Статья
01/22/2016

Условный доступ для электронной почты Exchange в Configuration Manager

Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Примечание
Указанные в этом разделе сведения относятся к System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager или более поздних версий.

Используйте условный доступ Configuration Manager, чтобы управлять доступом к электронной почте Exchange на основе заданных вами условий.

Вы можете управлять доступом к следующим средам:

Microsoft Exchange (локально)
Microsoft Exchange Online
Выделенная среда Exchange Online

Если вы настраиваете условный доступ, то прежде чем пользователь сможет подключиться к электронной почте, его устройство должно удовлетворять следующим требованиям:

Устройство должно быть зарегистрировано в Intune или на ПК, присоединенном к домену.
Зарегистрируйте устройство в Azure Active Directory. Это происходит автоматически при регистрации устройства в Intune (только для Exchange Online). Кроме того, идентификатор клиента Exchange ActiveSync должен быть зарегистрирован в Azure Active Directory (не применяется к устройствам Windows и Windows Phone, подключающимся к локальной среде Exchange).

Для ПК, присоединенного к домену, необходимо задать автоматическую регистрацию в Azure Active Directory. В разделе Условный доступ для ПК статьи Условный доступ в Configuration Manager перечислены все требования для включения условного доступа для ПК.
Устройство должно удовлетворять любым развернутым на нем политикам соответствия Configuration Manager.

Если условие для условного доступа не выполняется, при входе пользователь получает одно из следующих сообщений.

Если устройство не зарегистрировано в Intune либо в Azure Active Directory, выводится сообщение с инструкциями о том, как установить приложение корпоративного портала, зарегистрировать устройство (для устройств Android и iOS) и активировать электронную почту, в результате чего идентификатор Exchange ActiveSync устройства сопоставляется с записью этого устройства в Azure Active Directory.
Если устройство не соответствует требованиям, отображается сообщение, направляющее пользователя на веб-портал Intune, где можно найти сведения о данной проблеме и способах ее решения.

Для ПК:

если требование политики доступа — разрешить устройства, присоединенные к домену или соответствующие требованиям, отобразится сообщение с инструкциями о регистрации устройства; если ПК не соответствует каким-либо требованиям, пользователя попросят зарегистрировать устройство в Intune;
если требование политики условного доступа — разрешать только присоединенные к домену устройства Windows, устройство блокируется и отображается сообщение, рекомендующее обратиться к ИТ-администратору.

Вы можете заблокировать доступ к электронной почте Exchange с устройств с помощью встроенного клиента электронной почты Exchange ActiveSync на следующих платформах:

Android 4.0 и более поздние версии, Samsung KNOX Standard 4.0 и более поздние версии
iOS 7.1 и более поздние версии
Windows Phone 8.1 и более поздней версии
Приложение Почта в Windows 8.1 и более поздних версиях

Приложение Outlook для iOS и Android и классической версии Outlook 2013 поддерживается только для Exchange Online.

Для работы условного доступа требуется Локальный соединитель Exchange между Configuration Manager и Exchange.

Политика условного доступа к локальной службе Exchange настраивается в консоли Configuration Manager. При настройке политики условного доступа для Exchange Online можно начать процесс в консоли Configuration Manager, которая запускает консоль Microsoft Intune, в которой можно завершить процесс.

Шаг 1. Оценка влияния политики условного доступа

После настройки локального соединителя Exchange можно использовать отчет Список устройств по состоянию условного доступаConfiguration Manager для определения устройств, которым будет заблокирован доступ к Exchange после настройки политики условного доступа. Для этого отчета также требуется, чтобы были выполнены следующие действия.

Оформлена подписка на Intune.
Соединитель Intune настроен и развернут.

В параметрах отчета выберите группу Intune, которую следует оценить и, при необходимости, платформы устройств, для которых будет действовать политика.

Дополнительные сведения о запуске отчетов см. в разделе Отчеты в Configuration Manager.

После запуска отчета изучите эти четыре столбца, чтобы определить, будет ли пользователь заблокирован:

Канал управления — указывает, управляется ли устройство Intune и/или Exchange ActiveSync.
Зарегистрировано в AAD — указывает, зарегистрировано ли устройство в Azure Active Directory (этот процесс называется присоединением к рабочей области).
Соответствует — указывает, соответствует ли устройство развернутым политикам соответствия.
EAS активирована — идентификатор Exchange ActiveSync устройств iOS и Android должен быть сопоставлен с записью регистрации устройства в Azure Active Directory. Это происходит, когда пользователь щелкает ссылку Активация электронной почты в сообщении электронной почты о карантине.

Примечание

Устройства Windows Phone всегда отображают в этом столбце значение.

Примечание
Устройства Windows Phone всегда отображают в этом столбце значение.

Устройствам, которые являются частью целевой группы или коллекции, будет заблокирован доступ к Exchange, пока значения столбцов не будут совпадать со значениями, перечисленными в следующей таблице.

Канал управления	Зарегистрировано в AAD	Соответствие	EAS активирована	Результирующее действие
Управляется Microsoft Intune и Exchange ActiveSync	Да	Да	Отображается Да или Нет	Доступ к электронной почте разрешен
Любое другое значение	Нет	Нет	Значение не отображается	Доступ к электронной почте заблокирован

Вы можете экспортировать содержимое отчета и использовать столбец Адрес электронной почты для информирования пользователей о том, что они будут заблокированы.

Шаг 2. Настройка групп или коллекций пользователей для политики условного доступа

Политики условного доступа ориентируются на различные группы или коллекции пользователей в зависимости от типов политик. Эти группы содержат пользователей, которые будут являться целями для политики или будут исключены из нее. Когда пользователь становится целью для политики, каждое используемое им устройство должно быть совместимым, чтобы получить доступ к электронной почте.

Для политики Exchange Online — на группы безопасности пользователей Azure Active Directory. Эти группы можно настроить в Центре администрирования Office 365 или на портале учетных записей Intune.
Для локальной политики Exchange — на коллекции пользователей Configuration Manager. Их можно настроить в рабочей области Активы и соответствие

В каждой политике можно указать два типа групп:

Целевые группы — группы или коллекции пользователей, к которым применяется данная политика.
Исключенные группы — группы или коллекции пользователей, которые исключены из политики (необязательно).

Если пользователь входит в обе группы, то он будет исключен из политики.

Оценка возможности доступа к Exchange производится только для тех групп или коллекций, которые являются целевыми для политики условного доступа.

Шаг 3. Настройка и развертывание политики соответствия требованиям

Убедитесь, что политика соответствия создана и развернута для всех устройств, на которые будет нацелена политика условного доступа Exchange.

Дополнительные сведения о настройке политики соответствия см. в разделе Политики соответствия требованиям в Configuration Manager.

Важно
Если политика соответствия не была развернута и включена политика условного доступа Exchange, доступ будет разрешен всем целевым устройствам.

Когда будете готовы, перейдите к шагу 4.

Шаг 4. Настройка политики условного доступа

Для Exchange Online (и клиентов в новой выделенной среде Exchange Online)

Следующая схема используется политиками условного доступа для Exchange Online, чтобы определить, следует ли разрешить или запретить доступ для устройств.

Flow for Exchange Online Conditional Access

Для доступа к электронной почте устройство должно соответствовать следующим условиям:

Устройство должно быть зарегистрировано в Intune.
ПК должны быть присоединены к домену или зарегистрированы и должны соответствовать политикам, заданным в разделе Intune.
Зарегистрируйте устройство в Azure Active Directory (это происходит автоматически при регистрации устройства в Intune).

Для ПК, присоединенных к домену, необходимо задать автоматическую регистрацию устройства в Azure Active Directory.
Для устройства должна быть активирована электронная почта, в результате чего идентификатор Exchange ActiveSync устройства сопоставляется с записью этого устройства в Azure Active Directory (применяется только для устройств iOS и Android).
Устройство должно удовлетворять всем развернутым политикам соответствия.

Состояние устройства хранится в Azure Active Directory, который предоставляет или блокирует доступ к электронной почте на основе оценочных условий.

Если условие не выполняется, при входе пользователь получает следующие сообщения.

Если устройство не зарегистрировано либо зарегистрировано в Azure Active Directory, выводится сообщение с инструкциями о том, как установить приложение корпоративного портала и выполнить регистрацию.
Если устройство не соответствует требованиям, отображается сообщение, направляющее пользователя на веб-портал Intune, где можно найти сведения о данной проблеме и способах ее решения.
Для ПК:
- если политика требует присоединения к домену, а ПК не присоединен к домену, отобразится сообщение, рекомендующее обратиться к ИТ-администратору;
- если политика требует присоединения к домену или соответствия политике, это означает, что ПК не соответствует какому-либо из требований, и отобразится сообщение с инструкциями о том, как установить приложение корпоративного портала и выполнить регистрацию.

Сообщение отображается на устройстве для пользователей и клиентов Exchange Online в новой выделенной среде Exchange Online и направляется в ящик входящих сообщений электронной почты пользователей устройств локальной организации Exchange и устройств устаревшей выделенной среды Exchange Online.

Примечание
Правила условного доступа Configuration Manager переопределяют, разрешают, блокируют и помещают в карантин правила, определенные в консоли администрирования Exchange Online.

Примечание
Политика условного доступа должна быть настроена в консоли Intune. Следующие шаги начинаются с открытия консоли Intune через Configuration Manager. Если будет предложено, войдите в систему с помощью тех же учетных данных, которые использовались для настройки соединителя между Configuration Manager и Intune.

Политика условного доступа должна быть настроена в консоли Intune. Следующие шаги начинаются с открытия консоли Intune через Configuration Manager. Если будет предложено, войдите в систему с помощью тех же учетных данных, которые использовались для настройки соединителя между Configuration Manager и Intune.

Включение политики Exchange Online

В консоли Configuration Manager щелкните элемент Активы и соответствие.
Разверните раздел Параметры соответствия, разверните Условный доступ, а затем выберите Exchange Online.
На вкладке Главная в группе Ссылки щелкните пункт Настройка политики условного доступа в консоли Intune. Вам может потребоваться указать имя пользователя и пароль той учетной записи, которая использовалась для подключения Configuration Manager с любым глобальным администратором для службы Intune.

Открывается консоль администрирования Intune.
На Консоли администрирования Microsoft Intune щелкните Политика > Условный доступ > Политика Exchange Online.

На странице Политика Exchange Online выберите Включить политику условного доступа для Exchange Online. Устройство должно соответствовать требованиям для установки этого флажка. Если этот флажок не установлен, условный доступ не применяется.

Примечание
Если политика соответствия не была развернута и включена политика Exchange Online, все целевые устройства считаются соответствующими. Независимо от состояния соответствия, все пользователи, на которых распространяется политика, должны будут регистрировать свои устройства в Intune.

Если политика соответствия не была развернута и включена политика Exchange Online, все целевые устройства считаются соответствующими.

Независимо от состояния соответствия, все пользователи, на которых распространяется политика, должны будут регистрировать свои устройства в Intune.

В разделе Приложения, использующие современные способы проверки подлинности вы можете ограничить доступ, предоставив его только для устройств, которые соответствуют требованиям для каждой платформы. Устройства Windows должны быть присоединены к домену или зарегистрированы в Intune и обязаны соответствовать требованиям.

Совет
Современная проверка подлинности активирует для клиентов Office процедуру входа на основе библиотеки проверки подлинности Active Directory (ADAL). Процедура проверки подлинности на основе ADAL позволяет клиентам Office применять проверку подлинности на основе браузера (также называемую пассивной проверкой подлинности). Для проверки подлинности пользователь перенаправляется на веб-страницу входа в систему. Это новый метод входа, который позволяет реализовать новые сценарии, например условный доступ, на основе политик соответствия устройств и выполнения многофакторной проверки подлинности. В данной статье содержатся более подробные сведения о процедуре современной проверки подлинности.

Современная проверка подлинности активирует для клиентов Office процедуру входа на основе библиотеки проверки подлинности Active Directory (ADAL).

Процедура проверки подлинности на основе ADAL позволяет клиентам Office применять проверку подлинности на основе браузера (также называемую пассивной проверкой подлинности). Для проверки подлинности пользователь перенаправляется на веб-страницу входа в систему.
Это новый метод входа, который позволяет реализовать новые сценарии, например условный доступ, на основе политик соответствия устройств и выполнения многофакторной проверки подлинности.

В данной статье содержатся более подробные сведения о процедуре современной проверки подлинности.

Используя Exchange Online с Configuration Manager и Intune, вы можете применять условный доступ для управления не только мобильными устройствами, но и настольными компьютерами. ПК должны быть присоединены к домену или зарегистрированы в Intune и должны соответствовать политикам. Можно задать следующие требования.

- **Устройства должны быть присоединены к домену или должны соответствовать политикам.** Компьютеры должны быть присоединены к домену или соответствовать политикам, заданным в Intune. Если ПК не соответствует каким-либо требованиям, пользователю предлагается зарегистрировать устройство в Intune.

- **Устройства должны быть присоединены к домену.** Компьютеры должны быть присоединены к домену для доступа к Exchange Online. Если ПК не присоединен к домену, доступ к почте будет заблокирован, и пользователя попросят обратиться к ИТ-администратору.

- **Устройства должны соответствовать политикам.** Компьютеры должны быть зарегистрированы в Intune и соответствовать требованиям. Если ПК не зарегистрирован, отображается сообщение с инструкциями по регистрации.

В разделе Почтовые приложения Exchange ActiveSync можно заблокировать доступ почты к Exchange Online, если устройство не соответствует требованиям, и разрешить или заблокировать доступ к почте, если Intune не может управлять устройством.

В разделе Целевые группы выберите группы безопасности Active Directory пользователей, к которым будет применена политика.

Примечание
Для пользователей, которые являются членами целевых групп, политики Intune заменят правила и политики Exchange. Exchange сможет разрешать, блокировать и помещать в карантин правила, а также политики Exchange только в том случае, если: пользователь не имеет лицензии на Intune; у пользователя есть лицензия на Intune, но он не входит ни в одну из групп безопасности, на которые распространяется политика условного доступа.

Для пользователей, которые являются членами целевых групп, политики Intune заменят правила и политики Exchange.

Exchange сможет разрешать, блокировать и помещать в карантин правила, а также политики Exchange только в том случае, если:

пользователь не имеет лицензии на Intune;
у пользователя есть лицензия на Intune, но он не входит ни в одну из групп безопасности, на которые распространяется политика условного доступа.

В разделе Исключенные группы выберите группы безопасности Active Directory пользователей, которые будут исключены из этой политики. Если пользователь входит в обе указанные группы, то он будет исключен из политики и получит доступ к своей электронной почте.
По завершении нажмите кнопку Сохранить.

Развертывать политику условного доступа не нужно, она вступает в силу немедленно.
Устройство блокируется сразу, как только пользователь создает учетную запись электронной почты.
Если заблокированный пользователь регистрирует устройство в Intune (или устраняет несоответствие), доступ к электронной почте будет разблокирован в течение 2 минут.
Если пользователь отменяет регистрацию устройства, электронная почта будет заблокирована приблизительно через 6 часов.

Для локальной организации Exchange (и клиентов в устаревшей выделенной среде Exchange Online)

Следующая схема используется политиками условного доступа для локальной организации Exchange и клиентов в устаревшей выделенной среде Exchange Online, чтобы определить, следует ли разрешить или запретить доступ для устройств.

Conditional Access flow for Exchange On-Premises

Чтобы включить политику локальной системы Exchange

В консоли Configuration Manager щелкните элемент Активы и соответствие.
Разверните раздел Параметры соответствия, разверните Условный доступ, а затем выберите вариант Локальная служба Exchange.
На вкладке Главная в группе Локальная служба Exchange щелкните пункт Настройка политики условного доступа.
На странице Общиемастера настройки политики условного доступа укажите ваше доменное имя клиента Intune. Это суффикс идентификатора клиента, который вы использовали для настройки соединителя Intune. Например, если вы использовали идентификатор клиента admin@corpemail.contoso.com, на этой странице мастера вы вводите имя домена corpemail.contoso.com.

Нажмите кнопку Далее.
На странице Целевые коллекции добавьте одну или несколько коллекций пользователей. Для доступа к Exchange пользователи, входящие в эти коллекции, должны зарегистрировать свои устройства в Intune и удовлетворять всем развернутым политикам соответствия.

Нажмите кнопку Далее.
На странице Исключенные коллекции добавьте коллекции пользователей, которые требуется исключить из политики условного доступа. Пользователям, входящим в эти группы, не требуется регистрировать свои устройства в Intune и обеспечивать соответствие всем развернутым политикам соответствия для доступа к Exchange.

Если пользователь входит в оба списка, как целевой, так и исключенный, он будет исключен из политики условного доступа.

Нажмите кнопку Далее.

На странице Изменение уведомления пользователя настройте сообщение электронной почты, которое Intune отправляет пользователям с инструкциями о том, как разблокировать устройство (в дополнение к сообщению, которое отправляет Exchange).

Вы можете изменить сообщение по умолчанию и использовать HTML-теги для форматирования отображаемого текста. Можно также заранее отправить сообщение электронной почты своим сотрудникам, уведомив их о предстоящих изменениях и предоставив им инструкции по регистрации устройств.

HybridCondAccessWiz4

Примечание
Поскольку уведомление Intune с инструкциями по исправлению доставляется в почтовый ящик Exchange пользователя в случае, если устройство пользователя блокируется, прежде чем он получит это сообщение, пользователь может использовать незаблокированное устройство или другой способ для доступа к Exchange и просмотра сообщения.

Поскольку уведомление Intune с инструкциями по исправлению доставляется в почтовый ящик Exchange пользователя в случае, если устройство пользователя блокируется, прежде чем он получит это сообщение, пользователь может использовать незаблокированное устройство или другой способ для доступа к Exchange и просмотра сообщения.

Примечание
Чтобы система Exchange могла отправить уведомление по электронной почте, необходимо настроить учетную запись, которая будет использоваться для отправки такого уведомления. Это делается при настройке свойств соединителя Exchange Server. Дополнительные сведения см. в разделе Управление мобильными устройствами с помощью Configuration Manager и Exchange.

Чтобы система Exchange могла отправить уведомление по электронной почте, необходимо настроить учетную запись, которая будет использоваться для отправки такого уведомления. Это делается при настройке свойств соединителя Exchange Server.

Дополнительные сведения см. в разделе Управление мобильными устройствами с помощью Configuration Manager и Exchange.

Нажмите кнопку Далее.

На странице Сводка просмотрите параметры и завершите работу мастера.

Развертывать политику условного доступа не нужно, она вступает в силу немедленно.
После того как пользователь настроит профиль Exchange ActiveSync, блокировка устройства может занять от 1 до 3 часов (если оно не находится под управлением Intune).
Если заблокированный пользователь регистрирует устройство в Intune (или устраняет несоответствие), доступ к электронной почте будет разблокирован в течение 2 минут.
Если пользователь отменяет регистрацию из Intune, блокировка устройства может занять от 1 до 3 часов.

См. также

Условный доступ в Configuration Manager

Поделиться через