Configuration Manager 的 SharePoint Online 條件式存取

 

適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

注意事項
本主題資訊僅適用於 System Center 2012 Configuration Manager SP1 或更新版本，以及 System Center 2012 R2 Configuration Manager 或更新版本。

使用 Configuration ManagerSharePoint Online 條件式存取原則，根據您指定的條件來管理位於 SharePoint Online 之商務用 OneDrive 檔案的存取權。

當目標使用者使用其裝置上支援的應用程式，例如 OneDrive，嘗試連接到檔案時，就會出現下列評估：

若要連接到所需檔案，執行 OneDrive 的裝置必須：

• 已使用 Microsoft Intune 註冊或是已加入網域的電腦。

• 在 Azure Active Directory 中登錄裝置 (當裝置向 Intune 註冊時即會自動發生)。

  已加入網域的電腦必須設定為以 Azure Active Directory 自動登錄。

• 符合所有已部署的 Configuration Manager 相容性原則

裝置狀態儲存在 Azure Active Directory，它會根據您指定的條件，授與或封鎖檔案的存取權。

如不符合條件，使用者會在登入時看見下列訊息之一：

• 如果裝置未以 Intune 註冊，或未在 Azure Active Directory 中登錄，就會顯示訊息，指示如何安裝及註冊公司入口網站應用程式。

• 如果裝置不相容，即會顯示一則訊息，將使用者引導至 Intune Web 入口網站，讓他們能夠在該處找到問題的相關資訊，以及如何修復問題的方法。

• 如為電腦：

  • 如果原則設為需要加入網域，而電腦未加入網域，即會顯示連絡 IT 管理員的訊息。

  • 如果原則設為需要加入或與網域相容，但電腦不符合任一要求，即會顯示訊息指示如何安裝及註冊公司入口網站應用程式。

您可以從下列應用程式封鎖 SharePoint Online 存取權：

• Microsoft Office Mobile (Android)

• Microsoft OneDrive (Android 和 iOS)

• Microsoft Word (Android 和 iOS)

• Microsoft Excel (Android 和 iOS)

• Microsoft PowerPoint (Android 和 iOS)

• Microsoft OneNote (Android 和 iOS)

SharePoint Online 條件式存取的設定步驟

步驟 1：設定 Active Directory 安全性群組

在開始之前，請先為條件式存取原則設定 Azure Active Directory 安全性群組。 您可以在 Office 365 系統管理中心或 Intune 帳戶入口網站中設定這些群組。 這些群組包含將成為原則目標的使用者，或是免套用此原則的使用者。 當使用者成為原則的目標時，他們使用的每個裝置都必須相容，才能存取資源。

您可以在 SharePoint Online 原則中指定兩種群組類型：

• 目標群組 – 包含套用原則的使用者群組

• 豁免群組 – 包含豁免原則的使用者群組 (選擇性)

如果使用者隸屬於這兩個群組，他們將免套用原則。

步驟 2：設定並部署法務遵循政策

請確定所有裝置都建立並部署了以 SharePoint Online 原則為目標的合規性原則。

注意事項
雖然 Intune 群組或 Configuration Manager 集合部署了相容性原則，但 Azure Active Directory 安全性群組的目標是條件式存取原則。

如需如何設定相容性原則的詳細資訊，請參閱 Configuration Manager 中的相容性原則。

重要事項
若未部署合規性原則，卻啟用了 SharePoint Online 原則，則允許所有目標裝置存取。

當您準備好時，請繼續執行步驟 3。

步驟 3：設定 SharePoint Online 原則

接著，設定原則要求只有受管理和相容的裝置才可以存取 SharePoint Online。 這項原則會儲存在 Azure Active Directory。

1. 在 Configuration Manager 主控台中，按一下 [資產與相容性]。

2. 選取 [啟用 SharePoint Online 的條件式存取原則]。

3. 在 [使用新式驗證的應用程式] 下，您可以選擇僅限與各平台相容的裝置才有存取權。

   提示
   [新式驗證] 將 Active Directory 驗證程式庫 (ADAL) 登入整合到 Office 用戶端中。 ADAL 型驗證可讓 Office 用戶端進行以瀏覽器為基礎的驗證 (又稱為被動驗證)。 系統會將使用者導向登入網頁，以便進行驗證。 這個新的登入方法可根據 [裝置相容性] 以及是否執行 [Multi-Factor Authentication]，來啟用條件式存取等新案例。 這篇文章包含新式驗證運作方式的詳細資訊。

   Windows 電腦則必須加入網域，或使用 Intune 註冊並與其相容。 您可以設定下列要求：

   - **裝置必須已加入或與網域相容。**這表示電腦必須已加入網域或符合 Intune 中設定的原則。 如果電腦不符合上述任一條件，即會提示使用者以 Intune 註冊裝置。
   
   - **裝置必須已加入網域。**這表示電腦必須已加入網域才能存取 Exchange Online。 如果電腦未加入網域，則會封鎖存取電子郵件並提示使用者連絡 IT 管理員。
   
   - **裝置必須相容。**這表示電腦必須在 Intune 註冊並與其相容。 如果電腦未註冊，則會顯示註冊指示訊息。
   

4. 在 [常用] 索引標籤的 [連結] 群組中，按一下 [在 Intune 主控台中設定條件存取原則]。 您可能需要提供用來連線 Configuration Manager 與 Intune 的帳戶使用者名稱和密碼。

   Intune 管理主控台隨即開啟。

5. 在 Microsoft Intune 管理主控台中，按一下 [原則] > [條件式存取] > [SharePoint Online 原則]。

6. 選取 [如果裝置不相容便封鎖應用程式存取 SharePoint Online]。

7. 按一下 [目標群組] 下方的 [修改]，選取要套用原則的 Azure Active Directory 安全性群組。

8. 按一下 [豁免群組] 下方的 [修改]，選取豁免此原則的 Azure Active Directory 安全性群組。

9. 完成之後，請按一下 [儲存]。

您不需部署條件式存取原則，它會立即生效。

如需如何從 Intune 主控台監視原則的相關資訊，請參閱以 Microsoft Intune 管理 SharePoint Online 存取。

請參閱

Configuration Manager 中的條件存取