Dela via

  • Artikel

Villkorlig åtkomst i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObs!

Informationen i den här artikeln gäller för System Center 2012 Configuration Manager SP2 och System Center 2012 R2 Configuration Manager SP1.

Om du använder tillägget för villkorlig åtkomst för Microsoft Intune ingår funktionerna i detta tillägg nu i huvudprodukten och tillägget visas inte längre i noden Tillägg för Microsoft Intune i Configuration Manager-konsolen.

För System Center 2012 R2 Configuration Manager SP1 tillhandahålls dock följande nya funktion av tillägget för villkorlig åtkomst från och med den 2 november. Tillägget kommer att visas i noden Tillägg för Microsoft Intune i Configuration Manager-konsolen.

  • Minimal efterlevnadsregel för operativsystem

  • Maximal efterlevnadsregel för operativsystem

Använd villkorlig åtkomst i Configuration Manager för att skydda e-post och andra tjänster på enheter som är registrerade med Microsoft Intune utifrån de villkor du anger.

En typisk flöde för villkorlig åtkomst kan se ut så här:

Advanced conditional access flow

Använd villkorlig åtkomst för att hantera åtkomst till följande tjänster:

  • Microsoft Exchange lokalt

  • Microsoft Exchange Online

  • Dedikerad Exchange Online

  • SharePoint Online

Du kan kontrollera åtkomsten till Exchange Online och Exchange lokalt från den inbyggda e-postklienten på följande plattformar:

  • Android 4.0 och senare, Samsung Knox Standard 4.0 och senare

  • iOS 7.1 och senare

  • Windows Phone 8.1 och senare

  • E-postprogram i Windows 8.1 och senare

Du kan kontrollera åtkomsten till SharePoint Online från följande appar för de listade plattformarna:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android och iOS)

  • Microsoft Word (iOS)

  • Microsoft Excel (iOS)

  • Microsoft PowerPoint (iOS)

  • Microsoft OneNote (iOS)

Office-skrivbordsprogram kan komma åt Exchange Online och SharePoint Online på datorer som kör:

  • Office 2013-skrivbordsversionen och senare med modern autentisering aktiverat.

  • Windows 7.0 eller Windows 8.1

System_CAPS_noteObs!

Datorerna måste vara domänanslutna eller vara kompatibla med principerna som definierats i Intune.

Om du vill implementera villkorlig åtkomst konfigurerar du två principtyper i Configuration Manager:

  • Principer för efterlevnad är valfria principer som du kan distribuera till användarsamlingar och utvärdera inställningar som exempelvis:

    • Lösenord

    • Kryptering

    • Om enheten är jailbroken eller rotad

    • Om enhetens e-post hanteras av en Configuration Manager- eller Intune-princip

    Om ingen policy för efterlevnad har distribuerats till en enhet så behandlar alla tillämpliga policyer för efterlevnad enheten som om den är kompatibel.

  • Principer för villkorlig åtkomst konfigureras för en viss tjänst och definierar t.ex. regler för vilka Azure Active Directory-säkerhetsgrupper eller Configuration Manager användarsamlingar som ska användas eller undantas.

    Du kan konfigurera principen för villkorlig åtkomst för Exchange lokalt från Configuration Manager-konsolen. När du konfigurerar en princip för Exchange Online eller SharePoint Online öppnas dock administratörskonsolen i Microsoft Intune där du konfigurerar principen.

    Till skillnad från andra Intune eller Configuration Manager-principer kan principer för villkorlig åtkomst inte distribueras. Du konfigurerar dem istället direkt, och de tillämpas på alla målanvändare.

När en enhet inte uppfyller de villkor som du har konfigurerat leds användaren genom en process för att registrera enheten och åtgärda de problem som förhindrar enheten från att vara kompatibel.

Innan du börjar

Innan du börjar använda villkorlig åtkomst bör du kontrollera att du uppfyller de nödvändiga kraven:

Principtyp

Krav

Exchange Online (genom att använda den delade klientmiljön)

Villkorlig åtkomst till Exchange Online stöder enheter som kör:

  • Windows 8.1 och senare (efter att ha registrerats i Intune)

  • Windows 7.0 eller Windows 8.1 (om datorn är domänansluten)

  • Windows Phone 8.1 och senare

  • iOS 7.1 och senare

  • Android 4.0 och senare, Samsung Knox Standard 4.0 och senare

Dessutom:

  • Enheterna måste vara anslutna till en arbetsplats, där de registreras hos Azure Active Directory Device Registration Service (AAD DRS).

    Domänanslutna datorer måste registreras automatiskt med Azure Active Directory via en grupprincip eller MSI. I avsnittet Villkorlig åtkomst för datorer i den här artikeln beskrivs alla krav för aktivering av villkorlig åtkomst för en dator.

    AAD DRS aktiveras automatiskt för Intune och Office 365-kunder. Kunder som redan har använt AD FS Device Registration Service ser inte registrerade enheter i sina lokala Active Directory-kataloger.

  • Du måste använda en Office 365-prenumeration som innehåller Exchange Online (t.ex. E3) och användarna måste ha licens för Exchange Online.

  • Exchange Server-anslutningen är valfri och ansluter Configuration Manager till Microsoft Exchange Online och hjälper dig att övervaka enhetsinformation via Configuration Manager-konsolen (se How to Manage Mobile Devices by Using Configuration Manager and Exchange (Hantera mobila enheter med Configuration Manager och Exchange)). Du behöver inte använda anslutningen för att kunna använda efterlevnadspolicyerna eller principerna för villkorlig åtkomst, men den krävs när du ska köra rapporter som utvärderar effekten av villkorlig åtkomst.

Dedikerad Exchange Online

Villkorlig åtkomst till dedikerad Exchange Online stöder enheter som kör:

Exchange On-premises

Villkorlig åtkomst till Exchange lokalt stöder:

  • Windows 8 och senare (efter att ha registrerats i Intune)

  • Windows Phone 8 och senare

  • Intern e-post-app för iOS

  • Intern e-post-app på Android 4 eller senare

  • Microsoft Outlook-appen på Android och iOS stöds inte.

Dessutom:

  • Din Exchange-version måste vara Exchange 2010 eller senare. Matrisen för Exchange Server-klientåtkomstservern (CAS) stöds.

    System_CAPS_tipTips

    Om din Exchange-miljö finns i en CAS-serverkonfiguration måste du konfigurera den lokala Exchange-anslutningen så att den pekar mot en av CAS-servrarna.

  • Du måste använda Exchange Server-anslutningen som ansluter Configuration Manager till Microsoft Exchange lokalt. På så sätt kan du hantera mobila enheter och aktivera villkorlig åtkomst (se How to Manage Mobile Devices by Using Configuration Manager and Exchange (Hantera mobila enheter med Configuration Manager och Exchange)).

    • Kontrollera att du använder den senaste versionen av den lokala Exchange-anslutningen. Den lokala Exchange-anslutningen ska konfigureras via Configuration Manager-konsolen. En detaljerad genomgång finns Hantera mobila enheter med Configuration Manager och Exchange.

    • Anslutningen får endast konfigureras på den primära platsen för System Center Configuration Manager.

    • Den här anslutningen har stöd för Exchange CAS-miljö. När du konfigurerar anslutningen måste du ställa in den så att den kommunicerar med en av Exchange CAS-servrarna.

  • Exchange ActiveSync kan konfigureras med certifikatbaserad autentisering eller genom att användaren anger autentiseringsuppgifter

SharePoint Online

Villkorlig åtkomst till SharePoint Online stöder enheter som kör:

  • Windows 8.1 och senare (efter att ha registrerats i Intune)

  • Windows 7.0 eller Windows 8.1 (om datorn är domänansluten)

  • Windows Phone 8.1 och senare

  • iOS 7.1 och senare

  • Android 4.0 och senare, Samsung Knox Standard 4.0 och senare

Dessutom:

  • Enheterna måste vara anslutna till en arbetsplats, där de registreras hos Azure Active Directory Device Registration Service (AAD DRS).

    Domänanslutna datorer måste registreras automatiskt med Azure Active Directory via en grupprincip eller MSI. I avsnittet Villkorlig åtkomst för datorer i den här artikeln beskrivs alla krav för aktivering av villkorlig åtkomst för en dator.

    AAD DRS aktiveras automatiskt för Intune och Office 365-kunder. Kunder som redan har använt AD FS Device Registration Service ser inte registrerade enheter i sina lokala Active Directory-kataloger.

  • Det krävs en SharePoint Online-prenumeration och användarna måste ha licens för SharePoint Online.

Villkorlig åtkomst för datorer

Du kan konfigurera villkorlig åtkomst för datorer som kör Office-datorprogram om du vill komma åt Exchange Online och SharePoint Online för datorer som uppfyller följande krav:

  • Datorn måste köra Windows 7.0 eller Windows 8.1.

  • Datorn måste antingen vara domänansluten eller kompatibel.

    För att vara kompatibel måste datorn vara registrerad i Intune och uppfylla principerna.

    Domänanslutna datorer måste ställas in att automatiskt registrera enheten i Azure Active Directory.

  • Modern Office 365-autentisering måste vara aktiverat och alla de senaste Office-uppdateringarna måste vara installerade.

    Modern autentisering tar ADAL-baserad (Active Directory Authentication Library) inloggning till Windows-baserade Office 2013-klienter och förbättrar säkerheten med bland annat multifaktorautentisering och certifikatbaserad autentisering.

  • Konfigurera ADFS-anspråksregler och blockera protokoll som inte stöder modern autentisering.

Nästa steg

I följande avsnitt kan du läsa om hur du konfigurerar policyer för efterlevnad och principer för villkorlig åtkomst för ditt nödvändiga scenario: