Podmíněný přístup pro E-mail Exchange v Configuration Manageru
Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
Poznámka
Informace v tomto tématu se vztahují na System Center 2012 Configuration Manager SP1 a novější verze a na System Center 2012 R2 Configuration Manager a novější verze.
Pomocí Configuration Manager podmíněného přístupu můžete spravovat přístup k e-mailu Exchange na základě vámi určených podmínek.
Můžete spravovat přístup k:
Místní Microsoft Exchange
Microsoft Exchange Online
Exchange Online Dedicated
Pokud nakonfigurujete podmíněný přístup, musí nejdřív zařízení uživatele, který se chce připojit k e-mailu, splňovat toto:
Musí být zaregistrované ve službě Intune nebo v počítači připojeném k doméně.
Zaregistrujte zařízení do Azure Active Directory (k tomu automaticky dojde při registraci zařízení ve Intune) (týká se jenom Exchange Online). Kromě toho musí být ID protokolu Exchange ActiveSync klienta zaregistrované v Azure Active Directory (nevztahuje se na zařízení Windows a Windows Phone připojující se k systému Exchange místně).
Pro počítač připojený k doméně ho musíte nastavit na automatickou registraci v rámci Azure Active Directory. V části Podmíněný přístup pro počítače v tématu Podmíněný přístup v Configuration Manageru jsou uvedené kompletní požadavky na povolení podmíněného přístupu pro počítače.
Musí splňovat veškeré zásady dodržování předpisů Configuration Manager nasazené na toto zařízení.
Pokud není podmínka podmíněného přístupu splněná, zobrazí se uživateli při přihlášení jedna z následujících zpráv.
Pokud zařízení není zaregistrované ve Intune nebo v Azure Active Directory, zobrazí se zpráva s pokyny pro instalaci aplikace portálu společnosti, zápis zařízení a (pro zařízení s Androidem a iOS) aktivaci e-mailu, který přidruží k ID protokolu Exchange ActiveSync zařízení záznam zařízení v Azure Active Directory.
Pokud zařízení není kompatibilní, zobrazí se zpráva, která uživatele přesměruje na webový portál Intune, kde může najít informace o problému a jeho řešení.
Pro počítače:
Pokud je požadavkem zásady podmíněného přístupu, aby byl počítač připojený k doméně nebo splňoval konkrétní předpisy, zobrazí se zpráva s pokyny k registraci zařízení. Pokud počítač některý z těchto požadavků nesplňuje, bude uživatel požádán o zápis zařízení v rámci Intune.
Pokud je požadavek zásady podmíněného přístupu nastavený tak, aby se povolovala jenom zařízení s Windows připojená k doméně, bude se zařízení blokovat a zobrazí se zpráva, aby uživatel kontaktoval správce IT.
Přístup k e-mailu systému Exchange můžete blokovat z integrovaného e-mailového klienta Exchange ActiveSync zařízení na následujících platformách:
Android 4.0 nebo novější, Samsung Knox Standard 4.0 nebo novější
iOS 7.1 nebo novější
Windows Phone 8.1 nebo novější
Aplikace Mail v systému Windows 8.1 nebo novějším
Aplikace Outlook pro iOS a Android a desktopová verze aplikace Outlook 2013 je podporovaná jenom pro Exchange Online.
Aby podmíněný přístup fungoval, je nutné používat místní Exchange Connector mezi produktem Configuration Manager a Exchangem.
Zásady podmíněného přístupu pro místní Exchange můžete nakonfigurovat z konzoly Configuration Manager. Pokud budete konfigurovat zásadu podmíněného přístupu pro Exchange Online, můžete proces zahájit v konzole Configuration Manager, která spustí konzolu Microsoft Intune, kde může proces dokončit.
Krok 1: Vyhodnocení efektu zásad podmíněného přístupu
Až nakonfigurujete místní Exchange Connector, můžete pomocí sestavy Configuration ManagerSeznam zařízení podle stavu podmíněného přístupu identifikovat zařízení, která budou mít po tom, co nakonfigurujete zásadu podmíněného přístupu, blokován přístup k Exchange serveru. Tato sestava také vyžaduje následující:
Předplatné služby Intune
Nakonfigurovaný a nasazený konektor Intune
V parametrech sestavy vyberte skupinu Intune, kterou chcete vyhodnotit, a v případě potřeby platformy zařízení, na které se zásady budou vztahovat.
Další informace o spouštění sestav naleznete v tématu Vytváření sestav v nástroji Configuration Manager.
Po spuštění sestavy zkontrolujte tyto čtyři sloupce, abyste zjistili, jestli bude uživatel blokovaný:
Kanál pro správu – Určuje, jestli se zařízení spravuje ve službě Intune, Exchange ActiveSync, nebo v obou.
Zaregistrováno v AAD – Určuje, jestli je zařízení zaregistrované v Azure Active Directory (označuje se jako připojení pracovního místa).
Vyhovuje – Určuje, jestli zařízení splňuje vámi nasazené zásady dodržování předpisů.
EAS aktivované – U zařízení s iOS a Androidem se vyžaduje, aby měla ID protokolu Exchange ActiveSync přidružené záznamy registrace zařízení v Azure Active Directory. K tomuto dojde, když uživatel klikne na odkaz Aktivovat e-mail v e-mailu v karanténě.
Poznámka
Zařízení Windows Phone v tomto sloupci vždycky zobrazí hodnotu.
Zařízením, která jsou součástí cílové skupiny nebo kolekce, se bude blokovat přístup k Exchangi, pokud se hodnoty ve sloupcích nebudou shodovat s hodnotami uvedenými v této tabulce:
Kanál pro správu |
Zaregistrováno v AAD |
Vyhovuje |
EAS aktivované |
Výsledná akce |
|---|---|---|---|---|
Spravuje se v Microsoft Intune a Exchange ActiveSync |
Ano |
Ano |
Zobrazí se hodnota Ano nebo Ne. |
Přístup k e-mailu je povolený |
Jakákoli jiná hodnota |
Ne |
Ne |
Není zobrazená žádná hodnota |
Přístup k e-mailu je blokovaný |
Obsah sestavy můžete vyexportovat a použít sloupec E-mailová adresa k informování uživatelů, že budou blokovaní.
Krok 2: Konfigurace skupin nebo kolekcí uživatelů pro zásady podmíněného přístupu
Zásady podmíněného přístupu můžete zacílit na různé skupiny nebo kolekce uživatelů v závislosti na typech zásad. Tyto skupiny obsahují uživatele, na které budou zásady cílit, nebo kteří budou z těchto zásad vyjmutí. Pokud je uživatel cílem zásady, musí každé jím používané zařízení splňovat zásady, aby měl přístup k e-mailu.
Pro zásady Exchange Online – na skupiny uživatelů zabezpečení služby Azure Active Directory. Tyto skupiny můžete nakonfigurovat v Centru pro správu Office 365 nebo na Portálu účtů Intune.
Pro zásady místního systému Exchange – na kolekce uživatelů Configuration Manager. Tyto možnosti můžete nakonfigurovat v pracovním prostoru Prostředky a kompatibilita.
V každé zásadě můžete určit dva typy skupin:
Cílové skupiny – skupiny nebo kolekce uživatelů, pro které zásady platí
Vyloučené skupiny – skupiny nebo kolekce uživatelů, kteří jsou ze zásad vyloučení (volitelné)
Pokud je uživatel v obou, bude ze zásad vyloučený.
Pro přístup k Exchangi se vyhodnocují jenom skupiny a kolekce, které jsou cílem zásad podmíněného přístupu.
Krok 3: Konfigurace a nasazení zásad dodržování předpisů
Ujistěte se, že jste vytvořili a nasadily zásady dodržování předpisů na všechna zařízení, která budou cílem zásad podmíněného přístupu Exchange.
Podrobnosti o tom, jak nakonfigurovat zásady dodržování předpisů najdete v článku Zásady dodržování předpisů v Configuration Manageru.
.jpeg "System_CAPS_important") Důležité |
|---|
Pokud jste zásady dodržování předpisů nenasadili a povolíte zásady podmíněného přístupu Exchange, budou mít všechna cílová zařízení přístup povolený. |
Až budete připravení, pokračujte Krokem 4.
Krok 4: Konfigurace zásad podmíněného přístupu
Pro Exchange Online (a klienty v nové verzi prostředí Exchange Online Dedicated)
Následující postup se používá v rámci zásad podmíněného přístupu pro Exchange Online k vyhodnocení toho, jestli se mají zařízení povolit nebo blokovat.
.jpeg "Flow for Exchange Online Conditional Access")
Pro přístup k e-mailu musí zařízení splňovat toto:
Musí být zaregistrované ve službě Intune
Počítače musí být buď připojené k doméně, nebo musí být zaregistrované a musí splňovat zásady nastavené v rámci Intune.
Zaregistrujte zařízení do Azure Active Directory (k tomu automaticky dojde při registraci zařízení ve Intune).
V případě počítačů připojených k doméně musíte zařízení nastavit tak, aby se zařízení automaticky zaregistrovalo v rámci Azure Active Directory.
Musí mít aktivovaný e-mail, kterým se k ID protokolu Exchange ActiveSync zařízení přidružuje záznam zařízení v Azure Active Directory (týká se jenom zařízení s iOS a Androidem).
Musí splňovat veškeré nasazené zásady dodržování předpisů.
Stav zařízení je uložený ve službě Azure Active Directory, která uděluje nebo blokuje přístup k e-mailu na základě vyhodnocených podmínek.
Pokud není podmínka splněná, zobrazí se uživateli při přihlašování jedna z následujících zpráv:
Pokud není zařízení zapsané nebo zaregistrované v Azure Active Directory, zobrazí se zpráva s pokyny pro instalaci aplikace portálu společnosti a zápis.
Pokud zařízení není kompatibilní, zobrazí se zpráva, která uživatele přesměruje na webový portál Intune, kde může najít informace o problému a jeho řešení.
Počítač:
Pokud je zásada nastavená tak, aby vyžadovala připojení k doméně, a počítač k doméně připojený není, zobrazí se zpráva, aby uživatel kontaktoval správce IT.
Pokud je zásada nastavená tak, aby vyžadovala připojení k doméně nebo splňování předpisů, a počítač ani jednu z těchto požadavků nesplňuje, zobrazí se zpráva s pokyny, jak nainstalovat aplikaci Portál společnosti a provést registraci.
Zpráva se zobrazí na zařízení pro uživatele Exchange Online a klienty v novém prostředí Exchange Online Dedicated a doručí se do složky doručená pošta e-mailové schránky uživatelů pro místní Exchange a zařízení se starší verzí Exchange Online Dedicated.
Poznámka
Pravidla podmíněného přístupu Configuration Manager přepíší, povolí, blokují a umístí do karantény pravidla definovaná v konzole pro správu Exchange Online.
Poznámka
Zásady podmíněného přístupu musí být konfigurované v konzole pro Intune. Následující kroky začínají přístupem ke konzole pro Intune prostřednictvím Configuration Manageru. Když budete vyzváni, přihlaste se pomocí stejných přihlašovacích údajů, které jste použili k nastavení konektoru mezi Configuration Managerem a Intune.
Povolení zásad Exchange Online
V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.
Rozbalte položku Nastavení dodržování předpisů, rozbalte položku Podmíněný přístup a potom klikněte na Exchange Online.
Na kartě Domů skupiny Odkazy klikněte na Konfigurovat zásadu podmíněného přístupu v konzole pro Intune. Může být nutné zadat uživatelské jméno a heslo účtu použitého k připojení Configuration Manager s globálním administrátorem služby Intune.
Otevře se konzola pro správu Intune.
V konzole pro správu Microsoft Intune klikněte na Zásady > Podmíněný přístup > Zásady pro Exchange Online.
.jpeg "HybridOnlineSetupInIntune")
Na stránce Zásady Exchange Online vyberte možnost Zapnout zásady podmíněného přístupu pro Exchange Online. Pokud zaškrtněte toto políčko, musí být zařízení v souladu s předpisy. Pokud toto políčko zaškrtnuté není, nepoužije se podmíněný přístup.
Poznámka
Pokud jste zásady dodržování předpisů nenasadili a pak povolíte zásady pro Exchange Online, budou se všechna cílová zařízení hlásit jako dodržující předpisy.
Bez ohledu na stav dodržování předpisů se u všech uživatelů, na které jsou zásady zacílené, bude vyžadovat, aby svá zařízení zaregistrovali ve službě Intune.
V části Aplikace používající moderní ověřování se můžete rozhodnout omezit přístup také jenom na zařízení, která pro každou platformu splňují předpisy. Zařízení se systémem Windows musí být připojená k doméně nebo zaregistrovaná v Intune a splňovat předpisy.
Tip
Moderní ověřování integruje do klientů Office přihlašování založené na knihovně ADAL (Active Directory Authentication Library).
-
Ověřování na základě knihovny ADAL umožňuje pro klienty Office používat ověřování založené na prohlížeči (označuje se také jako pasivní ověřování). Aby bylo možné uživatele ověřit, uživatel se přesměruje na přihlašovací webovou stránku.
-
Tato nová metoda přihlašování umožňuje nové scénáře, jako je například podmíněný přístup, na základě souladu zařízení s předpisy a na základě toho, jestli bylo provedeno vícefaktorové ověření.
Tento článek obsahuje podrobnější informace o tom, jak moderní ověřování funguje.
Při používání Exchange Online s Configuration Managerem a Intune můžete spravovat nejen mobilní zařízení s podmíněným přístupem, ale také stolní počítače. Počítače musí být připojené k doméně nebo zaregistrované v Intune a splňovat předpisy. Můžete nastavit následující požadavky:
Zařízení musí být připojené k doméně nebo splňovat předpisy. Počítače musí být buď připojené k doméně, nebo musí splňovat zásady nastavené v rámci Intune. Pokud počítač některý z těchto požadavků nesplňuje, bude uživatel vyzván k zápisu zařízení v rámci Intune.
Zařízení musí být připojené k doméně. Počítače musí být připojené k doméně, aby měly přístup k Exchangi Online. Pokud počítač není připojený k doméně, je přístup k e-mailu blokovaný a uživatel je vyzván, aby se obrátil na správce IT.
Zařízení musí splňovat předpisy. Počítače musí být zaregistrované v Intune a musí splňovat předpisy. Pokud počítač není zaregistrovaný, zobrazí se zpráva s pokyny, jak registraci provést.
-
V části E-mailové aplikace s protokolem Exchange ActiveSync se můžete rozhodnout blokovat e-mailům přístup k Exchangi Online, pokud zařízení nesplňuje předpisy, a můžete tam také vybrat, jestli se má povolit nebo blokovat přístup k e-mailu, když Intune nemůže zařízení spravovat.
V části Cílové skupiny vyberte skupiny zabezpečení Active Directory uživatelů, na které se zásady vztahují.
Poznámka
Pro uživatele, kteří jsou v cílových skupinách, nahradí zásady Intune pravidla a zásady Exchange.
Exchange bude vynucovat pravidla Exchange pro povolování, blokování a karanténu a zásady Exchange jenom v těchto případech:
-
Uživatel nemá licenci na službu Intune.
-
Uživatel má licenci na službu Intune, ale nepatří do žádné skupiny zabezpečení, na kterou cílí zásady podmíněného přístupu.
-
V části Vyloučené skupiny vyberte skupiny zabezpečení Active Directory uživatelů, kteří jsou z těchto zásad vyloučení. Pokud je uživatel v cílových skupinách i ve vyloučených skupinách, bude ze zásady vyloučený a bude mít přístup k e-mailu.
Po dokončení klikněte na Uložit.
Zásady podmíněného přístupu není potřeba nasazovat, projeví se okamžitě.
Jakmile uživatel vytvoří e-mailový účet, zařízení se okamžitě zablokuje.
Pokud blokovaný uživatel zařízení zapíše ve Intune (nebo opraví nedodržování předpisů), odblokuje se přístup k e-mailu během 2 minut.
Pokud uživatel zruší registraci svého zařízení, e-mail se zablokuje zhruba po 6 hodinách.
Pro místní Exchange (a klienty ve starší verzi prostředí Exchange Online Dedicated)
Následující postup se používá v rámci zásad podmíněného přístupu pro místní Exchange Online a klienty ve starší verzi prostředí Exchange Online Dedicated k vyhodnocení toho, jestli se mají zařízení povolit nebo blokovat.
.jpeg "Conditional Access flow for Exchange On-Premises")
Povolení zásad pro místní Exchange
V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.
Rozbalte položku Nastavení dodržování předpisů, rozbalte položku Podmíněný přístup a potom klikněte na Místní Exchange.
Na kartě Domů skupiny Místní Exchange klikněte na Konfigurovat zásadu podmíněného přístupu.
Na stránce Obecné v průvodci konfigurací zásad podmíněného přístupu zadejte název domény klienta v rámci služby Intune. Jedná se o příponu ID klienta použitého k nastavení konektoru Intune. Pokud je například použité ID klienta admin@corpemail.contoso.com, název domény zadaný na této stránce průvodce je corpemail.contoso.com.
.jpeg "HybridCondAccessWiz1")
Klikněte na Další.
Na stránce Cílové kolekce přidejte jednu nebo více kolekcí uživatelů. Aby mohli uživatelé v těchto kolekcích získat přístup k Exchange serveru, musí si svá zařízení registrovat v rámci služby Intune a také být v souladu se všemi zásadami dodržování předpisů, které jste nasadili.
.jpeg "HybridCondAccessWiz2")
Klikněte na Další.
Na stránce Vyloučené kolekce přidejte všechny kolekce uživatelů, které mají být ze zásady podmíněného přístupu vyňaty. Uživatelé v těchto skupinách si nemusí registrovat svá zařízení v rámci služby Intune a nemusí splňovat žádné z nasazených zásad dodržování předpisů, pokud budou chtít získat přístup k Exchangi.
.jpeg "HybridCondAccessWiz3")
Pokud bude uživatel uveden jak v cílovém, tak i vyloučeném seznamu, bude ze zásady podmíněného přístupu vyloučen.
Klikněte na Další.
Na stránce Upravit oznámení uživateli nakonfigurujte e-mail, který služba Intune odešle uživatelům s pokyny, jak odblokovat zařízení (navíc k e-mailu, který odesílá Exchange).
Výchozí zprávu můžete upravit a k naformátování vzhledu textu můžete použít značky HTML. Zaměstnancům můžete také předem odeslat e-mail s upozorněním na nadcházející změny a s pokyny o registraci jejich zařízení.
.jpeg "HybridCondAccessWiz4")
Poznámka
Vzhledem k tomu, že se e-mail s oznámením Intune obsahující pokyny k nápravě doručuje do poštovní schránky Exchange uživatele, může uživatel v případě, že se jeho zařízení před obdržením této e-mailové zprávy zablokuje, použít pro přístup k Exchangi a zobrazení zprávy odblokované zařízení nebo jinou metodu.
Poznámka
Aby systém Exchange mohl e-mail s oznámením odeslat, musíte nakonfigurovat účet, který se pro odeslání e-mailu s oznámením použije. Můžete to provést při konfiguraci vlastností konektoru systému Exchange Server.
Podrobnosti najdete v tématu Správa mobilních zařízení pomocí nástroje Configuration Manager a serveru Exchange.
Klikněte na Další.
Na stránce Souhrn zkontrolujte nastavení a pak dokončete průvodce.
Zásady podmíněného přístupu není potřeba nasazovat, projeví se okamžitě.
Jakmile uživatel nastaví profil Exchange ActiveSync, může trvat 1 až 3 hodiny, než se zařízení zablokuje (pokud ho nespravuje Intune).
Pokud pak blokovaný uživatel zařízení zapíše ve Intune (nebo opraví nedodržování předpisů), odblokuje se přístup k e-mailu během 2 minut.
Pokud uživatel zruší zápis ve Intune, může trvat 1 až 3 hodiny, než se zařízení zablokuje.