Ochrana přístupu k e-mailu na Exchangi Online a v novém Exchangi Online Dedicated s IntuneProtect email access to Exchange Online and new Exchange Online Dedicated with Intune

Platí pro: Intune v klasické konzoleApplies to: Intune in the classic console
Hledáte dokumentaci k Intune v Azure?Looking for documentation about Intune on Azure? Přejděte sem.Go here.

Pomocí Microsoft Intune můžete nakonfigurovat podmíněný přístup pro Exchange Online nebo Exchange Online Dedicated.You can configure conditional access for Exchange Online or Exchange Online Dedicated by using Microsoft Intune. Další informace o tom, jak podmíněný přístup funguje, najdete v článku Ochrana přístupu k e-mailu, O365 a dalším službám.To learn more about how conditional access works, read the Protect access to email, O365, and other services article.

Poznámka

Pokud máte vyhrazené prostředí Exchange Online a potřebujete zjistit, jestli má novou, nebo starší verzi konfigurace, obraťte se na správce svého účtu.If you have an Exchange Online Dedicated environment and need to find out whether it's in the new or the legacy configuration, contact your account manager.

Před zahájenímBefore you begin

Pokud chcete nakonfigurovat podmíněný přístup, musíte:To configure conditional access, you must:

  • Mít předplatné Office 365, které zahrnuje Exchange Online (třeba E3), a uživatelé musí mít licenci Exchange Online.Have an Office 365 subscription that includes Exchange Online (such as E3), and users must be licensed for Exchange Online.

  • Mít předplatné Enterprise Mobility + Security (EMS) nebo předplatné Azure Active Directory (Azure AD) Premium a uživatelé musí mít licenci pro EMS nebo Azure AD.Have an Enterprise Mobility + Security (EMS) subscription or an Azure Active Directory (Azure AD) Premium subscription, and users must be licensed for EMS or Azure AD. Další informace najdete na stránce s cenami služby Enterprise Mobility nebo na stránce s cenami služby Azure Active Directory.For more details, see the Enterprise Mobility pricing page or the Azure Active Directory pricing page.

  • Zvážit konfiguraci volitelného konektoru Intune Service to Service Connector, který zajišťuje připojení Intune k Exchangi Online a prostřednictvím konzoly Intune pomáhá se správou informací o zařízeních.Consider configuring the optional Intune service-to-service connector, which connects Intune to Exchange Online and helps you manage device information through the Intune console. K používání zásad dodržování předpisů nebo zásad podmíněného přístupu tento konektor potřeba není, vyžaduje se ale ke spouštění sestav, které pomáhají hodnotit dopad podmíněného přístupu.You don't need to use the connector to use compliance policies or conditional access policies—but it's required to run reports that help evaluate the impact of conditional access.

    Poznámka

    Pokud chcete používat podmíněný přístup pro Exchange Online i místní Exchange, konektor Intune Service to Service Connector nekonfigurujte.Do not configure the Intune service-to-service connector if you intend to use conditional access for both Exchange Online and Exchange on-premises.

Požadavky na dodržování předpisů zařízeníDevice compliance requirements

Když nakonfigurujete zásady podmíněného přístupu a jejich cílem je určitý uživatel, může se tento uživatel připojit k e-mailu teprve tehdy, když jeho zařízení splňuje tyto požadavky:When you configure conditional access policies and target them to a user, before a user can connect to their email, the device they use must be:

  • Je počítačem připojeným k doméně nebo zaregistrovaným v Intune.A domain-joined PC or enrolled with Intune.

  • Je zaregistrované v Azure Active Directory.Registered in Azure Active Directory. K tomu automaticky dojde při registraci zařízení v Intune.This happens automatically when the device is enrolled with Intune. Kromě toho musí být ve službě Azure Active Directory zaregistrované ID protokolu Exchange ActiveSync klienta.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.

    Pro zákazníky s Intune a Office 365 se služba Azure Active Directory Device Registration aktivuje automaticky.The Azure Active Directory Device Registration service is activated automatically for Intune and Office 365 customers. Zákazníci, kteří už mají nasazenou službu ADFS Device Registration Service, registrovaná zařízení ve svojí místní službě Active Directory neuvidí.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory.

  • Musí vyhovovat všem zásadám dodržování předpisů Intune, které jsou nasazené na toto zařízení nebo připojené k místní doméně.Compliant with any Intune compliance policies that are deployed to that device or domain joined to an on-premises domain.

Když zařízení nedodržuje předpisyWhen the device is not compliant

Pokud se nedodrží zásady podmíněného přístupu, zařízení se okamžitě umístí do karantény, uživatel dostane e-mail a při přihlášení se mu zobrazí následující oznámení o karanténě:If a conditional access policy isn't met, the device gets immediately quarantined, and the user receives an e-mail and sees one of the following quarantine notifications when they sign in:

  • Pokud není zařízení zaregistrované v Intune nebo v Azure Active Directory, zobrazí se zpráva s pokyny k instalaci aplikace Portál společnosti, registraci zařízení a aktivaci e-mailu.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Tento proces také přidruží ID protokolu Exchange ActiveSync zařízení k záznamu v Azure Active Directory.This process also associates the device’s Exchange ActiveSync ID with the record in Azure Active Directory.

  • Pokud je zařízení vyhodnoceno jako zařízení nevyhovující pravidlům zásad dodržování předpisů, přesměruje se daný uživatel na web Portál společnosti Intune nebo na aplikaci Portál společnosti, kde může najít informace o problému a jeho řešení.If the device is evaluated as not compliant with the compliance policy rules, the user is directed to the Intune Company Portal website or the Company Portal app, where they can find information about the problem and how to remediate it.

Jak podmíněný přístup funguje s Exchangem OnlineHow conditional access works with Exchange Online

Následující diagram znázorňuje postup, který zásady podmíněného přístupu používají pro Exchange Online.The following diagram illustrates the flow that is used by conditional access policies for Exchange Online.

Diagram znázorňující průběh rozhodování, jestli zařízení bude mít povolený přístup nebo se zablokuje

Podpora mobilních zařízeníSupport for mobile devices

Můžete chránit přístup k e-mailu na Exchangi Online z Outlooku a dalších aplikací, které používají moderní ověřování.You can protect access to Exchange Online email from Outlook and other apps that use modern authentication. Podporované systémy:The following are supported:

  • Android 4.0 a novější, Samsung Knox Standard 4.0 a novější a Android for WorkAndroid 4.0 and later, Samsung Knox Standard 4.0 and later, and Android for Work
  • iOS 8.0 a novějšíiOS 8.0 and later

Moderní ověřování integruje do klientů Microsoft Office přihlašování založené na knihovně ADAL (Active Directory Authentication Library).Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Microsoft Office clients.

  • Ověřování ADAL umožňuje klientům Office používat ověřování založené na prohlížeči (označuje se také jako pasivní ověřování).The ADAL-based authentication enables Office clients to engage in browser-based authentication (also known as passive authentication). Aby bylo možné uživatele ověřit, uživatel se přesměruje na přihlašovací webovou stránku.To authenticate, a user is directed to a sign-in web page.
  • Tato nová metoda přihlašování umožňuje využívat lepší způsoby zabezpečení, jako jsou vícefaktorové ověřování a ověřování na základě certifikátu.This new sign-in method enables better security like multi-factor authentication and certificate-based authentication. Podrobnější informace najdete v článku Jak funguje moderní ověřování.For more detailed information, see How modern authentication works. Můžete nastavit pravidla deklarací služby AD FS pro blokování jiných než moderních ověřovacích protokolů.You can set up ADFS claim rules to block non-modern authentication protocols. Podrobné pokyny obsahuje Scénář 3: Blokování veškerého přístupu k O365 kromě aplikací využívajících prohlížeč.Detailed instructions are provided in Scenario 3: Block all access to O365 except browser-based applications.

Můžete chránit přístup k aplikaci Outlook Web Access (OWA) na Exchangi Online, když k ní uživatel přistupuje z prohlížeče na zařízeních s iOSem a Androidem.You can protect access to Outlook Web Access (OWA) on Exchange Online when a user accesses it from a browser on iOS and Android devices. Přístup je povolený jenom z podporovaných prohlížečů na vyhovujících zařízeních:Access is only allowed from supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Intune Managed Browser (iOS, Android 5.0 a novější)Intune Managed Browser (iOS, Android 5.0 and later)

    Důležité

    Nepodporované prohlížeče jsou zablokované.Unsupported browsers are blocked.

Aplikaci OWA pro iOS a Android je možné upravit tak, aby nepoužívala moderní ověřování, a proto není podporovaná. Přístup z aplikace OWA je potřeba zablokovat pravidly deklarací identity ADFS.The OWA app for iOS and Android can be modified not to use modern authentication, and it isn't supported. Access from the OWA app must be blocked through ADFS claim rules.

Přístup k e-mailu na Exchangi můžete chránit z integrovaného e-mailového klienta Exchange ActiveSync na následujících platformách:You can protect access to Exchange email from the built-in Exchange ActiveSync email client on the following platforms:

  • Android 4.0 nebo novější, Samsung Knox Standard 4.0 nebo novějšíAndroid 4.0 and later, Samsung Knox Standard 4.0 and later

  • iOS 8.0 a novějšíiOS 8.0 and later

  • Windows Phone 8.1 nebo novějšíWindows Phone 8.1 and later

Podpora počítačůSupport for PCs

Podmíněný přístup se dá nastavit pro počítače, které používají desktopové aplikace Office pro přístup k Exchangi Online a SharePointu Online a splňují následující požadavky:You can set up conditional access for PCs that run Office desktop applications to access Exchange Online and SharePoint Online for PCs that meet the following requirements:

  • V počítači musí být systém Windows 7.0, Windows 8.1 nebo Windows 10.The PC must be running Windows 7.0, Windows 8.1, or Windows 10.

    Poznámka

    Pokud chcete použít podmíněný přístup u počítačů s Windows 10, musíte je aktualizovat na verzi Windows 10 Anniversary Update.To use conditional access with Windows 10 PCs, you must update those PCs with the Windows 10 Anniversary Update.

    Počítač musí být buď připojený k doméně, nebo musí splňovat pravidla zásad dodržování předpisů.The PC must either be domain joined or compliant with the compliance policy rules.

    Počítač splňuje předpisy tehdy, když je zaregistrovaný v Intune a vyhovuje zásadám.In order to be considered compliant, the PC must be enrolled in Intune and comply with the policies.

    U počítačů připojených k doméně musíte podmíněný přístup nastavit tak, aby se zařízení automaticky zaregistrovalo do služby Azure Active Directory.For domain-joined PCs, you must set up conditional access to automatically register the device with Azure Active Directory.

    Poznámka

    Podmíněný přístup není podporovaný na počítačích, ve kterých běží klient Intune pro počítače.Conditional access isn't supported on PCs that are running the Intune computer client.

  • Musí být povolené moderní ověřování Office 365 a musí být nainstalované všechny nejnovější aktualizace Office.Office 365 modern authentication must be enabled and have all the latest Office updates.

    Moderní ověřování integruje do klientů Office 2013/Windows přihlašování založené na knihovně ADAL (Active Directory Authentication Library).Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Office 2013/Windows clients. Umožňuje využívat lepší způsoby zabezpečení, jako jsou vícefaktorové ověřování a ověřování na základě certifikátu.It enables better security like multi-factor authentication and certificate-based authentication.

  • Nastaví se pravidla deklarací služby AD FS pro blokování jiných než moderních ověřovacích protokolů.ADFS claim rules are set up to block non-modern authentication protocols. Podrobné pokyny obsahuje Scénář 3: Blokování veškerého přístupu k O365 kromě aplikací využívajících prohlížeč.Detailed instructions are provided in Scenario 3: Block all access to O365 except browser based applications.

Konfigurace podmíněného přístupuConfigure conditional access

Krok 1: Konfigurace a nasazení zásad dodržování předpisůStep 1: Configure and deploy a compliance policy

Ujistěte se, že jste pro skupiny uživatelů, které získají zásady podmíněného přístupu, vytvořili a nasadili zásady dodržování předpisů.Make sure you create and deploy a compliance policy to the user groups that will also get the conditional access policy.

Důležité

Pokud jste zásady dodržování předpisů nenasadili, budou se zařízení považovat za zařízení v souladu s předpisy a bude jim povolen přístup k Exchangi.If you haven't deployed a compliance policy, the devices are considered compliant and are allowed access to Exchange.

Krok 2: Vyhodnoťte efekt zásad podmíněného přístupu.Step 2: Evaluate the effect of the conditional access policy

Pomocí Sestav inventáře mobilních zařízení můžete identifikovat zařízení, která mohou mít po nakonfigurování zásad podmíněného přístupu blokovaný přístup k Exchangi.You can use the Mobile Device Inventory Reports to identify the devices that might be blocked from accessing Exchange after you configure the conditional access policy.

Za tímto účelem nakonfigurujte připojení mezi Intune a Exchangem pomocí konektoru Microsoft Intune service-to-service connector.To do this, configure a connection between Intune and Exchange by using the Microsoft Intune service-to-service connector.

  1. Přejděte na Sestavy > Sestavy inventáře mobilních zařízení.Navigate to Reports > Mobile Device Inventory Reports. Snímek obrazovky se stránkou Sestavy inventáře mobilních zařízeníScreenshot of the Mobile Device Inventory Reports page

  2. V parametrech sestavy vyberte skupinu Intune, kterou chcete vyhodnotit, a případně platformy zařízení, na které se zásady budou vztahovat.In the report parameters, select the Intune group that you want to evaluate and, if required, the device platforms that the policy will apply to.

  3. Po dokončení výběru kritérií vyhovujících potřebám vaší organizace vyberte Zobrazit sestavu.After you’ve selected the criteria that meets your organization’s needs, choose View Report. Prohlížeč sestav se otevře v novém okně.The Report Viewer opens in a new window. Snímek obrazovky s ukázkovou sestavou inventáře mobilních zařízeníScreenshot of an sample mobile device inventory report

Po spuštění sestavy zkontrolujte tyto čtyři sloupce, abyste zjistili, jestli bude uživatel blokovaný:After you run the report, examine these four columns to determine whether a user will be blocked:

  • Kanál pro správu: Určuje, jestli se zařízení spravuje ve službě Intune, Exchange ActiveSync, nebo v obou.Management Channel: Indicates whether the device is managed by Intune, Exchange ActiveSync, or both.

  • Registrováno v AAD: Určuje, jestli je zařízení zaregistrované v Azure Active Directory (označuje se jako připojení k pracovišti).AAD Registered: Indicates whether the device is registered with Azure Active Directory (known as Workplace Join).

  • Vyhovující předpisům: Určuje, jestli zařízení splňuje zásady dodržování předpisů, které jste nasadili.Compliant: Indicates whether the device is compliant with any compliance policies that you deployed.

  • ID protokolu Exchange ActiveSync: Zařízení s iOSem a Androidem musí mít k záznamu o registraci zařízení v Azure Active Directory přiřazené vlastní ID protokolu Exchange ActiveSync.Exchange ActiveSync ID: iOS and Android devices are required to have their Exchange ActiveSync ID associated with the device registration record in Azure Active Directory. K tomu dojde, když uživatel vybere odkaz Aktivace e-mailu v e-mailu s oznámením o umístění do karantény.This happens when a user chooses the Activate Email link in the quarantine email.

    Poznámka

    Zařízení Windows Phone v tomto sloupci vždycky zobrazí hodnotu.Windows Phone devices always display a value in this column.

Zařízením, která jsou součástí cílové skupiny, se bude blokovat přístup k Exchangi, pokud se hodnoty ve sloupcích nebudou shodovat s hodnotami uvedenými v této tabulce:Devices that are part of a targeted group are blocked from accessing Exchange unless the column values match those listed in the following table:


Kanál pro správuManagement Channel Zaregistrováno v AADAAD Registered VyhovujeCompliant ID protokolu Exchange ActiveSyncExchange ActiveSync ID Výsledná akceResulting action
Spravuje se v Microsoft Intune a Exchange ActiveSyncManaged by Microsoft Intune and Exchange ActiveSync AnoYes AnoYes Je zobrazená hodnotaA value is displayed Přístup k e-mailu je povolenýEmail access is allowed
Jakákoli jiná hodnotaAny other value NeNo NeNo Není zobrazená žádná hodnotaNo value is displayed Přístup k e-mailu je blokovanýEmail access is blocked

Obsah sestavy můžete vyexportovat a použít sloupec E-mailová adresa k informování uživatelů o tom, že budou blokovaní.You can export the contents of the report and use the Email Address column to tell your users that they will be blocked.

Krok 3: Nakonfigurujte skupiny uživatelů pro zásady podmíněného přístupu.Step 3: Configure user groups for the conditional access policy

Zásady podmíněného přístupu jsou cíleny na různé skupiny uživatelů, které jsou skupinami zabezpečení Azure Active Directory.Conditional access policies are targeted to different Azure Active Directory security groups of users. Ze zásad podmíněného přístupu můžete také určité skupiny uživatelů vyloučit.You can also exempt certain user groups from a conditional access policy. Pokud na uživatele cílí zásady, musí každé jím používané zařízení zásady splňovat, aby měl přístup k e-mailu.When a user is targeted by a policy, each device that they use must be compliant in order to access email.

Tyto skupiny můžete nakonfigurovat v Centru pro správu Office 365nebo na Portálu účtů Intune.You can configure these groups in the Office 365 admin center or in the Intune account portal.

V každé zásadě můžete určit dva typy skupin:You can specify two group types in each policy:

  • Cílové skupiny: Skupiny uživatelů, pro které zásady platíTargeted groups: User groups that the policy is applied to.

  • Vyloučené skupiny: Skupiny uživatelů, které jsou ze zásad vyloučené (volitelné)Exempted groups: User groups that are exempt from the policy (optional).

Pokud je uživatel v obou skupinách, bude ze zásad vyloučený.If a user is in both groups, they are exempt from the policy.

Vyhodnocují se jenom skupiny, které jsou cílem zásad podmíněného přístupu.Only the groups that are targeted by the conditional access policy are evaluated.

Krok 4: Konfigurace zásad podmíněného přístupuStep 4: Configure the conditional access policy

Poznámka

Zásady podmíněného přístupu můžete vytvořit i v konzole pro správu Azure AD.You can also create a conditional access policy in the Azure AD management console. Přes konzolu pro správu Azure AD můžete vytvářet i zásady podmíněného přístupu pro zařízení Intune (v Azure AD označované jako zásady podmíněného přístupu založené na zařízení), kromě jiných zásad podmíněného přístupu, jako je například vícefaktorové ověřování.The Azure AD management console lets you create an Intune device conditional access policy (referred to as the device-based conditional access policy in Azure AD), in addition to other conditional access policies like multi-factor authentication.

Také můžete nastavit zásady podmíněného přístupu pro podnikové aplikace třetích stran, které Azure AD podporuje, například Salesforce nebo Box.You can also set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. Další informace najdete v tématu Jak v Azure Active Directory nastavit zásady podmíněného přístupu založené na zařízení a získat tak kontrolu přístupu k aplikacím připojeným k Azure Active Directory.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory-connected applications.

  1. V konzole pro správu Microsoft Intune vyberte Zásady > Podmíněný přístup > Zásady pro Exchange Online.In the Microsoft Intune administration console, choose Policy > Conditional Access > Exchange Online Policy.

  2. Na stránce Zásady pro Exchange Online zvolte možnost Zapnout zásady podmíněného přístupu pro Exchange Online.On the Exchange Online Policy page, choose Enable conditional access policy for Exchange Online.

    Poznámka

    Pokud jste zásady dodržování předpisů nenasadili, budou se zařízení považovat za vyhovující.If you haven't deployed a compliance policy, devices are treated as compliant.

    Bez ohledu na stav dodržování předpisů se u všech uživatelů, na které jsou zásady zacílené, bude vyžadovat, aby svá zařízení zaregistrovali v Intune.Regardless of the compliance state, all users who are targeted by the policy are required to enroll their devices with Intune.

  3. V části Přístup k aplikaci máte pro aplikace, které využívají moderní ověřování, dva způsoby volby platforem, pro které mají zásady platit.Under Application access, for apps that use modern authentication, you have two ways of choosing which platforms the policy should apply to. Podporovány jsou mimo jiné následující platformy: Android, iOS, Windows a Windows Phone.Supported platforms include Android, iOS, Windows, and Windows Phone.

    • Všechny platformyAll platforms

      Tato volba vyžaduje, aby každé zařízení používané k přístupu k Exchangi Online bylo zaregistrované v Intune a dodržovalo tyto zásady.This requires that any device that is used to access Exchange Online is enrolled in Intune and compliant with the policies. Všechny klientské aplikace používající moderní ověřování podléhají zásadám podmíněného přístupu.Any client application that uses modern authentication is subject to the conditional access policy. Pokud Intune příslušnou platformu aktuálně nepodporuje, je přístup k Exchangi Online zablokovaný.If the platform is currently not supported by Intune, access to Exchange Online is blocked.

      Výběr volby Všechny platformy způsobí, že Azure Active Directory tyto zásady uplatní na všechny požadavky na ověření bez ohledu na platformu, která je ohlášena klientskou aplikací.Selecting the All platforms option means that Azure Active Directory applies this policy to all authentication requests, regardless of the platform that is reported by the client application. Všechny platformy musí být zaregistrované a vyhovující, s těmito výjimkami:All platforms are required to enroll and become compliant, except for:

      • Zařízení s Windows, která musejí být zaregistrovaná a vyhovující, připojená k doméně s místním Active Directory nebo obojíWindows devices, which are required to be enrolled and compliant, domain joined with on-premises Active Directory, or both.
      • Nepodporované platformy jako Mac OS.Unsupported platforms like Mac OS. Aplikace, které používají moderní ověřování a pocházejí z těchto platforem, však budou i nadále zablokované.However, apps that use modern authentication coming from these platforms is still blocked.
    • Specifické platformySpecific platforms

      Zásady podmíněného přístupu platí pro každou klientskou aplikaci, která na určených platformách zařízení používá moderní ověřování.The conditional access policy applies to any client app that is using modern authentication on the device platforms that you specify.

  4. V části Outlook Web Access (OWA) je možné povolit přístup k Exchangi Online pouze prostřednictvím podporovaných prohlížečů: Safari (iOS) a Chrome (Android).Under Outlook Web Access (OWA), you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS) and Chrome (Android). Přístup z jiných prohlížečů je blokovaný.Access from other browsers is blocked. Omezení platformy, která jste vybrali pro přístup k aplikaci pro Outlook, se použijí i zde.The same platform restrictions that you selected for Application access for Outlook also apply here.

    V zařízeních s Androidem musí uživatelé povolit přístup z prohlížeče.On Android devices, users must enable browser access. Uživatel proto musí na zaregistrovaném zařízení povolit možnost Povolit přístup z prohlížeče následujícím způsobem:To do this, the user must enable the Enable Browser Access option on the enrolled device as follows:

    1. Otevřete aplikaci Portál společnosti.Open the Company Portal app.
    2. Přejděte na stránku Nastavení prostřednictvím tlačítka se třemi tečkami (...) nebo hardwarového tlačítka nabídky.Go to the Settings page from the ellipsis (…) or the hardware menu button.
    3. Stiskněte tlačítko Povolit přístup z prohlížeče.Press the Enable Browser Access button.
    4. V prohlížeči Chrome se odhlaste z Office 365 a znovu spusťte Chrome.In the Chrome browser, sign out of Office 365 and restart Chrome.

    V platformách iOS a Android kvůli identifikaci zařízení použitého pro přístup ke službě vydá Azure Active Directory pro příslušné zařízení certifikát TLS (Transport Layer Security).On iOS and Android platforms, to identify the device that is used to access the service, Azure Active Directory issues a Transport Layer Security (TLS) certificate to the device. Zařízení zobrazí certifikát s výzvou pro uživatele, aby vybral certifikát, jak je vidět na následujících snímcích obrazovky.The device displays the certificate with a prompt to the user to select the certificate, as shown in the following screenshots. Aby mohl uživatel dál používat prohlížeč, musí tento certifikát vybrat.The user must select this certificate before they can continue to use the browser.

    iOSiOS

    Snímek obrazovky s výzvou k výběru certifikátu na iPadu

    AndroidAndroid

    snímek obrazovky s výzvou ohledně certifikátu řádku v zařízení s Androidem

  5. V části Aplikace Exchange ActiveSync se můžete rozhodnout blokovat zařízením, která nesplňují zásady dodržování předpisů, přístup na Exchange Online.Under Exchange ActiveSync apps, you can choose to block noncompliant devices from accessing Exchange Online. Můžete také zvolit, jestli chcete povolit nebo blokovat přístup k e-mailu, pokud zařízení neběží na podporované platformě.You can also select whether to allow or block access to email when the device isn't running a supported platform. Podporovány jsou mimo jiné následující platformy: Android, iOS, Windows a Windows Phone.Supported platforms include Android, iOS, Windows, and Windows Phone.

    Aplikace Exchange Active Sync na zařízeních s Androidem for Work:Exchange Active Sync apps on Android for Work devices:

    • Na zařízeních s Androidem for Work se v pracovním profilu podporují jenom aplikace Gmail a Nine Work.Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Aby na zařízeních s Androidem for Work fungoval podmíněný přístup, je nutné nasadit e-mailový profil pro aplikaci Gmail nebo Nine Work a zároveň ji nasadit jako požadovanou instalaci.For conditional access to work on Android for Work devices, you must deploy an email profile for the Gmail or Nine Work app, and also deploy it as a required installation.
  6. V části Cílové skupiny vyberte skupiny zabezpečení uživatelů Active Directory, na které se zásady vztahují.Under Targeted Groups, select the Active Directory security groups of users that the policy applies to. Můžete cílit na všechny uživatele nebo vybraný seznam skupin uživatelů.You can either choose to target all users or a selected list of user groups. Snímek obrazovky se stránkou zásad podmíněného přístupu Exchange Online, na které se zobrazují možnosti Cílové skupiny a Vyloučené skupinyScreenshot of the Exchange Online conditional access policy page that shows the Targeted and Exempted group options

    Poznámka

    U uživatelů, kteří jsou v cílových skupinách, nahrazují zásady Intune pravidla a zásady Exchange.For users that are in the Targeted groups, the Intune polices replace Exchange rules and policies.

    Exchange bude vynucovat pravidla Exchange pro povolování, blokování a karanténu a zásady Exchange jenom v těchto případech:Exchange only enforces the Exchange allow, block, and quarantine rules, and Exchange policies if:

    • Uživatel nemá licenci na službu Intune.A user isn't licensed for Intune.
    • Uživatel má licenci na službu Intune, ale nepatří do žádné skupiny zabezpečení, na kterou cílí zásady podmíněného přístupu.A user is licensed for Intune, but the user doesn't belong to any security groups that are targeted in the conditional access policy.
  7. V části Vyloučené skupinyvyberte skupiny zabezpečení Active Directory uživatelů, kteří jsou z těchto zásad vyloučení.Under Exempted Groups, select the Active Directory security groups of users that are exempt from this policy. Pokud je uživatel v cílových skupinách i ve vyloučených skupinách, bude ze zásad vyloučený.If a user is in both the targeted and exempted groups, they are exempt from the policy.

  8. Po dokončení vyberte Uložit.When you're done, choose Save.

  • Zásady podmíněného přístupu nemusíte nasazovat, projeví se okamžitě.You don't have to deploy the conditional access policy—it takes effect immediately.

  • Jakmile uživatel vytvoří e-mailový účet, zařízení se okamžitě zablokuje.After a user creates an email account, the device is blocked immediately.

  • Pokud blokovaný uživatel zaregistruje zařízení v Intune a odstraní problémy, které způsobují, že zařízení nevyhovuje zásadám dodržování předpisů, odblokuje se přístup k e-mailu během dvou minut.If a blocked user enrolls the device with Intune and fixes any noncompliance issues, email access is unblocked within two minutes.

  • Pokud uživatel zruší registraci svého zařízení, e-mail se zablokuje zhruba po šesti hodinách.If the user unenrolls their device, email is blocked after around six hours.

Pokud se chcete podívat na nějaké ukázkové scénáře konfigurace zásad podmíněného přístupu, kterými se dá přístup pro zařízení chránit, prohlédněte si Ukázkové scénáře ochrany přístupu k e-mailu.To see some example scenarios of how you would configure a conditional access policy to protect device access, see Protect email access example scenarios.

Sledování dodržování předpisů a zásad podmíněného přístupuMonitor the compliance and conditional access policies

Zobrazení zařízení, která jsou blokovaná systémem ExchangeTo view devices that are blocked from Exchange

Zvolením dlaždice Zařízení blokovaná systémem Exchange na řídicím panelu Intune zobrazíte počet blokovaných zařízení a odkazy na další informace.On the Intune dashboard, choose the Blocked Devices from Exchange tile to show the number of blocked devices and links to more information. Snímek obrazovky řídicího panelu Intune znázorňující počet zařízení se zablokovaným přístupem k ExchangiScreenshot of the Intune dashboard showing the number of devices that are blocked from accessing Exchange

Další krokyNext steps

Pokud chcete odeslat svůj názor na produkt, navštivte Intune Feedback