Artikel
11/20/2015

Villkorlig åtkomst för SharePoint Online i Configuration Manager

Gäller för: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Information
Informationen i det här ämnet gäller System Center 2012 Configuration Manager SP1 eller senare och System Center 2012 R2 Configuration Manager eller senare.

Använd Configuration Manager SharePoint Onlines villkorliga åtkomstpolicy för att hantera åtkomst till OneDrive för företagsfiler som finns i SharePoint online, baserat på villkor som du anger.

När en användare försöker ansluta till en fil med en app som stöds, till exempel OneDrive på sin enhet sker följande utvärdering:

Conditional Access for SharePoint

För att ansluta till de efterfrågade filerna måste enheten som kör OneDrive:

Vara registrerad i Microsoft Intune eller en domänansluten dator.
Vara registrerad i Azure Active Directory (detta sker automatiskt när enheten är registrerad med Intune.

Domänanslutna datorer måste ställas in så att de automatiskt registreras i Azure Active Directory.
Vara kompatibel med alla efterlevnadsprinciper i Configuration Manager

Enhetens tillstånd lagras i Azure Active Directory som beviljar eller blockerar tillgång till filerna baserat på de villkor du angivit.

Om ett villkor inte är uppfyllt, kommer användaren att visas ett följande meddelanden när de loggar in:

Om enheten inte är registrerad i Intune, eller i Azure Active Directory, så visas ett meddelande med instruktioner om hur man installerar Företagsportal-appen och registrerar sig.
Om enheten inte är godkänd, visas ett meddelande som leder användaren till webbportalen för Intune där de kan hitta information om problemet och hur det kan åtgärdas.
För datorer:
- Om policyn är inställd att kräva domänanslutning och datorn inte är domänansluten, visas ett meddelande om att kontakta IT-administratören.
- Om policyn är inställd att kräva domänsnslutning eller godkänd och datorn inte uppfyller något av kraven, så visas ett meddelande med instruktioner om hur man installerar företagets portalapp och registrerar sig.

Du kan blockera åtkomst till SharePoint Online från följande appar:

Microsoft Office Mobile (Android)
Microsoft OneDrive (Android och iOS)
Microsoft Word (Android och iOS)
Microsoft Excel (Android och iOS)
Microsoft PowerPoint (Android och iOS)
Microsoft OneNote (Android och iOS)

Så här konfigurerar du villkorlig åtkomst för SharePoint Online

Steg 1: Konfigurera Active Directory-säkerhetsgrupper

Konfigurera säkerhetsgrupper för Azure Active Drive Directory för villkorlig åtkomstpolicy innan du börjar. Du kan konfigurera dessa grupper i Office 365 admin center, eller Intune kontoportal. Dessa grupper innehåller de användare som ska anges som mål eller vara undantagna från policyn. När en användare är angiven som mål för en policy, måste varje enhet de använder vara godkänd för att få åtkomst till resurser.

Du kan ange två grupptyper i en SharePoint Online policy:

Riktade grupper – innehåller grupper av användare för vilka policyn ska gälla
Undantagna grupper - innehåller användargrupper som är undantagna policyn (valfritt)

Om en användare finns i båda grupperna, kommer de att vara befriade från policyn.

Steg 2: Konfigurera och distribuera en efterlevnadsprincip

Se till att du skapar och distribuerar en policy för godkännande av alla enheter SharePoint Onlines policy kommer att rikta sig mot.

Information
När efterlevnadsprinciper har distribuerats till Intune-grupper eller Configuration Manager-samlingar, så riktas villkorliga åtkomstprinciper mot Azure Active Directory-säkerhetsgrupper.

Information om hur du konfigurerar efterlevnadsprincipen finns i Efterlevnadsprinciper i Configuration Manager.

Viktigt
Om du inte har distribuerat en policy för godkännande och sen aktiverar SharePoint Onlines policy, så kommer alla målriktade enheter att ges tillgång.

När du är klar, fortsätt till Steg 3.

Steg 3: Konfigurera SharePoint Online-policyn

Konfigurera sedan policyn som kräver att enbart hanterade och godkända enheter kan komma åt SharePoint Online. Denna policy kommer att lagras i Azure Active Directory.

Klicka på Tillgångar och efterlevnad i Configuration Manager-konsolen.
Välj Aktivera villkorlig åtkomstpolicy för SharePoint Online..

Under Appar med modern autentisering kan du välja att begränsa åtkomst till enheter som är godkända för varje plattform.

Tips
Modern autentisering tillför Office-klienterna ADAL-baserad (Active Directory Authentication Library) inloggning. ADAL-baserad autentisering gör det möjligt för Office-klienter att delta i webbläsarbaserad autentisering (även kallat passiv autentisering). Användare som vill autentiseras omdirigeras till en inloggningswebbsida. Den här nya inloggningsmetoden möjliggör nya scenarier, till exempel villkorlig åtkomst baserad på enhetsefterlevnad och om multifaktorautentisering utfördes. I den här artikeln finns mer detaljerad information om hur modern autentisering fungerar.

Modern autentisering tillför Office-klienterna ADAL-baserad (Active Directory Authentication Library) inloggning.

ADAL-baserad autentisering gör det möjligt för Office-klienter att delta i webbläsarbaserad autentisering (även kallat passiv autentisering). Användare som vill autentiseras omdirigeras till en inloggningswebbsida.
Den här nya inloggningsmetoden möjliggör nya scenarier, till exempel villkorlig åtkomst baserad på enhetsefterlevnad och om multifaktorautentisering utfördes.

I den här artikeln finns mer detaljerad information om hur modern autentisering fungerar.

För windows-datorer, måste datorn antingen vara domänansluten eller registrerad i Intune och godkänd. Du kan ange följande krav:

- **Enheter måste vara domänanslutna eller godkända.** Det betyder att datorerna antingen måste vara domänanslutna eller godkända enligt de policys som ställts in i Intune. Om datorn inte uppfyller något av de kraven så ombeds användaren att registrera enheten i Intune.

- **Enheter måste vara domänanslutna.** Det innebär att datorerna måste vara domänanslutna för att få åtkomst till SharePoint Online. Om datorn inte är domänansluten blockeras åtkomst till e-post och användaren uppmanas att kontakta IT-administratören.

- **Enheter måste vara godkända.** Det innebär att datorerna måste vara registrerade i Intune och godkända. Om datorn inte är registrerad visas ett meddelande med instruktioner om hur du registrerar.

Välj fliken Start och klicka sedan på Konfigurera principen för villkorlig åtkomst i Intune-konsolen i gruppen Länkar. Du kan behöva ange användarnamn och lösenord för det konto som används för att ansluta Configuration Manager till Intune.

Administratörskonsolen i Intune öppnas.
I administratörskonsolen för Microsoft Intune klicka på Policy > Villkorlig åtkomst > SharePoint Online Policy.
Välj Blockera appar från att få åtkomst till SharePoint Online om enheten inte är kompatibel.
Under Målgrupper, klicka på Modifiera för att välja de Azure Active Directory säkerhetsgrupper som policyn ska gälla för.
Under Undantagna Grupper, kan du alternativt klicka på Modifiera om det finns säkerhetsgrupper i Azure Active Directory som ska vara undantagna policyn.
När du är klar klicka på Spara.

Du behöver inte använda den villkorliga åtkomstpolicyn, den träder i kraft omedelbart.

Mer information om hur du övervakar policyn från Intune-konsolen finns i Manage SharePoint Online access with Microsoft Intune (Hantera åtkomst till SharePoint Online med Microsoft Intune).

Se även

Villkorlig åtkomst i Configuration Manager

Dela via