Ochrana přístupu k SharePointu Online pomocí Microsoft IntuneProtect access to SharePoint Online with Microsoft Intune

Platí pro: Intune v klasické konzoleApplies to: Intune in the classic console
Hledáte dokumentaci k Intune v Azure?Looking for documentation about Intune on Azure? Přejděte sem.Go here.

Podmíněný přístup Microsoft Intune se používá k řízení přístupu k souborům umístěným na SharePointu Online.Use Microsoft Intune conditional access to control access to files that are located on SharePoint Online. Podmíněný přístup má dvě součásti:Conditional access has two components:

  • Zásady dodržování předpisů zařízení, které zařízení musí dodržovat, aby mohlo být považované za vyhovujícíA device compliance policy that the device must comply with in order to be considered compliant.
  • Zásady podmíněného přístupu, kde můžete určit podmínky, které zařízení musí splňovat pro přístup ke služběA conditional access policy where you specify the conditions that the device must meet in order to access the service. Další informace o tom, jak podmíněný přístup funguje, najdete v tématu Ochrana přístupu k e-mailu, O365 a dalším službám.To learn more about how conditional access works, read the Protect access to email, O365, and other services topic.

Nasadíte zásady dodržování předpisů a podmíněného přístupu pro uživatele.You deploy the compliance and conditional access policies to users. Dodržování zásad se kontroluje u každého zařízení, které uživatel používá pro přístup ke službám.Any device that a user uses to access the services is checked for compliance with the policies.

Když se uživatel na svém zařízení pokusí připojit k souboru pomocí podporované aplikace, jako je třeba OneDrive, dojde k následujícímu vyhodnocení:When a user attempts to connect to a file by using a supported app such as OneDrive on their device, the following evaluation occurs:

Diagram zobrazující průběh rozhodování, jestli má zařízení povolený přístup k SharePointu, nebo je zablokované

Dřív než nakonfigurujete zásady podmíněného přístupu pro SharePoint Online, musíte:Before configuring a conditional access policy for SharePoint Online, you must:

Pro připojení k požadovaným souborům zařízení musí být:To connect to the required files, a device must be:

  • Počítačem zaregistrovaným v Intune nebo připojeným k doméně.Enrolled with Intune or a domain-joined PC.

  • Zaregistrované v Azure Active Directory (k tomu automaticky dojde při registraci zařízení v Intune).Registered in Azure Active Directory (this happens automatically when the device is enrolled with Intune).

  • Musí vyhovovat všem nasazeným zásadám dodržování předpisů Intune.Compliant with any deployed Intune compliance policies.

Stav zařízení je uložený ve službě Azure Active Directory, která uděluje nebo blokuje přístup k souborům na základě podmínek, které zadáte.The device state is stored in Azure Active Directory, which grants or blocks access to the files, based on the conditions that you specify.

Pokud není některá podmínka splněná, zobrazí se uživateli při přihlášení jedna z následujících zpráv:If a condition isn't met, the user sees one of the following messages when they sign in:

  • Pokud zařízení není zaregistrované v Intune nebo v Azure Active Directory, zobrazí se zpráva s pokyny pro instalaci aplikace Portál společnosti a registraci.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app and enroll.

  • Pokud zařízení nedodržuje předpisy, zobrazí se zpráva, která uživatele přesměruje na web Portál společnosti Intune, kde najde informace o problému a jeho řešení.If the device isn't compliant, a message is displayed that directs the user to the Intune Company Portal website, where they can find information about the problem and how to remediate it.

Podmíněný přístup se nevztahuje na externí sdílení.Conditional access doesn't apply to external sharing. Informace o tom, jak zabránit externímu sdílení ve vašem tenantovi nebo kolekci webů, najdete v tématu Správa externích sdílení pro prostředí SharePointu Online.To learn how to prevent external sharing in your tenant or site collection, see Manage external sharing for your SharePoint Online environment.

Poznámka

Pokud povolíte podmíněný přístup pro SharePoint Online, doporučujeme zakázat doménu v seznamu, jak je popsané v tématu Remove-SPOTenantSyncClientRestriction.If you enable conditional access for SharePoint Online, we recommend that you disable the domain on the list, as described in the Remove-SPOTenantSyncClientRestriction topic.

Podpora mobilních zařízeníSupport for mobile devices

Podporované systémy:The following are supported:

  • iOS 8.0 a novějšíiOS 8.0 and later
  • Android 4.0 nebo novější, Samsung Knox Standard 4.0 nebo novějšíAndroid 4.0 and later, Samsung Knox Standard 4.0 or later
  • Windows Phone 8.1 nebo novějšíWindows Phone 8.1 and later

Můžete chránit přístup k SharePointu Online, když k němu zařízení s iOSem a Androidem přistupují z prohlížeče.You can protect access to SharePoint Online when iOS and Android devices access it from a browser. Přístup je povolený jenom z podporovaných prohlížečů na vyhovujících zařízeních:Access is only allowed from supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Intune Managed Browser (iOS a Android 5.0 nebo novější)Intune Managed Browser (iOS and Android 5.0 and later)

Nepodporované prohlížeče jsou zablokované.Unsupported browsers are blocked.

Podpora počítačůSupport for PCs

Podporované systémy:The following are supported:

  • Windows 8.1 nebo novější (když jsou počítače zaregistrované v Intune)Windows 8.1 and later (when PCs are enrolled with Intune)
  • Windows 7.0, Windows 8.1 nebo Windows 10 (když jsou počítače připojené k doméně)Windows 7.0, Windows 8.1, or Windows 10 (when PCs are domain joined),

    Poznámka

    Pokud chcete použít podmíněný přístup u počítačů s Windows 10, musíte je aktualizovat na verzi Windows 10 Anniversary Update.To use conditional access with Windows 10 PCs, you must update those PCs with the Windows 10 Anniversary Update.

    • U počítačů připojených k doméně musíte nastavit automatickou registraci v Azure Active Directory.You must set up domain-joined PCs to automatically register with Azure Active Directory. Pro zákazníky Intune a Office 365 je služba Azure AD Device Registration Service aktivovaná automaticky.The Azure AD Device Registration service will be activated automatically for Intune and Office 365 customers. Zákazníci, kteří už mají nasazenou službu ADFS Device Registration Service, registrovaná zařízení ve svojí místní službě Active Directory neuvidí.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory.

    • Pokud je zásada nastavená tak, aby vyžadovala připojení k doméně, a počítač k doméně připojený není, zobrazí se zpráva, aby uživatel kontaktoval správce IT.If the policy is set to require a domain join and the PC isn't domain joined, a message is displayed to contact the IT admin.

    • Pokud je zásada nastavená tak, aby vyžadovala připojení k doméně nebo splňování předpisů, a počítač ani jeden z těchto požadavků nesplňuje, zobrazí se zpráva s pokyny, jak nainstalovat aplikaci Portál společnosti a provést registraci.If the policy is set to require a domain join or compliance, and the PC doesn't meet either requirement, a message is displayed with instructions about how to install the Company Portal app and enroll.

      Poznámka

      Podmíněný přístup není podporovaný na počítačích, ve kterých běží klient Intune pro počítače.Conditional access is not supported on PCs that are running the Intune computer client.

Musí být povolené moderní ověřování Office 365 a musí být nainstalované všechny nejnovější aktualizace Office.Office 365 modern authentication must be enabled and have all the latest Office updates.

Moderní ověřování poskytuje klientům Office 2013 Windows přihlašování založené na ADAL (Active Directory Authentication Library) a umožňuje lepší zabezpečení, jako je vícefaktorové ověřování a ověřování prostřednictvím certifikátu.Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Office 2013 Windows clients and enables better security, like multi-factor authentication and certificate-based authentication.

Konfigurace podmíněného přístupu pro SharePoint OnlineConfigure conditional access for SharePoint Online

Krok 1: Konfigurace skupin zabezpečení služby Active DirectoryStep 1: Configure Active Directory security groups

Než začnete, nakonfigurujte pro skupiny zabezpečení služby Azure Active Directory zásadu podmíněného přístupu.Before you start, configure Azure Active Directory security groups for the conditional access policy. Tyto skupiny můžete nakonfigurovat v Centru pro správu Office 365nebo na Portálu účtů Intune.You can configure these groups in the Office 365 admin center or in the Intune account portal. Tyto skupiny se použijí k zahrnutí nebo vyloučení uživatelů ze zásad.You use these groups to target or exempt users from the policy. Pokud na uživatele cílí zásada, musí každé jím používané zařízení zásadu splňovat, aby mělo přístup k prostředkům.When a user is targeted by a policy, each device that they use must be compliant in order to access resources.

V rámci zásad SharePointu Online můžete zadat dva typy skupin:You can specify two group types in a SharePoint Online policy:

  • Cílové skupiny: Obsahují skupiny uživatelů, pro které zásady platí.Targeted groups: Contains groups of users that the policy applies to.

  • Vyloučené skupiny: Obsahují skupiny uživatelů, kteří jsou ze zásady vyloučení.Exempted groups: Contains groups of users that are exempt from the policy.

Pokud je uživatel v obou skupinách, bude ze zásad vyloučený.If a user is in both groups, they are exempt from the policy.

Krok 2: Konfigurace a nasazení zásad dodržování předpisůStep 2: Configure and deploy a compliance policy

Pokud jste to ještě neudělali, vytvořte zásadu dodržování předpisů a nasaďte ji pro uživatele, na které cílí zásada SharePointu Online.If you haven't already done so, create a compliance policy, and deploy it to the users that the SharePoint Online policy targets.

Poznámka

Zásady dodržování předpisů se nasazují do skupin Intune, zásady podmíněného přístupu cílí na skupiny zabezpečení služby Azure Active Directory.While compliance policies are deployed to Intune groups, conditional access policies are targeted to Azure Active Directory security groups.

Podrobnosti o konfiguraci zásad dodržování předpisů najdete v tématu o vytvoření zásad dodržování předpisů.For details about how to configure the compliance policy, see Create a compliance policy.

Důležité

Pokud jste zásady dodržování předpisů nenasadili, jsou zařízení považována za zařízení vyhovující zásadám dodržování předpisů.If you haven't deployed a compliance policy, the devices are treated as compliant.

Až budete připravení, pokračujte Krokem 3.When you're ready, continue to Step 3.

Krok 3: Konfigurace zásad SharePointu OnlineStep 3: Configure the SharePoint Online policy

V dalším kroku nakonfigurujte zásadu, která bude vyžadovat, aby měla k SharePointu Online přístup jenom spravovaná zařízení, která jsou v souladu s předpisy.Next, configure the policy to require that only managed and compliant devices can access SharePoint Online. Tato zásada je uložená v Azure Active Directory.This policy is stored in Azure Active Directory.

Poznámka

Můžete také vytvořit zásady podmíněného přístupu pro zařízení s Intune v konzole pro správu Azure AD (zásady se v Azure AD označují jako zásady podmíněného přístupu na základě zařízení).You can also create a conditional access policy for Intune devices in the Azure AD management console (the policy is referred to as the device-based conditional access policy in Azure AD). Kromě toho můžete vytvořit další zásady podmíněného přístupu, třeba vícefaktorové ověřování.In addition, you can create other conditional access policies like multi-factor authentication. Také můžete nastavit zásady podmíněného přístupu pro podnikové aplikace třetích stran, které Azure AD podporuje, například Salesforce nebo Box.You can also set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. Další informace najdete v tématu Jak ve službě Azure Active Directory nastavit zásady podmíněného přístupu založené na zařízení a získat tak kontrolu přístupu do aplikací napojených na službu Azure Active Directory.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory connected applications.

  1. V konzole pro správu Microsoft Intune zvolte Zásady > Podmíněný přístup > Zásady pro SharePoint Online.In the Microsoft Intune administration console, choose Policy > Conditional Access > SharePoint Online Policy. Snímek stránky zásad SharePointu OnlineScreenshot of the SharePoint Online Policy page

  2. Vyberte Zapnout zásady podmíněného přístupu pro SharePoint Online.Select Enable conditional access policy for SharePoint Online.

  3. V části Přístup k aplikaci můžete použít zásady podmíněného přístupu na:Under Application access, you can choose to apply the conditional access policy to:

    • Všechny platformyAll platforms

      To vyžaduje, aby každé zařízení používané pro přístup k SharePointu Online bylo registrované v Intune a dodržovalo tyto zásady.This requires that any device used to access SharePoint Online is enrolled in Intune and is compliant with the policies. Všechny klientské aplikace používající moderní ověřování podléhají zásadám podmíněného přístupu.Any client application that uses modern authentication is subject to the conditional access policy. Pokud Intune příslušnou platformu aktuálně nepodporuje, přístup k SharePointu Online je zablokovaný.If the platform isn't currently supported by Intune, access to SharePoint Online is blocked.

      Výběr volby Všechny platformy způsobí, že Azure Active Directory tyto zásady uplatní na všechny požadavky na ověření bez ohledu na platformu, která je ohlášena klientskou aplikací.Selecting the All platforms option means that Azure Active Directory applies this policy to all authentication requests, regardless of the platform that is reported by the client application. Všechny platformy musí být zaregistrované a vyhovující s těmito výjimkami:All platforms are required to be enrolled and become compliant, except for:

      • Zařízení s Windows, která musejí být zaregistrovaná a vyhovující, připojená k doméně s místním Active Directory nebo obojíWindows devices, which are required to be enrolled and compliant, domain joined with on-premises Active Directory, or both.
      • Nepodporované platformy jako Mac.Unsupported platforms like Mac. Aplikace používající moderní ověřování pocházející z těchto platforem jsou ale i nadále zablokované.However, apps using modern authentication that come from these platforms are still blocked.
    • Specifické platformySpecific platforms

      Zásady podmíněného přístupu platí pro každou klientskou aplikaci, která na určených platformách zařízení používá moderní ověřování.The conditional access policy applies to any client app that is using modern authentication on the platforms that you specify.

      Počítače s Windows musí být připojené k doméně nebo zaregistrované v Intune a dodržovat předpisy.For Windows PCs, a PC must either be domain joined, or enrolled with Intune and compliant. Můžete nastavit následující požadavky:You can set the following requirements:

      • Zařízení musí být připojené k doméně nebo splňovat předpisy.Devices must be domain joined or compliant. Tuto možnost vyberte, pokud počítače musí být buď připojené k doméně, nebo vyhovovat zásadám nastaveným v Intune.Choose this option to require that PCs must either be domain joined or compliant with the policies that are set in Intune. Pokud počítač některý z těchto požadavků nesplňuje, zobrazí se uživateli výzva registraci zařízení v Intune.If a PC doesn't meet either of these requirements, the user is prompted to enroll the device with Intune.

      • Zařízení musí splňovat předpisy.Devices must be compliant. Tuto možnost vyberte, pokud počítače musí být zaregistrované v Intune a dodržovat předpisy.Choose this option to require that PCs must be enrolled in Intune and compliant. Pokud počítač není zaregistrovaný, zobrazí se zpráva s pokyny, jak registraci provést.If a PC isn't enrolled, a message with instructions on how to enroll is displayed.

  4. V části Přístup z prohlížeče pro SharePoint Online a OneDrive pro firmy můžete zvolit povolení přístupu k Exchangi Online jen prostřednictvím podporovaných prohlížečů: Safari (iOS) a Chrome (Android).Under Browser access to SharePoint Online and OneDrive for Business, you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS) and Chrome (Android). Přístup z jiných prohlížečů je blokovaný.Access from other browsers is blocked. Omezení platformy, která jste vybrali pro přístup z aplikace pro OneDrive, budou použitá i zde.The same platform restrictions that you selected for Application access for OneDrive also apply here.

    V zařízeních s Androidem musí uživatelé povolit přístup z prohlížeče.On Android devices, users must enable browser access. K tomu musí uživatel v zaregistrovaném zařízení zvolit možnost Povolit přístup z prohlížeče následujícím způsobem:To do this, a user must choose the Enable Browser Access option on the enrolled device as follows:

    1. Otevřete aplikaci Portál společnosti.Open the Company Portal app.
    2. Přejděte na stránku Nastavení prostřednictvím tlačítka se třemi tečkami (...) nebo hardwarového tlačítka nabídky.Go to the Settings page from the ellipsis (…) or hardware menu button.
    3. Stiskněte tlačítko Povolit přístup z prohlížeče.Press the Enable Browser Access button.
    4. V prohlížeči Chrome se odhlaste z Office 365 a znovu spusťte Chrome.In the Chrome browser, sign out of Office 365 and restart Chrome.

    V platformách iOS a Android kvůli identifikaci zařízení použitého pro přístup ke službě vydá Azure Active Directory pro příslušné zařízení certifikát TLS (Transport Layer Security).On iOS and Android platforms, to identify the device that is used to access the service, Azure Active Directory issues a Transport Layer Security (TLS) certificate to the device. Zařízení zobrazí certifikát s výzvou pro uživatele, aby vybral certifikát, jak je vidět na následujících snímcích obrazovky.The device displays the certificate with a prompt to the user to select the certificate, as shown in the following screenshots. Před tím, než bude moct používat prohlížeč, musí uživatel certifikát vybrat.The user must select this certificate before they can use the browser.

    iOSiOS

    Snímek obrazovky s výzvou k výběru certifikátu na iPadu

    AndroidAndroid

    Snímek obrazovky s výzvou k výběru certifikátu v zařízení s Androidem

  5. V části Cílové skupiny zvolte Upravit a vyberte skupiny zabezpečení Azure Active Directory, na které se zásady vztahují.Under Targeted Groups, choose Modify to select the Azure Active Directory security groups that the policy applies to. Můžete cílit na všechny uživatele nebo vybranou skupinu uživatelů.You can choose to target this to all users or just a select group of users.

  6. V případě potřeby v části Vyloučené skupiny zvolte Upravit a vyberte skupiny zabezpečení Azure Active Directory, na které se tyto zásady nevztahují.Under Exempted Groups, optionally, choose Modify to select the Azure Active Directory security groups that are exempt from this policy.

  7. Po dokončení vyberte Uložit.When you're done, choose Save.

Zásady podmíněného přístupu nemusíte nasazovat, projeví se okamžitě.You don't have to deploy the conditional access policy—it takes effect immediately.

Krok 4: Sledování dodržování předpisů a zásad podmíněného přístupuStep 4: Monitor the compliance and conditional access policies

V pracovním prostoru Skupiny se můžete podívat na stav svých zařízení.In the Groups workspace, you can view the status of your devices.

Vyberte libovolnou skupinu mobilních zařízení.Select any mobile device group. Pak na kartě Zařízení zvolte jeden z následujících Filtrů:Then, on the Devices tab, choose one of the following Filters:

  • Zařízení nezaregistrovaná v AAD:Devices that are not registered with AAD. Tato zařízení mají přístup k SharePointu Online zablokovaný.These devices are blocked from SharePoint Online.

  • Zařízení nevyhovující předpisům:Devices that are not compliant. Tato zařízení mají přístup k SharePointu Online zablokovaný.These devices are blocked from SharePoint Online.

  • Zařízení zaregistrovaná v AAD a vyhovující předpisům:Devices that are registered with AAD and compliant. Tato zařízení mají k SharePointu Online přístup.These devices can access SharePoint Online.

Viz takySee also

Ochrana přístupu k e-mailu a službám O365 pomocí Microsoft IntuneProtect access to email and O365 services with Microsoft Intune

Pokud chcete odeslat svůj názor na produkt, navštivte Intune Feedback