Azure, será exibida uma mensagem com instruções sobre como instalar o aplicativo do portal da empresa e registrá-lo.

  • Se o dispositivo não for compatível, será exibida uma mensagem que direciona o usuário para o portal da Web Intune, onde ele pode encontrar informações sobre o problema e como corrigi-lo.

  • Para um PC:

    • Se a política estiver definida para exigir o ingresso no domínio e o PC não tiver ingressado no domínio, uma mensagem será exibida para que o usuário entre em contato com o administrador de TI.

    • Se a política estiver definida para exigir ingresso no domínio ou compatibilidade e o PC não atender a nenhum dos dois requisitos, será exibida uma mensagem com instruções sobre como instalar o aplicativo do portal da empresa e realizar o registro.

É possível bloquear o acesso ao SharePoint Online por meio dos seguintes aplicativos:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)

  • Microsoft Word (Android e iOS)

  • Microsoft Excel (Android e iOS)

  • Microsoft PowerPoint (Android e iOS)

  • Microsoft OneNote (Android e iOS)

Etapas para configurar o acesso condicional para o SharePoint Online

Etapa 1: configurar grupos de segurança do Active Directory

Antes de começar, configure os grupos de segurança do Active Directory do Azure para a política de acesso condicional. Você pode configurar esses grupos no Centro de administração do Office 365 ou no Portal de conta do Intune. Esses grupos contêm os usuários que serão afetados ou que ficarão isentos da política. Quando um usuário é afetado por uma política, cada dispositivo que ele usa deve ser compatível para que possa acessar os recursos.

Você pode especificar dois tipos de grupo em uma política do SharePoint Online:

  • Grupos de destino – contém grupos de usuários aos quais a política será aplicada

  • Grupos isentos – contém grupos de usuários isentos da política (opcional)

Se um usuário estiver nos dois grupos, ele ficará isento da política.

Etapa 2: configurar e implantar uma política de conformidade

Certifique-se de criar e implantar uma política de conformidade para todos os dispositivos aos quais a política do SharePoint Online se destinará.

System_CAPS_noteObservação

Enquanto as políticas de conformidade são implantadas em grupos do Intune, ou em coleções do Gerenciador de Configurações, as políticas de acesso condicional são destinadas aos grupos de segurança do Active Directory do Azure.

Para obter detalhes sobre como configurar a política de conformidade, veja Políticas de Conformidade no Configuration Manager.

System_CAPS_importantImportante

Se você habilitar a política do SharePoint Online sem antes ter implantado uma política de conformidade, todos os dispositivos de destino terão acesso permitido.

Quando estiver pronto, continue na Etapa 3.

Etapa 3: configurar a política do SharePoint Online

Em seguida, configure a política para exigir que somente dispositivos gerenciados e compatíveis possam acessar o SharePoint Online. Essa política será armazenada no Active Directory do Azure.

  1. No console do Gerenciador de Configurações, clique em Ativos e Conformidade.

  2. Selecione Habilitar política de acesso condicional para o SharePoint Online.

  3. Em Aplicativos que usam autenticação moderna, você pode optar por restringir o acesso a apenas os dispositivos compatíveis para cada plataforma.

    System_CAPS_tipDica

    Autenticação moderna traz a entrada baseada no ADAL (Active Directory Authentication Library) para clientes Office.

    • A autenticação com base em ADAL permite que os clientes Office participem de autenticação baseada em navegador (também conhecida como autenticação passiva). Para autenticar, o usuário é direcionado a uma página da Web de entrada.

    • Esse novo método de entrada permite novos cenários, como acesso condicional, com base em conformidade do dispositivo e se a autenticação multifator foi executada.

    Esse artigo tem informações mais detalhadas sobre como a autenticação moderna funciona.

    Para PCs Windows, o PC deve estar ingressado no domínio ou então ser compatível e registrado em Intune. Você pode definir os seguintes requisitos:

    - **Os dispositivos devem estar ingressados no domínio ou ser compatíveis.** Isso significa que os PCs devem estar ingressados no domínio ou ser compatíveis com as políticas definidas Intune. Se o PC não atender a esses requisitos, será solicitado que o usuário registre o dispositivo com Intune.
    
    - **Os dispositivos devem estar ingressados no domínio.** Isso significa que os PCs devem estar ingressados no domínio para acessar o Exchange Online. Se o PC não estiver ingressado no domínio, o acesso ao email será bloqueado e será solicitado que o usuário entre em contato com o administrador de TI.
    
    - **Os dispositivos devem ser compatíveis.** Isso significa que os PCs devem ser compatíveis e registrados em Intune. Se o computador não estiver registrado, será exibida uma mensagem com instruções sobre como registrá-lo.
    
  4. Na guia Início, no grupo Links, clique em Configurar Política de Acesso Condicional no Console do Intune. Talvez seja necessário fornecer o nome de usuário e a senha da conta usada para conectar o Gerenciador de Configurações ao Intune.

    O console de administração do Intune será aberto.

  5. No Console de Administração do Microsoft Intune, clique em Política > Acesso Condicional > Política do SharePoint Online.

  6. Selecione Bloquear o acesso de aplicativos ao SharePoint Online se o dispositivo for incompatível.

  7. Em Grupos de Destino, clique em Modificar para selecionar os grupos de segurança do Active Directory do Azure aos quais a política será aplicada.

  8. Opcionalmente, em Grupos isentos, clique em Modificar para selecionar os grupos de segurança do Active Directory do Azure que são isentos dessa política.

  9. Quando terminar, clique em Salvar.

Você não precisa implantar a política de acesso condicional, ele entra em vigor imediatamente.

Veja Gerenciar o acesso do SharePoint Online com o Microsoft Intune para obter informações sobre como você pode monitorar a política no console do Intune.