Configuration Manager’da Exchange için Koşullu Erişim

 

Uygulama Alanı: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Not

Bu konudaki bilgiler, System Center 2012 Configuration Manager SP1 veya sonraki sürümleri ile System Center 2012 R2 Configuration Manager veya sonraki sürümleri için geçerlidir.

Belirttiğiniz koşullara göre Exchange e-postalarına erişimi yönetmek için Configuration Manager koşullu erişimini kullanın.

Şunlara erişimi yönetebilirsiniz:

• Microsoft Exchange Şirket İçi

• Microsoft Exchange Online

• Exchange Online Ayrılmış

Koşullu erişimi yapılandırırsanız, bir kullanıcının e-postasına bağlanabilmesi için öncelikle kullandıkları cihaz:

• Intune veya etki alanına katılmış bir bilgisayarla kaydolun.

• Cihazı Azure Active Directory’ye kaydedin (cihaz Intune öğesine kaydedildiğinde bu otomatik olarak gerçekleşir (yalnızca Exchange Online için)). Ayrıca, istemcinin Exchange ActiveSync kimliği de Azure Active Directory’ye kaydedilmelidir (Şirket İçi Exchange’e bağlanan Windows ve Windows Phone cihazları için geçerli değildir).

  Etki alanına katılmış bir bilgisayarı Azure Active Directory’ye otomatik olarak kaydedilecek şekilde ayarlamanız gerekir.Configuration Manager’da Koşullu Erişim konusundaki Bilgisayarlar için Koşullu Erişim bölümünde bilgisayarlarda koşullu erişimi etkinleştirme gereksinimlerinin eksiksiz bir listesi bulunur.

• Söz konusu cihaza dağıtılan tüm Configuration Manager uyumluluk ilkelerine uyma

Bir koşullu erişim koşulu karşılanmazsa, oturum açtığında kullanıcıya şu iletilerden biri sunulur:

• Cihaz Intune öğesine kaydedilmediyse veya Azure Active Directory’de kayıtlı değilse, şirket portalı uygulamasının nasıl yükleneceğine, cihazın nasıl kaydedileceğine ve (Android ve iOS cihazlar için) cihazın Exchange ActiveSync kimliğini Azure Active Directory’deki cihaz kaydıyla ilişkilendirecek şekilde e-postanın nasıl etkinleştirileceğine ilişkin yönergelerle birlikte bir ileti görüntülenir.

• Cihaz uyumlu değilse, kullanıcıyı sorunla ve sorunun nasıl çözüleceğiyle ilgili bilgileri bulabileceği Intune web portalına yönlendiren bir ileti görüntülenir.

Bilgisayarlar için:

• Koşullu erişim ilkesi gereksinimi etki alanına katılmış veya uyumlu cihazlara izin veriyorsa, cihazın nasıl kaydedileceği hakkında yönergeler içeren bir ileti görüntülenir. Bilgisayar iki gereksinimi de karşılamıyorsa, kullanıcıdan cihazı Intune’a kaydetmesi istenir.

• Koşullu erişim ilkesi gereksinimi yalnızca etki alanına katılmış Windows cihazlarının katılmasına izin verecek şekilde ayarlandıysa, cihaz engellenir ve BT yöneticisine başvurulmasını bildiren bir ileti görüntülenir.

Aşağıdaki platformlarda cihazların yerleşik Exchange ActiveSync e-posta istemcisinden Exchange e-postasına erişimi engelleyebilirsiniz:

• Android 4.0 ve üzeri, Samsung KNOX Standard 4.0 ve üzeri

• iOS 7.1 ve üzeri

• Windows Phone 8.1 ve üzeri

• Windows 8.1 ve üzerindeki Posta uygulaması

iOS ve Android için Outlook uygulaması ile Outlook 2013 masaüstü uygulaması yalnızca Exchange Online için desteklenir.

Koşullu erişimin çalışması için Configuration Manager ve Exchange arasında Şirket içi Exchange bağlayıcısı gereklidir.

Configuration Manager konsolundan Exchange Şirket İçi için koşullu bir erişim ilkesi yapılandırabilirsiniz. Exchange Online için bir koşullu erişim ilkesi yapılandırmak için işleme Configuration Manager konsolundan başlayabilirsiniz. Bu konsol, işlemi tamamlayacağınız Microsoft Intune konsolunu başlatır.

Adım 1: Koşullu erişim ilkesinin etkisini değerlendirme

Şirket içi Exchange bağlayıcısını yapılandırdıktan sonra Configuration ManagerKoşullu Erişim Durumu’na göre cihazların listesi raporunu kullanarak, koşullu erişim ilkesini yapılandırdıktan sonra Exchange erişimi engellenecek cihazları tanımlayabilirsiniz. Bu rapor şunları da gerektirir:

• Intune aboneliği

• IntuneBağlayıcının yapılandırılması ve dağıtılması gerekir

Rapor parametrelerinde, değerlendirmek istediğiniz Intune grubunu ve gerekirse ilkenin geçerli olacağı cihaz platformlarını seçin.

Raporların nasıl çalıştırılacağı hakkında daha fazla bilgi edinmek için, bkz. Configuration Manager’da Raporlama.

Raporu çalıştırdıktan sonra kullanıcının engellenip engellenmeyeceğini belirlemek için şu dört sütunu inceleyin:

• Yönetim Kanalı – Cihazın Intune, Exchange ActiveSync veya her ikisi tarafından yönetilip yönetilmediğini belirtir.

• AAD ile kayıtlı – Cihazın Azure Active Directory’ye kayıtlı olup olmadığını belirtir (Çalışma Alanına Katılma olarak bilinir).

• Uyumlu – Cihazın dağıttığınız herhangi bir uyumluluk ilkesiyle uyumlu olup olmadığını belirtir.

• EAS Özellikli – iOS ve Android cihazların Exchange ActiveSync kimliklerinin Azure Active Directory'deki cihaz kaydı ile ilişkilendirilmiş olması gerekir. Kullanıcı karantinaya alma e-postasında E-postayı Etkinleştirme bağlantısına tıkladığında bu oluşur.

  Not

  Windows Phone cihazları her zaman bu sütunda bir değer görüntüler.

Sütun değerleri aşağıdaki tabloda listelenenlerle eşleşmiyorsa, hedeflenen bir grubun veya koleksiyonun parçası olan cihazların Exchange’e erişmesi engellenir:

Yönetim kanalı	AAD kayıtlı	Uyumlu	EAS Özellikli	Sonuçtaki eylem
Microsoft Intune ve Exchange ActiveSync tarafından yönetilir	Evet	Evet	Evet veya Hayır görüntülenir	E-posta erişimine izin verilir
Başka bir değer	Hayır	Hayır	Bir değer görüntülenmez	E-posta erişimi engellenir

Kullanıcılara engelleneceklerini bildirmenize yardımcı olmak için raporun içeriklerini dışarı aktarabilir ve E-posta Adresi’ni kullanabilirsiniz.

Adım 2: Koşullu erişim ilkesi için kullanıcı gruplarını veya koleksiyonlarını yapılandırma

İlke türlerine bağlı olarak farklı kullanıcı gruplarına veya koleksiyonlarına koşullu erişim ilkelerini hedefleyin. Bu gruplar, hedeflenecek veya ilkeden muaf tutulacak kullanıcıları içerir. Bir kullanıcı bir ilke tarafından hedeflendiğinde, e-postaya erişmek için kullandıkları her bir cihaz uyumlu olmalıdır.

• Exchange Online ilkesi için – Azure Active Directory güvenlik kullanıcı gruplarına.Office 365 yönetici merkezi‘nde veya Intune hesap portalı‘nda bu grupları yapılandırabilirsiniz.

• Şirket İçi Exchange ilkesi için – Configuration Manager kullanıcı koleksiyonlarına. Bunları Varlıklar ve Uyumluluk çalışma alanında yapılandırabilirsiniz.

Her bir ilkede iki grup türü belirtebilirsiniz:

• Hedeflenen gruplar – İlkenin geçerli olduğu kullanıcı grupları veya koleksiyonları

• Muaf tutulan gruplar – İlkeden muaf tutulan kullanıcı grupları veya koleksiyonları (isteğe bağlı)

Bir kullanıcı her ikisinde de bulunuyorsa ilkeden muaf tutulur.

Yalnızca koşullu erişim ilkesi tarafından hedeflenen gruplar veya koleksiyonlar, Exchange erişimi için değerlendirilir.

Adım 3: Uyumluluk ilkesi yapılandırma ve dağıtma

Bir uyumluluk ilkesi oluşturup Exchange koşullu erişim ilkesinin hedefleneceği tüm cihazlara dağıttığınızdan emin olun.

Uyumluluk ilkesini yapılandırma hakkında ayrıntılar için bkz. Configuration Manager’daki Uyumluluk İlkeleri.

Önemli
Bir uyumluluk ilkesi dağıtmadıysanız ve sonra bir Exchange koşullu erişim ilkesini etkinleştirirseniz, tüm hedeflenen cihazların erişimine izin verilir.

Hazır olduğunuzda 4. Adım‘a ilerleyin.

Adım 4: Koşullu erişim ilkesini yapılandırma

Exchange Online (ve yeni Exchange Online Ayrılmış ortamındaki kiracılar) için

Aşağıdaki akış, Exchange Online’ın cihazlara izin mi verileceğini yoksa cihazların engelleneceğini mi değerlendirmesi için koşullu erişim ilkeleri tarafından kullanılır.

E-postaya erişmek için cihaz:

• Intune öğesine kaydedilmelidir

• Bilgisayarların etki alanına katılmış veya Intune’a kayıtlı ve burada belirlenmiş ilkelerle uyumlu olması gerekir.

• Cihazı Azure Active Directory’ye kaydedin (cihaz Intune’a kaydedildiğinde bu otomatik olarak gerçekleşir).

  Etki alanına katılmış bir bilgisayarı Azure Active Directory ile otomatik olarak kaydedilecek şekilde ayarlamanız gerekir.

• E-postayı etkinleştirmelidir; bu durumda cihazın Exchange ActiveSync kimliği, Azure Active Directory’deki cihaz kaydıyla ilişkilendirilir (yalnızca iOS ve Android cihazlar için geçerlidir).

• Dağıtılan tüm uyumluluk ilkelerine uymalıdır

Cihaz durumu, Azure Active Directory'de depolanır; bu durumda değerlendirilen koşullara göre e-postaya erişim izni verilir veya erişim engellenir.

Bir koşul karşılanmazsa, oturum açtığında kullanıcıya şu iletilerden biri sunulur:

• Cihaz Azure Active Directory'ye kaydedilmediyse veya kayıtlı değilse, şirket portalı uygulamasının nasıl yükleneceğine ve nasıl kayıt yapılacağına ilişkin yönergeleri içeren bir ileti görüntülenir

• Cihaz uyumlu değilse, kullanıcıyı sorunla ve sorunun nasıl çözüleceğiyle ilgili bilgileri bulabileceği Intune web portalına yönlendiren bir ileti görüntülenir.

• Bilgisayar için:

  • İlke etki alanına katılmayı gerektirecek şekilde ayarlanmışsa ve bilgisayar etki alanına katılmamışsa, BT yöneticisine başvurulması gerektiğini belirten bir ileti görüntülenir.

  • İlke etki alanına katılımı veya uyumluluğu gerektirecek şekilde ayarlandıysa ve bilgisayar iki gereksinimi de karşılamıyorsa, şirket portalı uygulamasını yükleme ve kaydetme hakkında yönergeler içeren bir ileti görüntülenir.

İleti, yeni Exchange Online Ayrılmış ortamındaki Exchange Online kullanıcıları ve kiracıları için cihazda görüntülenir ve Şirket İçi Exchange ve eski Exchange Online Ayrılmış cihazları için kullanıcıların e-posta gelen kutusuna teslim edilir.

Not

Configuration Manager koşullu erişim kuralları, Exchange Online yönetici konsolunda tanımlanan izin verme, engelleme ve karantinaya alma kurallarını geçersiz kılar.

Not

Koşullu erişim ilkesinin, Intune konsolunda yapılandırılması gerekir. Aşağıdaki adımlar Configuration Manager üzerinden Intune konsoluna erişme aşamasıyla başlar. İstenirse, Configuration Manager ile Intune arasındaki bağlayıcıyı ayarlamak için kullanılan kimlik bilgilerini kullanarak oturum açın.

Exchange Online ilkesini etkinleştirmek için

1. Configuration Manager konsolunda, Varlıklar ve Uyumluluk'a tıklayın.

2. Uyumluluk Ayarları’nı genişletin, Koşullu Erişim’i genişletin ve sonra Exchange Online’a tıklayın.

3. Giriş sekmesinde Bağlantılar grubunda Koşullu Erişim İlkesini Intune Konsolu'nda Yapılandırın’a tıklayın.Intune hizmeti için, herhangi bir genel yönetici ile Configuration Manager arasında bağlantı kurarken kullanılan hesabın kullanıcı adını ve parolasını girmeniz gerekebilir.

   Intune yönetim konsolu açılır.

4. Microsoft Intune yönetim konsolundaİlke > Koşullu Erişim > Exchange Online İlkesi öğesine tıklayın.

   

5. Exchange Online İlkesi sayfasında, Exchange Online için koşullu erişim ilkesini etkinleştir’i seçin. Bunu işaretlerseniz, cihaz uyumlu olmalıdır. Bu seçilmezse koşullu erişim uygulanmaz.

   Not

   Bir uyumluluk ilkesi dağıtmadıysanız ve sonra bir Exchange Online ilkesini etkinleştirirseniz, tüm hedeflenen cihazlar uyumlu olarak raporlanır.

   Uyumluluk durumuna bakılmaksızın, ilke tarafından hedeflenen tüm kullanıcıların cihazlarını Intune öğesine kaydetmeleri gerekir.

6. Modern kimlik doğrulaması kullanan uygulamalar altında, her platform için erişimi yalnızca uyumlu cihazlarla sınırlandırmayı seçebilirsiniz. Windows cihazlarının etki alanına katılmış veya Intune’a kaydedilmiş ve Intune ile uyumlu olması gerekir.

   İpucu

   Modern kimlik doğrulaması, Active Directory Kimlik Doğrulama Kitaplığı (ADAL) tabanlı oturum açmayı Office istemcilerine getirir. ADAL tabanlı kimlik doğrulaması, Office istemcilerinin tarayıcı tabanlı kimlik doğrulaması (pasif kimlik doğrulama olarak da bilinir) gerçekleştirmesine imkan sağlar. Kullanıcı, kimlik doğrulamak için bir oturum açma web sayfasına yönlendirilir. Bu yeni oturum açma yöntemi; cihaz uyumluluğu ve çok faktörlü kimlik doğrulaması gerçekleştirilip gerçekleştirilmediğine bağlı olarak koşullu erişim gibi yeni senaryolara imkan sağlar. Bu makalede, modern kimlik doğrulamasının nasıl çalıştığıyla ilgili daha ayrıntılı bilgi sunulmuştur.

   Configuration Manager ve Intune ile Exchange Online kullanarak, yalnızca koşullu erişime sahip mobil cihazları değil masaüstü bilgisayarları da yönetebilirsiniz. Bilgisayarların etki alanına katılmış veya Intune’a kaydedilmiş ve uyumlu olması gerekir. Aşağıdaki gereksinimleri ayarlayabilirsiniz:

   - **Cihazlar bir etki alanına katılmış veya uyumlu olmalıdır.** Bilgisayarlar etki alanına katılmış veya Intune ilkeleriyle uyumlu olmalıdır. Bilgisayar bu gereksinimlerden birini karşılamıyorsa, kullanıcıdan cihazı Intune ile kaydetmesi istenir.
   
   - **Cihazlar bir etki alanına katılmış olmalıdır.** Bilgisayarların Exchange Online'a erişebilmesi için etki alanına katılmış olmaları gerekir. Bilgisayar etki alanına katılmamışsa, e-posta erişimi engellenir ve kullanıcıdan BT yöneticisine başvurması istenir.
   
   - **Cihazlar uyumlu olmalıdır.** Bilgisayarların Intune uygulamasına kayıtlı ve bu uygulama ile uyumlu olması gerekir. Bilgisayar kayıtlı değilse, kaydetme yönergelerini içeren bir ileti görüntülenir.
   

7. Exchange ActiveSync posta uygulamaları altında; cihazın uyumsuz olması durumunda e-postanın Exchange Online’a erişimini engellemeyi ve Intune’un cihazı yönetememesi durumunda e-posta erişimine izin verilip verilmeyeceğini seçebilirsiniz.

8. Hedeflenen Gruplar altında, ilkenin geçerli olacağı Active Directory güvenliği kullanıcı gruplarını seçin.

   Not

   Hedeflenen gruplarda bulunan kullanıcılar için Intune ilkeleri, Exchange kurallarının ve ilkelerinin yerini alır.

   Exchange, şu durumlarda yalnızca Exchange izin ver, engelle ve karantinaya al kurallarını ve Exchange ilkelerini uygular:

   • Kullanıcı Intune için lisanslı değilse.

   • Kullanıcı Intune için lisanslıysa, ancak koşullu erişim ilkesinde hedeflenen güvenlik gruplarından birinde değilse.

9. Muaf Tutulan Gruplar altında, bu ilkeden muaf tutulan Active Directory güvenliği kullanıcı gruplarını seçin. Bir kullanıcı hem hedeflenen hem de muaf tutulan grupta bulunuyorsa, ilkeden muaf tutulur ve kendi e-postalarına erişebilir.

10. İşiniz bittiğinde Kaydet’e tıklayın.

• Koşullu erişim ilkesini dağıtmanız gerekmez; ilke hemen uygulanır.

• Kullanıcı bir e-posta hesabı oluşturduktan sonra cihaz hemen engellenir.

• Engellenen bir kullanıcı, cihazı Intune öğesine kaydederse (veya uyumsuzluğu çözümlerse) 2 dakika içinde e-posta erişiminin engeli kaldırılır.

• Kullanıcı, cihazının kaydını kaldırırsa yaklaşık 6 saat sonra e-posta engellenir.

Şirket İçi Exchange (ve eski Exchange Online Ayrılmış ortamındaki kiracılar) için

Aşağıdaki akış, cihazlara izin mi verileceğini yoksa cihazların engelleneceğini mi değerlendirmek için eski Exchange Online Ayrılmış ortamında şirket içi Exchange ve kiracılar için koşullu erişim ilkeleri tarafından kullanılır.

Şirket İçi Exchange ilkesini etkinleştirmek için

1. Configuration Manager konsolunda, Varlıklar ve Uyumluluk'a tıklayın.

2. Uyumluluk Ayarları’nı genişletin, Koşullu Erişim’i genişletin ve sonra Şirket İçi Exchange’e tıklayın.

3. Giriş sekmesinde Şirket İçi Exchange grubunda Koşullu Erişim İlkesini Yapılandır’a tıklayın.

4. Koşullu Erişim İlkesi Yapılandırma Sihirbazı’nın Genel sayfasında Intune kiracı etki alanı adınızı belirtin. Bu değer, Intune bağlayıcısını ayarlamak için kullandığınız kiracı kimliğinin sonekidir. Örneğin, kullandığınız kiracı kimliği admin@corpemail.contoso.com ise sihirbazın bu sayfasına girdiğiniz etki alanı adı corpemail.contoso.com olur.

   

   İleri'ye tıklayın.

5. Hedeflenen Koleksiyonlar sayfasında bir veya birden fazla kullanıcı koleksiyonu ekleyin. Bu koleksiyonlardaki kullanıcıların, Exchange’e erişebilmek için cihazlarını Intune uygulamasına kaydetmesi ve dağıttığınız tüm uyumluluk ilkeleri ile uyumlu olması gerekir.

   

   İleri'ye tıklayın.

6. Dışlanan Koleksiyonlar sayfasında koşullu erişim ilkesinden hariç tutmak istediğiniz tüm kullanıcı koleksiyonlarını ekleyin. Bu gruplardaki kullanıcıların Exchange’e erişmek için cihazlarını Intune ile kaydettirmeleri ve dağıtılan herhangi bir uyumluluk ilkesiyle uyumlu olmaları gerekmez.

   

   Bir kullanıcı hem hedeflenen hem de dışlanan listelerinde yer alıyorsa koşullu erişim ilkesinden dışlanır.

   İleri'ye tıklayın.

7. Kullanıcı Bildirimini Düzenle sayfasında, Intune uygulamasının (Exchange’in gönderdiği e-postaya ek olarak) kullanıcılara cihazın engelini kaldırma yönergelerini gönderdiği e-postayı yapılandırın.

   Varsayılan iletiyi düzenleyebilir ve metnin nasıl görüntüleneceğini biçimlendirmek için HTML etiketlerini kullanabilirsiniz. Ayrıca, çalışanlarınıza yaklaşan değişiklikleri bildiren ve kendi cihazlarını kaydetme hakkında yönergeler sağlayan bir e-postayı önceden gönderebilirsiniz.

   

   Not

   Çözümleme yönergelerini içeren Intune bildirim e-postası kullanıcının Exchange posta kutusuna teslim edildiğinden, kullanıcı cihazının e-posta iletisini almadan önce engellenmesi durumunda kullanıcı, Exchange’e erişmek ve iletiyi görüntülemek için engellenmemiş bir cihaz ya da başka yöntemleri kullanabilir.

   Not

   Exchange’in bildirim e-postası gönderebilmesi için, bildirim e-postasını göndermek için kullanılacak hesabı yapılandırmanız gerekir. Bunu, Exchange Server bağlayıcısının özelliklerini yapılandırırken yaparsınız.

   Ayrıntılı bilgi için bkz. Configuration Manager'ı ve Exchange'i Kullanarak Mobil Cihazları Yönetme.

   İleri'ye tıklayın.

8. Özet sayfasında, ayarlarınızı gözden geçirin ve sonra sihirbazı tamamlayın.

• Koşullu erişim ilkesini dağıtmanız gerekmez, hemen geçerli olur.

• Kullanıcı bir Exchange ActiveSync profili ayarladıktan sonra cihazın engellenmesi 1-3 saat arası sürebilir (Intune tarafından yönetilmiyorsa).

• Engellenen bir kullanıcı daha sonra cihazı Intune öğesine kaydederse (veya uyumsuzluğu çözümlerse) 2 dakika içinde e-posta erişiminin engeli kaldırılır.

• Kullanıcı Intune öğesinden kaydı kaldırırsa cihazın engellenmesi 1-3 saat sürebilir.

Ayrıca bkz.

Configuration Manager’da Koşullu Erişim