Dela via

  • Artikel

Villkorlig åtkomst för Exchange Email i Configuration Manager

 

Gäller för: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteInformation

Informationen i det här ämnet gäller System Center 2012 Configuration Manager SP1 eller senare och System Center 2012 R2 Configuration Manager eller senare.

Använd villkorlig åtkomst i Configuration Manager för att hantera tillgång till e-post i Exchange baserat på de villkor du anger.

Du kan hantera åtkomst till:

  • Microsoft Exchange lokalt

  • Microsoft Exchange Online

  • Dedikerad Exchange Online

Om du konfigurerar villkorlig åtkomst, innan en användare kan ansluta sin emailadress, måste enhet de använder:

  • Vara registrerad i Intune eller en domänansluten dator.

  • Registrera enheten i Azure Active Directory (detta sker automatiskt när enheten är registrerad i Intune (enbart med Exchange Online). Dessutom måste kunden Exchange ActiveSync ID registreras på Azure Active Directory (gäller inte Windows och Windows Phone enheter ansluter till Exchange anläggningen).

    En domänansluten dator måste ställas in att automatiskt registrera sig i Azure Active Directory. Avsnittet Villkorlig åtkomst för datorer i ämnet Villkorlig åtkomst i Configuration Manager visar de fullständiga kraven för att aktivera villkorlig åtkomst för datorer.

  • Vara kompatibel med alla Configuration Manager-efterlevnadspolicyer som distribueras till den enheten

Om ett krav för villkorlig åtkomst inte uppfylls kommer något av följande meddelanden visas för användaren vid inloggning:

  • Om enheten inte är registrerad med Intune, eller inte är registrerad på Azure Active Directory, visas ett meddelande med instruktioner om hur du installerar företagsportalappen, registrerar enheten och (för Android och iOS-enheter), aktiverar email, som associerar enhetens Exchange ActiveSync ID med enheten i Azure Active Directory.

  • Om enheten inte är kompatibel, visas ett meddelande som leder användaren till Intune webbportalen där de kan hitta information om problemet och hur det kan åtgärdas.

För datorer:

  • Om kravet för villkorlig åtkomst är att tillåta domänanslutna eller godkända, visas ett meddelande med instruktioner om hur du registrerar enheten. Om datorn inte uppfyller något av kraven, så ombeds användaren att registrera enheten i Intune.

  • Om kravet för villkorlig åtkomst är satt att bara tillåta domänanslutna Windows-enheter, så blockeras enheten och ett meddelande om att kontakta IT administratören visas.

Du kan blockera åtkomst till Exchange email från enheternas inbyggda Exchange ActiveSync email kunden på följande plattformar:

  • Android 4.0 och senare, Samsung Knox Standard 4.0 och senare

  • iOS 7.1 och senare

  • Windows Phone 8.1 och senare

  • Email applikationen i Windows 8.1 eller senare

Outlook-appen för iOS och Android och Outlook 2013 stöds endast för Exchange Online.

Den lokala Exchange-anslutningen mellan Configuration Manager och Exchange krävs för att den villkorliga åtkomsten ska fungera.

Du kan konfigurera en princip för villkorlig åtkomst för Exchange lokalt från Configuration Manager-konsolen. När du konfigurerar en princip för villkorlig åtkomst för Exchange Online kan du starta processen i Configuration Manager-konsolen, som startar Microsoft Intune-konsolen där du kan slutföra processen.

Steg 1: Utvärdera effekten av den villkorliga åtkomstprincipen

När du har konfigurerat den lokala Exchange-anslutningen kan du använda rapporten Configuration Manager List of devices by Conditional Access State (Lista över enheter med tillståndet Villkorlig åtkomst) för att identifiera enheter som kommer att blockeras från åtkomst till Exchange efter att du har konfigurerat principen för villkorlig åtkomst. Den här rapporten kräver även:

  • En prenumeration på Intune

  • Intune-anslutningen ska vara konfigurerad och distribuerad

I rapportparametrarna väljer du Intune grupp som du vill utvärdera och, om så krävs, de enhetsplattformar som policyn kommer att gälla för.

Mer information om hur du kör rapporter finns i Rapportering i Configuration Manager.

Efter att du har har kört rapporten, undersök dessa fyra kolumner för att avgöra om en användare kommer att blockeras:

  • Hanteringskanal - Anger om enheten sköts av Intune, Exchange ActiveSync, eller bådadera.

  • AAD-registrerade - Anger om enheten är registrerad med Azure Active Directory (kallas Workplace Join).

  • Anmärkning - Anger om enheten är kompatibel med alla efterlevnadsprinciper som du har angivet.

  • EAS-aktiverad - iOS- och Android-enheter måste ha sitt Exchange ActiveSync ID kopplat till enhetsregistreringsposten i Azure Active Directory. Detta händer när användaren klickar på länken Aktivera e-post i karantänmeddelandet.

    System_CAPS_noteInformation

    Windows Phone enheter visar alltid ett värde i den här kolumnen.

Enheter som är en del av en målgrupp eller samling kommer att blockeras från att komma åt Exchange om kolumnvärdena matchar de som anges i följande tabell:

Hanteringskanal

AAD registrerad

Kompatibel

EAS-aktiverad

Resulterande åtgärd

Hanterad av Microsoft Intune and Exchange ActiveSync

Ja

Ja

Ja eller Nej visas

Emailåtkomst tillåten

Vilket som helst annat värde

Nej

Nej

Inget värde visas

Emailåtkomst blockerad

Du kan exportera innehållet i rapporten och användaEmailadress kolumnen för att hjälpa dig informera användarna om att de kommer att blockeras.

Steg 2: Konfigurera användargrupper eller samlingar för villkorlig tillgångspolicy

Du utformar principer för in villkorlig åtkomst till olika grupper eller samlingar med användare beroende på principtyperna. Dessa grupper innehåller de användare som ska anges som mål eller vara undantagna från policyn. När en användare är angiven som mål för en policy, måste varje enhet de använder vara kompatibla för att få åtkomst till email.

  • För Exchange Online policyn - till Azure Active Directory säkerhetsanvändargrupper. Du kan konfigurera dessa grupper i Office 365 admin center, eller Intune kontoportal.

  • För lokal Exchange-princip – Till Configuration Manager-användarsamlingar. Du kan konfigurera dessa på arbetsytan Tillgångar och efterlevnad.

Du kan ange två grupptyper i varje policy:

  • Riktade grupper – Användargrupper där principen tillämpas

  • Undantagna grupper – Användargrupper som är undantagna från principen (tillval)

Om en användare finns i båda grupperna kommer de att undantas från principen.

Endast de grupper eller samlingar som omfattas av principen för villkorlig åtkomst kan få åtkomst till Exchange.

Steg 3: Konfigurera och distribuera en efterlevnadsprincip

Se till att du har skapat och distribuerat en policy gentemot alla enheter som Exchange villkorlig åtkomst kommer att målriktas till.

Information om hur du konfigurerar efterlevnadsprincipen finns i Efterlevnadsprinciper i Configuration Manager.

System_CAPS_importantViktigt

Om du inte har implementerat en villkorspolicy och därefter aktiverat en Exchange villkorlig åtkomstpolicy kommer alla målriktade enheter att ges tillgång.

När du är klar, fortsätt till Steg 4.

Steg 4: Konfigurera principen för villkorlig åtkomst

För Exchange Online (och hyresgäster i den nya Exchange Online anpassade miljön)

Följande flöde används av villkorlig policy åtkomst till Exchange Online för att utvärdera om enheter ska ges tillträde eller blockeras.

Flow for Exchange Online Conditional Access

För att komma åt email, måste enheten:

  • Vara registrerad med Intune

  • Datorer måste antingen vara domänanslutna eller registrerade och godkända enligt de policys som angetts i Intune.

  • Vara registrerad i Azure Active Directory (detta sker automatiskt när enheten är registrerad med Intune.

    Domänanslutna datorer måste ställas in att automatiskt registrera enheten i Azure Active Directory.

  • Har aktiverat email, som associerar enhetens Exchange ActiveSync ID med enheten i Azure Active Directory (gäller iOS och bara Android enheter).

  • Är kompatibel med alla distribuerade efterlevnadsprinciper

Enhetens tillstånd lagras i Azure Active Directory som beviljar eller blockerar tillgång till email, baserat på de utvärderade villkoren.

Om ett villkor inte är uppfyllt, kommer användaren att visas ett av följande meddelanden när de loggar in:

  • Om enheten inte är registrerad, eller är registrerade i Azure Active Directory, visas ett meddelande med instruktioner om hur du installerar företagsportalappen och registrerar

  • Om enheten inte är kompatibel, visas ett meddelande som leder användaren till Intune webbportalen där de kan hitta information om problemet och hur det kan åtgärdas.

  • För en dator:

    • Om policyn är inställd att kräva domänanslutning och datorn inte är domänansluten, visas ett meddelande om att kontakta IT-administratören.

    • Om policyn är inställd att kräva domänsnslutning eller godkänd och datorn inte uppfyller något av kraven, så visas ett meddelande med instruktioner om hur man installerar företagets portalapp och registrerar sig.

Meddelandet visas på enheten för Exchange Online användare och hyresgäster i den nya Exchange Online anpassade miljön, och levereras till användarens email inkorg för Exchange anläggningar äldre Exchange Online anpassade enheter.

System_CAPS_noteInformation

Regler för villkorlig åtkomst i Configuration Manager åsidosätter, tillåter, blockerar och placerar i karantän regler som är definierade i administrationskonsolen för Exchange Online.
System_CAPS_noteInformation

Principen för villkorlig åtkomst måste konfigureras i Intune-konsolen. Följande steg börjar med att få åtkomst till Intune-konsolen via Configuration Manager. Om du uppmanas att logga in använder du samma inloggningsuppgifter som användes för att konfigurera anslutningen mellan Configuration Manager och Intune.

För att aktivera Exchange Online policyn

  1. Klicka på Tillgångar och efterlevnad i Configuration Manager-konsolen.

  2. Expandera först Kompatibilitetsinställningar och sedan Villkorlig åtkomst. Klicka sedan på Exchange Online.

  3. Välj fliken Start och klicka sedan på Konfigurera principen för villkorlig åtkomst i Intune-konsolen i gruppen Länkar. Du kan behöva ange användarnamn och lösenord för det konto som används för att ansluta Configuration Manager till en global administratör för tjänsten Intune.

    Administrationskonsolen för Intune öppnas.

  4. I Microsoft Intune-administratörskonsolen klicka på Policy > Villkorlig åtkomst > Exchange Online Policy.

    HybridOnlineSetupInIntune

  5. Exchange Online policy sidan, välj Aktivera villkorlig åtkomstpolicy för Exchange Online. Om den är markerad måste enheten vara godkänd. Om den inte är markerad så tillämpas inte villkorlig åtkomst.

    System_CAPS_noteInformation

    Om du inte har distribuerat en villkorspolicy och sedan aktiverar Exchange Online policyn, kommer alla målriktade enheter att redovisas som överensstämmande.

    Oavsett efterlevnadsstatusen kommer alla användare som är målriktade genom policyn att åläggas att registrera sina enheter med Intune.

  6. Under Appar med modern autentisering kan du välja att begränsa åtkomst till enheter som är godkända för varje plattform. Windows-enheter måste antingen vara domänanslutna eller registrerade i Intune och kompatibla.

    System_CAPS_tipTips

    Modern autentisering tillför Office-klienterna ADAL-baserad (Active Directory Authentication Library) inloggning.

    • ADAL-baserad autentisering gör det möjligt för Office-klienter att delta i webbläsarbaserad autentisering (även kallat passiv autentisering). Användare som vill autentiseras omdirigeras till en inloggningswebbsida.

    • Den här nya inloggningsmetoden möjliggör nya scenarier, till exempel villkorlig åtkomst baserad på enhetsefterlevnad och om multifaktorautentisering utfördes.

    I den här artikeln finns mer detaljerad information om hur modern autentisering fungerar.

    Om du använder Exchange Online med Configuration Manager och Intune kan du inte bara hantera mobila enheter med villkorlig åtkomst, utan även stationära datorer. Datorer måste antingen vara domänanslutna eller registrerade i Intune och godkända. Du kan ange följande krav:

    - **Enheter måste vara domänanslutna eller godkända.** Datorerna måste antingen vara domänanslutna eller kompatibla med principerna som definierats i Intune. Om en dator inte uppfyller något av dessa krav uppmanas användaren att registrera enheten med Intune.

- **Enheter måste vara domänanslutna.** Datorerna måste vara domänanslutna för att få åtkomst till Exchange Online. Om en dator inte är domänansluten blockeras åtkomst till e-post och användaren uppmanas att kontakta IT-administratören.

- **Enheter måste vara godkända.** Datorerna måste vara registrerade i Intune och kompatibla. Om en dator inte är registrerad visas ett meddelande med anvisningar om hur du registrerar.

  7. Under E-postappar för Exchange ActiveSync kan du välja att blockera åtkomst till Exchange Online för e-posten om enheten inte är kompatibel, samt välja om du vill tillåta eller blockera åtkomst till e-post när Intune inte kan hantera enheten.

  8. Under Målgrupper, välja aktiva säkerhetsgrupper av användare för vilka policyn kommer att gälla.

    System_CAPS_noteInformation

    För användare som finns i målgrupperna ersätter i Intune-principerna Exchange-regler och Exchange-principer.

    Exchange kommer bara att verkställa Exchange:s tillåts-, blockera- och karantänregler och Exchange-principer om:

    • Användaren inte är licensierad för Intune.

    • Användaren är licensierad för Intune, men användaren tillhör inte någon säkerhetsgrupp som villkorliga åtkomstprinciper riktas mot.

  9. Under Undantagna grupper, välj aktiva säkerhetsgrupper av användare som är undantagna från denna policy. Om en användare finns i båda grupperna kommer de att vara undantagna från principen och har åtkomst till e-posten.

  10. När du är klar, klickar du på Spara för att avsluta.

  • Du behöver inte distribuera principen för villkorlig åtkomst, den börjar gälla omedelbart.

  • Efter att en användare skapar ett emailkonto, blockeras enheten omedelbart.

  • Om en blockerad användare registrerar enheten med Intune (eller remedierar inte godkännande av villkor), kommer emailåtkomsten att bli tillgänglig inom 2 minuter.

  • Om användaren avregistrerar sin enhet blockeras e-posten efter cirka 6 timmar.

För Exchange anläggningar (och hyresgäster i den befintliga Exchange Online anpassade miljön)

Följande flöde används av villkorlig åtkomstpolicy för Exchange på anläggningar och hyresgäster i den befintliga Exchange Online anpassade miljön för att utvärdera om man ska tillåta eller blockera enheter.

Conditional Access flow for Exchange On-Premises

För att aktivera Exchange On anläggningspolicy

  1. Klicka på Tillgångar och efterlevnad i Configuration Manager-konsolen.

  2. Expandera Kompatibilitetsinställningar och sedan Villkorlig åtkomst. Klicka sedan på Lokalt Exchange.

  3. På fliken Start i klickar du på Konfigurera princip för villkorlig åtkomst i gruppen Lokalt Exchange.

  4. På sidan Allmänt i guiden Konfigurera princip för villkorlig åtkomst anger du domännamnet för Intune-klienten. Detta är suffixet för det klient-ID som du använde för att konfigurera Intune-anslutningen. Om du till exempel använde klient-ID admin@corpemail.contoso.com ska domännamnet som du anger på denna sida i guiden vara corpemail.contoso.com.

    HybridCondAccessWiz1

    Klicka på Nästa.

  5. Lägg till en eller flera användarsamlingar på sidan Målsamlingar. För att komma åt Exchange måste användare i dessa samlingar registrera sina enheter hos Intune samt följa eventuella efterlevnadsprinciper som du har distribuerat.

    HybridCondAccessWiz2

    Klicka på Nästa.

  6. Lägg till användarsamlingar som du vill ska vara undantag för principen för villkorlig åtkomst på sidan Undantagna samlingar. Användare i dessa grupper behöver inte registrera sina enheter hos Intune och behöver inte följa distribuerade efterlevnadsprinciper för att komma åt Exchange.

    HybridCondAccessWiz3

    Om en användare visas både i mål- och undantagslistor kommer denne att undantas från principen för villkorlig åtkomst.

    Klicka på Nästa.

  7. På sidan Redigera meddelande till användare konfigurerar du e-postmeddelandet som Intune skickar till användare med instruktioner om hur man tar bort blockeringen från enheten (utöver meddelandet som Exchange skickar).

    Du kan redigera standardmeddelandet och använda HTML-taggar för att formatera hur texten ska visas. Du kan också skicka ett e-postmeddelande i förväg till de anställda som meddelar dem om kommande ändringar och ger dem anvisningar för att registrera sina enheter.

    HybridCondAccessWiz4

    System_CAPS_noteInformation

    Eftersom Intune email meddelande som som innehåller återställningsinstruktioner skickas till användarens Exchange email, i händelse av att användarens enhet blir blockerad innan de får emailet, kan de använda en enhet som inte är blockerad eller annan metod för att få tillgång till Exchange och visa meddelandet.
    System_CAPS_noteInformation

    För att Exchange ska kunna skicka emailet, måste du konfigurera det konto som ska användas för att skicka emailet. Du gör detta när du konfigurerar egenskaperna för Exchange Server-anslutningen.

    Mer information finns i Hantera mobila enheter med Configuration Manager och Exchange.

    Klicka på Nästa.

  8. På sidan Sammanfattning kontrollerar du inställningarna och slutför sedan guiden.

  • Du behöver inte använda den villkorliga åtkomstpolicyn, den träder i kraft omedelbart.

  • Efter att en användare har upprättat en Exchange ActiveSync profil, kan det ta 1-3 timmar för enheten som ska blockeras (om det inte hanteras av Intune).

  • Om en blockerad användare då registrerar enheten med Intune (eller remedierar inte godkännande av villkor), kommer emailåtkomsten att bli tillgänglig inom 2 minuter.

  • Om användaren avregistrerar från Intune det kan ta 1-3 timmar för enheten som ska blockeras.