Az Exchange Online-hoz és az új dedikált Exchange Online-hoz való e-mailes hozzáférés védelmeProtect email access to Exchange Online and new Exchange Online Dedicated with Intune

A következőkre vonatkozik: Intune a klasszikus portálonApplies to: Intune in the classic portal
Az Intune Azure Portalbeli verziójáról keres dokumentációt?Looking for documentation about Intune in the Azure portal? Lépjen tovább ide.Go here.

Az Exchange Online vagy a dedikált Exchange Online szolgáltatásokhoz való feltételes hozzáférést a Microsoft Intune-ban konfigurálhatja.You can configure conditional access for Exchange Online or Exchange Online Dedicated by using Microsoft Intune. Ha szeretné jobban megismerni a feltételes hozzáférés működését, olvassa el Az e-mailek, az O365- és egyéb szolgáltatások elérésének védelme című cikket.To learn more about how conditional access works, read the Protect access to email, O365, and other services article.

Megjegyzés

Ha dedikált Exchange Online-környezettel rendelkezik, és szeretné tudni, hogy az új vagy az örökölt konfiguráció tartozik-e hozzá, lépjen kapcsolatba a fiókkezelővel.If you have an Exchange Online Dedicated environment and need to find out whether it's in the new or the legacy configuration, contact your account manager.

ElőkészületekBefore you begin

A feltételes hozzáférés konfigurálásához az alábbiakra van szükség:To configure conditional access, you must:

  • Rendelkeznie kell egy olyan Office 365-előfizetéssel, amely tartalmazza az Exchange Online-t (például E3), és a felhasználóknak licenccel kell rendelkezniük az Exchange Online-hoz.Have an Office 365 subscription that includes Exchange Online (such as E3), and users must be licensed for Exchange Online.

  • Rendelkeznie kell Enterprise Mobility + Security (EMS) előfizetéssel vagy Azure Active Directory (Azure AD) Premium előfizetéssel, és a felhasználóknak is licenccel kell rendelkezniük az EMS-hez vagy az Azure AD-hoz.Have an Enterprise Mobility + Security (EMS) subscription or an Azure Active Directory (Azure AD) Premium subscription, and users must be licensed for EMS or Azure AD. Részletesebb tájékoztatást az Enterprise Mobility díjszabását vagy az Azure Active Directory díjszabását ismertető lapon talál.For more details, see the Enterprise Mobility pricing page or the Azure Active Directory pricing page.

  • Fontolja meg a választható Intune szolgáltatások közötti összekötő beállítását, amely az Intune-t az Exchange Online-hoz csatlakoztatja, és segítségével az eszközinformációkat az Intune konzoljával kezelheti.Consider configuring the optional Intune service-to-service connector, which connects Intune to Exchange Online and helps you manage device information through the Intune console. Feltételes házirendek vagy feltételes hozzáférési házirendek használatához nincs szükség az összekötő használatára, szükség van rá azonban az olyan jelentések futtatásához, amelyek segítenek a feltételes hozzáférés hatásának vizsgálatában.You don't need to use the connector to use compliance policies or conditional access policies—but it's required to run reports that help evaluate the impact of conditional access.

    Megjegyzés

    Ne konfigurálja az Intune szolgáltatások közötti összekötőjét, ha feltételes hozzáférést szeretne használni az Exchange Online-hoz és a helyszíni Exchange-hez.Do not configure the Intune service-to-service connector if you intend to use conditional access for both Exchange Online and Exchange on-premises.

Eszközmegfelelőségi követelményekDevice compliance requirements

Ha feltételes hozzáférési szabályzatokat konfigurál és rendel hozzá felhasználókhoz, a felhasználók csak akkor csatlakozhatnak az e-mail-fiókjukhoz, ha a használt eszköz megfelel az alábbi feltételeknek:When you configure conditional access policies and target them to a user, before a user can connect to their email, the device they use must be:

  • Regisztrálva kell lennie az Intune-ban, vagy egy tartományhoz csatlakozó számítógépnek kell lennie.A domain-joined PC or enrolled with Intune.

  • Regisztrálva van az Azure Active Directoryban.Registered in Azure Active Directory. Ez automatikusan megtörténik, amikor az eszköz regisztrálva van az Intune-ban.This happens automatically when the device is enrolled with Intune. Ezenkívül az ügyfél Exchange ActiveSync-azonosítójának regisztrálva kell lennie az Azure Active Directoryban.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.

    Az Azure Active Directory eszközregisztrációs szolgáltatása automatikusan aktiválódik az Intune-t és az Office 365-öt használó ügyfelek számára.The Azure Active Directory Device Registration service is activated automatically for Intune and Office 365 customers. Azok az ügyfelek, akik már telepítették az ADFS eszközregisztrációs szolgáltatását, nem fogják látni a regisztrált eszközöket a helyszíni Active Directoryban.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory.

  • Megfelel az eszközre telepített összes Intune megfelelőségi szabályzatának, vagy tartományhoz van csatlakoztatva egy helyszíni tartományban.Compliant with any Intune compliance policies that are deployed to that device or domain joined to an on-premises domain.

Ha az eszköz nem megfelelőWhen the device is not compliant

Ha a feltételes hozzáférési szabályzat nem teljesül, az eszköz azonnal karanténba kerül és a felhasználó egy e-mailt kap, és bejelentkezéskor a következő karantén-értesítések valamelyikét fogja látni:If a conditional access policy isn't met, the device gets immediately quarantined, and the user receives an e-mail and sees one of the following quarantine notifications when they sign in:

  • Ha az eszköz nincs regisztrálva az Intune-nal vagy az Azure Active Directoryban, egy üzenet jelenik meg, amely leírja, hogyan kell telepíteni a Céges portál alkalmazást, regisztrálni az eszközt és aktiválni az e-mailt.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Ez a folyamat hozzárendeli az eszköz Exchange ActiveSync-azonosítóját is az Azure Active Directoryban lévő rekordhoz.This process also associates the device’s Exchange ActiveSync ID with the record in Azure Active Directory.

  • Ha az eszköz nem felel meg a megfelelőségi szabályzat előírásainak, egy üzenet jelenik meg, amely a felhasználót az Intune Céges portál webhelyére vagy a Céges portál alkalmazásba irányítja, ahol a felhasználó további információt talál a problémáról és annak megoldásáról.If the device is evaluated as not compliant with the compliance policy rules, the user is directed to the Intune Company Portal website or the Company Portal app, where they can find information about the problem and how to remediate it.

Az Exchange Online-beli feltételes hozzáférés működéseHow conditional access works with Exchange Online

A következő ábra az Exchange Online feltételes hozzáférési szabályzatai által használt folyamatot szemlélteti.The following diagram illustrates the flow that is used by conditional access policies for Exchange Online.

Az eszközök hozzáférésének engedélyezését vagy letiltását meghatározó döntési pontokat bemutató ábra

A mobileszközök támogatásaSupport for mobile devices

Védheti az Exchange Online e-mailjeinek az Outlook alkalmazásból és a modern hitelesítést használó más alkalmazásokból történő elérését.You can protect access to Exchange Online email from Outlook and other apps that use modern authentication. A következők támogatottak:The following are supported:

  • Android 4.0-ás és újabb verziók, Samsung Knox Standard 4.0-ás és újabb verziók és Android for WorkAndroid 4.0 and later, Samsung Knox Standard 4.0 and later, and Android for Work
  • iOS 8.0 és újabb verziókiOS 8.0 and later

A modern hitelesítéssel Active Directory Authentication Library-alapú (ADAL-alapú) bejelentkezés biztosítható a Microsoft Office-ügyfelekhez.Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Microsoft Office clients.

  • Az ADAL-alapú hitelesítéssel az Office-ügyfelek végezhetnek böngészőalapú hitelesítést (más néven passzív hitelesítést).The ADAL-based authentication enables Office clients to engage in browser-based authentication (also known as passive authentication). A hitelesítéshez a felhasználó egy bejelentkezési weblapra van átirányítva.To authenticate, a user is directed to a sign-in web page.
  • Ez az új bejelentkezési módszer nagyobb biztonságot tesz lehetővé, például a többtényezős hitelesítés és a tanúsítványalapú hitelesítés funkcióit.This new sign-in method enables better security like multi-factor authentication and certificate-based authentication. Részletesebb információt a How modern authentication works (A modern hitelesítés használata) című cikkben olvashat.For more detailed information, see How modern authentication works. ADFS-jogcímszabályokat állíthat be a nem modern hitelesítési protokollok letiltására.You can set up ADFS claim rules to block non-modern authentication protocols. Részletes útmutatót a 3. forgatókönyv: Az O365-höz való hozzáférés teljes letiltása a böngészőalapú alkalmazások kivételével című cikk tartalmaz.Detailed instructions are provided in Scenario 3: Block all access to O365 except browser-based applications.

Az Exchange Online-on védheti az Outlook Web Access-hez (OWA) az iOS- és Android- eszközök böngészőin keresztül történő hozzáférést.You can protect access to Outlook Web Access (OWA) on Exchange Online when a user accesses it from a browser on iOS and Android devices. A hozzáférés csak a szabályzatnak megfelelő eszközök támogatott böngészőiről engedélyezett:Access is only allowed from supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Intune Managed Browser (iOS és Android 5.0 és újabb)Intune Managed Browser (iOS, Android 5.0 and later)

    Fontos

    A nem támogatott böngészőkből nem lehetséges hozzáférni a szolgáltatáshoz.Unsupported browsers are blocked.

Az iOS-re és az Androidra készült OWA alkalmazás módosítható úgy, hogy ne a modern hitelesítést használja, és nem támogatott. Az OWA alkalmazásból való elérést le kell tiltani az ADFS jogcímszabályai között.The OWA app for iOS and Android can be modified not to use modern authentication, and it isn't supported. Access from the OWA app must be blocked through ADFS claim rules.

A következő platformokon védheti az Exchange e-mailjeinek elérését a beépített Exchange ActiveSync levelezési ügyfélről:You can protect access to Exchange email from the built-in Exchange ActiveSync email client on the following platforms:

  • Android 4.0-s és újabb verziók, Samsung KNOX szabvány 4.0-s és újabb verziókAndroid 4.0 and later, Samsung Knox Standard 4.0 and later

  • iOS 8.0 és újabb verziókiOS 8.0 and later

  • Windows Phone 8.1 és újabb verziókWindows Phone 8.1 and later

Számítógépek támogatásaSupport for PCs

Az asztali Office-alkalmazásokat futtató számítógépekhez beállíthatja az Exchange Online és a SharePoint Online feltételes hozzáférését, ha a számítógépek megfelelnek az alábbi követelményeknek:You can set up conditional access for PCs that run Office desktop applications to access Exchange Online and SharePoint Online for PCs that meet the following requirements:

  • A számítógépen Windows 7.0, Windows 8.1 vagy Windows 10 operációs rendszernek kell futnia.The PC must be running Windows 7.0, Windows 8.1, or Windows 10.

    Megjegyzés

    Ahhoz, hogy feltételes hozzáférést használhasson Windows 10-es számítógépeken, frissítenie kell a gépeket a Windows 10 évfordulós frissítéssel.To use conditional access with Windows 10 PCs, you must update those PCs with the Windows 10 Anniversary Update.

    A számítógépnek tartományhoz kell csatlakoznia, vagy meg kell felelnie a megfelelőségi szabályzat előírásainak.The PC must either be domain joined or compliant with the compliance policy rules.

    A megfelelőség érdekében a számítógépnek regisztrálva kell lennie az Intune-ban, és meg kell felelnie a szabályzatoknak.In order to be considered compliant, the PC must be enrolled in Intune and comply with the policies.

    Tartományhoz csatlakozó számítógépek esetén feltételes hozzáférést kell beállítania az eszköz automatikus regisztrációjához az Azure Active Directoryban.For domain-joined PCs, you must set up conditional access to automatically register the device with Azure Active Directory.

    Megjegyzés

    A feltételes hozzáférés nem támogatott az Intune-számítógépügyfelet futtató számítógépeken.Conditional access isn't supported on PCs that are running the Intune computer client.

  • Az Office 365 modern hitelesítésének engedélyezve kell lennie, és a számítógépre telepíteni kell az Office legújabb frissítéseit.Office 365 modern authentication must be enabled and have all the latest Office updates.

    A modern hitelesítéssel Active Directory Authentication Library-alapú (ADAL-alapú) bejelentkezés biztosítható az Office 2013/Windows-ügyfelekhez.Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Office 2013/Windows clients. Ez nagyobb biztonságot tesz lehetővé, például a többtényezős hitelesítés és a tanúsítványalapú hitelesítés funkcióit.It enables better security like multi-factor authentication and certificate-based authentication.

  • ADFS-jogcímszabályok állíthatók be a nem modern hitelesítési protokollok letiltása.ADFS claim rules are set up to block non-modern authentication protocols. Részletes útmutatót a 3. forgatókönyv: Az O365-höz való hozzáférés teljes letiltása a böngészőalapú alkalmazások kivételével című cikk tartalmaz.Detailed instructions are provided in Scenario 3: Block all access to O365 except browser based applications.

Feltételes hozzáférés konfigurálásaConfigure conditional access

1. lépés: Megfelelőségi szabályzat konfigurálása és telepítéseStep 1: Configure and deploy a compliance policy

Hozza létre és telepítse a megfelelőségi szabályzatot azon felhasználói csoportok számára, amelyekre érvényes lesz a feltételes hozzáférési szabályzat is.Make sure you create and deploy a compliance policy to the user groups that will also get the conditional access policy.

Fontos

Ha nem telepített megfelelőségi szabályzatot, akkor az eszközök megfelelőnek minősülnek, és az Exchange-hez való hozzáférésük engedélyezett lesz.If you haven't deployed a compliance policy, the devices are considered compliant and are allowed access to Exchange.

2. lépés: A feltételes hozzáférési szabályzat hatásának értékeléseStep 2: Evaluate the effect of the conditional access policy

A feltételes hozzáférési szabályzat konfigurálása után a Mobileszközkészlet-jelentések használatával azonosíthatja azokat az eszközöket, amelyek Exchange-hozzáférése le van tiltva.You can use the Mobile Device Inventory Reports to identify the devices that might be blocked from accessing Exchange after you configure the conditional access policy.

Ehhez a Microsoft Intune szolgáltatások közötti összekötő használatával állítsa be a kapcsolatot az Intune és az Exchange között.To do this, configure a connection between Intune and Exchange by using the Microsoft Intune service-to-service connector.

  1. Keresse meg a Jelentések > Mobileszközkészlet-jelentések területet.Navigate to Reports > Mobile Device Inventory Reports. Képernyőfelvétel a Mobileszközkészlet-jelentés oldalrólScreenshot of the Mobile Device Inventory Reports page

  2. A jelentés paramétereiben válassza ki az értékelni kívánt Intune-csoportot és szükség esetén azokat az eszközplatformokat, amelyekre alkalmazni szeretné a szabályzatot.In the report parameters, select the Intune group that you want to evaluate and, if required, the device platforms that the policy will apply to.

  3. A szervezet igényeinek megfelelő feltételek kiválasztása után válassza a Jelentés megtekintése lehetőséget.After you’ve selected the criteria that meets your organization’s needs, choose View Report. A Jelentésmegjelenítő egy új ablakban nyílik meg.The Report Viewer opens in a new window. Képernyőfelvétel egy mobileszközkészlet-jelentésrőlScreenshot of an sample mobile device inventory report

A jelentés futtatása után vizsgálja meg a következő négy oszlopot annak meghatározásához, hogy a felhasználók le lesznek-e tiltva:After you run the report, examine these four columns to determine whether a user will be blocked:

  • Kezelési csatorna: Jelzi, hogy az eszközt az Intune, az Exchange ActiveSync vagy mindkettő kezeli.Management Channel: Indicates whether the device is managed by Intune, Exchange ActiveSync, or both.

  • Az AAD-ben regisztrált: Jelzi, hogy az eszköz regisztrálva van-e az Azure Active Directoryban (vagyis munkahelyi csatlakoztatással).AAD Registered: Indicates whether the device is registered with Azure Active Directory (known as Workplace Join).

  • Megfelelő: Jelzi, hogy az eszköz megfelel-e az érvénybe léptetett megfelelőségi szabályzatoknak.Compliant: Indicates whether the device is compliant with any compliance policies that you deployed.

  • Exchange ActiveSync-azonosító: Az iOS- és Android-eszközök Exchange ActiveSync-azonosítójának társítva kell lennie az Azure Active Directoryban található eszközregisztrációs rekorddal.Exchange ActiveSync ID: iOS and Android devices are required to have their Exchange ActiveSync ID associated with the device registration record in Azure Active Directory. Ez akkor történik meg, amikor a felhasználó a Levelezés aktiválása hivatkozást választja a karanténba helyezett e-mailben.This happens when a user chooses the Activate Email link in the quarantine email.

    Megjegyzés

    Windows Phone-telefonok esetén ebben az oszlopban mindig szerepel érték.Windows Phone devices always display a value in this column.

A célcsoporthoz tartozó eszközök Exchange-hozzáférése le lesz tiltva, ha az oszlop értékei nem egyeznek a következő táblázatban lévő értékekkel:Devices that are part of a targeted group are blocked from accessing Exchange unless the column values match those listed in the following table:


Kezelési csatornaManagement Channel Az AAD-ben regisztráltAAD Registered Compliant (Megfelelő)Compliant Exchange ActiveSync-azonosítóExchange ActiveSync ID EredményműveletResulting action
A Microsoft Intune és az Exchange ActiveSync kezeliManaged by Microsoft Intune and Exchange ActiveSync IgenYes IgenYes Érték jelenik megA value is displayed Az e-mail-hozzáférés engedélyezettEmail access is allowed
Bármely más értékAny other value NemNo NemNo Nem jelenik meg értékNo value is displayed Az e-mail-hozzáférés letiltottEmail access is blocked

Exportálhatja a jelentés tartalmát, és az E-mail cím oszlop segítségével értesítheti a felhasználókat arról, hogy le lesznek tiltva.You can export the contents of the report and use the Email Address column to tell your users that they will be blocked.

3. lépés: Felhasználói csoportok konfigurálása a feltételes hozzáférési szabályzathozStep 3: Configure user groups for the conditional access policy

A feltételes hozzáférési szabályzatokkal a felhasználók különböző Azure Active Directory biztonsági csoportjai célozhatók meg.Conditional access policies are targeted to different Azure Active Directory security groups of users. Ezenkívül meghatározott felhasználói csoportok mentesíthetők is a feltételes szabályzat alól.You can also exempt certain user groups from a conditional access policy. Amikor egy felhasználóra szabályzat vonatkozik, az általa használt összes eszköznek megfelelőnek kell lennie az e-mailek eléréséhez.When a user is targeted by a policy, each device that they use must be compliant in order to access email.

Ezeket a csoportokat az Office 365 Felügyeleti központban vagy az Intune-fiókportálon konfigurálhatja.You can configure these groups in the Office 365 admin center or in the Intune account portal.

Minden házirendben két csoporttípust adhat meg:You can specify two group types in each policy:

  • Megcélzott csoportok: Azon felhasználói csoportok, amelyekre a szabályzat érvényes.Targeted groups: User groups that the policy is applied to.

  • Kivétel alá eső csoportok: Azon felhasználói csoportok, amelyek mentesülnek a szabályzat alól (választható).Exempted groups: User groups that are exempt from the policy (optional).

Ha egy felhasználó mindkét csoportban szerepel, mentesül a szabályzat alól.If a user is in both groups, they are exempt from the policy.

Csak a feltételes hozzáférési szabályzat által célzott csoportokat értékeli ki a rendszer.Only the groups that are targeted by the conditional access policy are evaluated.

4. lépés: A feltételes hozzáférési szabályzat konfigurálásaStep 4: Configure the conditional access policy

Megjegyzés

Az Azure AD felügyeleti konzolján is létrehozhat feltételes hozzáférési szabályzatot.You can also create a conditional access policy in the Azure AD management console. Az Azure AD felügyeleti konzolon a többtényezős hitelesítéshez hasonló egyéb feltételes hozzáférési szabályzatokon kívül létrehozhatja az Intune-eszközök feltételes hozzáférési szabályzatát is (ennek neve az Azure AD-ben eszközalapú hozzáférési szabályzat).The Azure AD management console lets you create an Intune device conditional access policy (referred to as the device-based conditional access policy in Azure AD), in addition to other conditional access policies like multi-factor authentication.

Külső gyártók vállalati alkalmazásaihoz is beállíthat feltételes hozzáférési szabályzatokat, ha az Azure AD támogatja őket (ilyen például a Salesforce és a Box).You can also set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. További részleteket a How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory connected applications (Hogyan állítható be eszközalapú feltételes hozzáférési szabályzat az Azure Active Directoryban az Azure Active Directoryhoz csatlakozó eszközök hozzáférés-vezérlésére) című cikkben olvashat.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory-connected applications.

  1. A Microsoft Intune felügyeleti konzoljában válassza a Házirend > Feltételes hozzáférés > Exchange Online-szabályzat elemet.In the Microsoft Intune administration console, choose Policy > Conditional Access > Exchange Online Policy.

  2. Az Exchange Online-szabályzat lapon válassza a Feltételes hozzáférési házirend engedélyezése Exchange Online-hoz lehetőséget.On the Exchange Online Policy page, choose Enable conditional access policy for Exchange Online.

    Megjegyzés

    Ha nem léptetett életbe megfelelőségi szabályzatot, a rendszer megfelelőnek tekinti az eszközöket.If you haven't deployed a compliance policy, devices are treated as compliant.

    A megfelelőségi állapottól függetlenül a szabályzat által megcélzott összes felhasználónak regisztrálnia kell az eszközét az Intune-ban.Regardless of the compliance state, all users who are targeted by the policy are required to enroll their devices with Intune.

  3. Az Alkalmazás-hozzáférés beállításnál két módszer közül választhat annak megadásához, hogy a szabályzat mely platformokra lesz érvényes a modern hitelesítést használó alkalmazások esetében.Under Application access, for apps that use modern authentication, you have two ways of choosing which platforms the policy should apply to. A támogatott platformok a következők: Android, iOS, Windows és Windows Phone.Supported platforms include Android, iOS, Windows, and Windows Phone.

    • Összes platformAll platforms

      Ha ezt a beállítást szeretné használni, az Exchange Online elérésére használt összes eszköznek regisztrálva kell lennie az Intune-ban, és meg kell felelnie a szabályzatoknak.This requires that any device that is used to access Exchange Online is enrolled in Intune and compliant with the policies. Minden modern hitelesítést használó ügyfélalkalmazás a feltételes hozzáférési szabályzat hatálya alá tartozik.Any client application that uses modern authentication is subject to the conditional access policy. Ha a platformot az Intune jelenleg nem támogatja, akkor az Exchange Online-hoz való hozzáférés le van tiltva.If the platform is currently not supported by Intune, access to Exchange Online is blocked.

      A Minden platform beállítás kiválasztása esetén az Azure Active Directory minden hitelesítési kérelemre alkalmazza a szabályzatot, az ügyfélalkalmazás által jelentett platformtól függetlenül.Selecting the All platforms option means that Azure Active Directory applies this policy to all authentication requests, regardless of the platform that is reported by the client application. Az alábbiakat kivéve minden platformot kötelező regisztrálni, illetve meg kell felelniük a szabályzatoknak:All platforms are required to enroll and become compliant, except for:

      • Azok a Windows-eszközök, amelyeket regisztrálni kell, illetve amelyeknek meg kell felelniük a szabályzatoknak, akár tartományhoz csatlakoznak, akár helyszíni Active Directoryt használnak, akár mindkettő igaz rájuk.Windows devices, which are required to be enrolled and compliant, domain joined with on-premises Active Directory, or both.
      • Nem támogatott platformok, például a Mac OS.Unsupported platforms like Mac OS. Azonban az ezekről a platformokról származó, modern hitelesítést használó alkalmazások továbbra is le lesznek tiltva.However, apps that use modern authentication coming from these platforms is still blocked.
    • Megadott platformokSpecific platforms

      A megadott eszközplatformokon minden modern hitelesítést használó ügyfélalkalmazás a feltételes hozzáférési szabályzat hatálya alá tartozik.The conditional access policy applies to any client app that is using modern authentication on the device platforms that you specify.

  4. Az Outlook Web Access (OWA) alatt engedélyezheti, hogy az Exchange Online-hoz csak a támogatott böngészőkkel lehessen hozzáférni: Safari (iOS) és Chrome (Android).Under Outlook Web Access (OWA), you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS) and Chrome (Android). Más böngészőkkel nem lehetséges a hozzáférés.Access from other browsers is blocked. Az Outlook megadott alkalmazás-hozzáférési platformkorlátozásai itt is érvényesek.The same platform restrictions that you selected for Application access for Outlook also apply here.

    Az Android rendszerű eszközök felhasználóinak engedélyezniük kell a böngészőalapú hozzáférést.On Android devices, users must enable browser access. A felhasználónak ehhez a regisztrált eszközön be kell kapcsolnia a Böngészőalapú hozzáférés engedélyezése lehetőséget az alábbi módon:To do this, the user must enable the Enable Browser Access option on the enrolled device as follows:

    1. Nyissa meg a Munkahelyi portál alkalmazást.Open the Company Portal app.
    2. A három pontra (...) koppintva vagy a hardveres menü gombbal nyissa meg a Beállítások lapot.Go to the Settings page from the ellipsis (…) or the hardware menu button.
    3. Kattintson a Böngészőalapú hozzáférés engedélyezése gombra.Press the Enable Browser Access button.
    4. A Chrome böngészőben jelentkezzen ki az Office 365-ből, majd indítsa újra a Chrome-ot.In the Chrome browser, sign out of Office 365 and restart Chrome.

    Az iOS és az Android platformokon a szolgáltatás eléréséhez használt eszköz azonosításához az Azure Active Directory egy TLS-tanúsítványt (Transport Layer Security) rendel az eszközhöz.On iOS and Android platforms, to identify the device that is used to access the service, Azure Active Directory issues a Transport Layer Security (TLS) certificate to the device. Az eszköz az alábbi képernyőfelvételnek megfelelően megjeleníti a tanúsítványt, és felkéri a felhasználót, hogy válassza ki a tanúsítványt.The device displays the certificate with a prompt to the user to select the certificate, as shown in the following screenshots. A felhasználónak a böngésző további használatához ki kell választania ezt a tanúsítványt.The user must select this certificate before they can continue to use the browser.

    iOSiOS

    Képernyőfelvétel a tanúsítvány kiválasztásának kéréséről egy iPad készüléken

    AndroidAndroid

    képernyőfelvétel a tanúsítvány kiválasztásának kéréséről egy Android készüléken

  5. Az Exchange ActiveSync-alkalmazások beállításnál megadhatja a nem megfelelő eszközök Exchange Online-hozzáférésének letiltását.Under Exchange ActiveSync apps, you can choose to block noncompliant devices from accessing Exchange Online. Azt is kiválaszthatja, hogy engedélyezi vagy letiltja az e-mailek elérését, amikor az eszköz nem támogatott platformmal működik.You can also select whether to allow or block access to email when the device isn't running a supported platform. A támogatott platformok a következők: Android, iOS, Windows és Windows Phone.Supported platforms include Android, iOS, Windows, and Windows Phone.

    Exchange Active Sync-alkalmazások Android for Work rendszerű eszközökhöz:Exchange Active Sync apps on Android for Work devices:

    • Az Android for Work eszközökön a munka profilban csak a Gmail és a Nine Work alkalmazások támogatottak.Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Ahhoz, hogy a feltételes hozzáférés működjön Android for Work rendszerű eszközökön, kötelező telepítésként telepíteni kell egy e-mail-profit a Gmail vagy a Nine Work alkalmazáshoz.For conditional access to work on Android for Work devices, you must deploy an email profile for the Gmail or Nine Work app, and also deploy it as a required installation.
  6. A Megcélzott csoportok területen válassza ki azon felhasználók Active Directorybeli biztonsági csoportjait, akikre érvényes a házirend.Under Targeted Groups, select the Active Directory security groups of users that the policy applies to. Az összes felhasználót vagy a felhasználói csoportok egy kiválasztott listáját is megadhatja.You can either choose to target all users or a selected list of user groups. Képernyőfelvétel az Exchange Online feltételes hozzáférési szabályzatának oldaláról, valamint a megcélzott és a kivétel alá eső csoportok beállításairólScreenshot of the Exchange Online conditional access policy page that shows the Targeted and Exempted group options

    Megjegyzés

    A Megcélzott csoportok listán lévő felhasználók esetében az Intune-szabályzatok felváltják az Exchange-szabályokat és -szabályzatokat.For users that are in the Targeted groups, the Intune polices replace Exchange rules and policies.

    Az Exchange csak a következő esetekben érvényesíti az engedélyezési, blokkolási és karanténba helyezési szabályokat és az Exchange-szabályzatokat:Exchange only enforces the Exchange allow, block, and quarantine rules, and Exchange policies if:

    • A felhasználó nem rendelkezik Intune-licenccel.A user isn't licensed for Intune.
    • A felhasználó rendelkezik Intune-licenccel, de egy, a feltételes hozzáférési házirendben megcélzott biztonsági csoportnak sem tagja.A user is licensed for Intune, but the user doesn't belong to any security groups that are targeted in the conditional access policy.
  7. A Kivétel alá eső csoportokterületen válassza ki azon felhasználók Active Directory biztonsági csoportjait, akikre nem érvényes a házirend.Under Exempted Groups, select the Active Directory security groups of users that are exempt from this policy. Ha egy felhasználó a megcélzott és a mentesített csoportban is szerepel, mentes a szabályzat alól.If a user is in both the targeted and exempted groups, they are exempt from the policy.

  8. Ha elkészült, válassza a Mentés elemet.When you're done, choose Save.

  • Nem kell telepítenie a feltételes hozzáférési szabályzatot, az azonnal érvénybe lép.You don't have to deploy the conditional access policy—it takes effect immediately.

  • Miután egy felhasználó e-mail fiókot hoz létre, azonnal letiltja az eszközt.After a user creates an email account, the device is blocked immediately.

  • Ha egy letiltott felhasználó regisztrálja az eszközt az Intune-ban és kijavítja a megfelelőségi hibákat, a rendszer két percen belül feloldja az e-mail-hozzáférés letiltását.If a blocked user enrolls the device with Intune and fixes any noncompliance issues, email access is unblocked within two minutes.

  • Ha a felhasználó megszünteti az eszköz regisztrációját, a rendszer körülbelül hat óra múlva letiltja az e-maileket.If the user unenrolls their device, email is blocked after around six hours.

Ha szeretne arra vonatkozó példákat megtekinteni, hogy hogyan konfigurálhat feltételes hozzáférési szabályzatot az eszközök hozzáférésének védelméhez, olvassa el az e-mail-hozzáférés védelmét bemutató példák leírását.To see some example scenarios of how you would configure a conditional access policy to protect device access, see Protect email access example scenarios.

A megfelelőség és a feltételes hozzáférési házirendek megfigyeléseMonitor the compliance and conditional access policies

Az Exchange szolgáltatásból kitiltott eszközök megtekintéseTo view devices that are blocked from Exchange

Az Intune irányítópultján kattintson Az Exchange szolgáltatásból kitiltott eszközök csempére a letiltott eszközök számának és további információkat megjelenítő hivatkozások megtekintéséhez.On the Intune dashboard, choose the Blocked Devices from Exchange tile to show the number of blocked devices and links to more information. Képernyőfelvétel az Intune irányítópultjáról és azokról az eszközökről, amelyek Exchange-hozzáférése le van tiltvaScreenshot of the Intune dashboard showing the number of devices that are blocked from accessing Exchange

További lépésekNext steps