A SharePoint Online-hoz való hozzáférés védelme a Microsoft Intune-nalProtect access to SharePoint Online with Microsoft Intune

A következőkre vonatkozik: Intune a klasszikus portálonApplies to: Intune in the classic portal
Az Intune Azure Portalbeli verziójáról keres dokumentációt?Looking for documentation about Intune in the Azure portal? Lépjen tovább ide.Go here.

A SharePoint Online-on lévő fájlok elérésének szabályozására a Microsoft Intune feltételes hozzáférés funkcióját használhatja.Use Microsoft Intune conditional access to control access to files that are located on SharePoint Online. A feltételes hozzáférés két összetevőből áll:Conditional access has two components:

  • Egy eszközmegfelelőségi szabályzatból, amelynek az eszköznek meg kell felelnie, hogy a rendszer megfelelőnek találja.A device compliance policy that the device must comply with in order to be considered compliant.
  • Egy feltételes hozzáférési szabályzatból, amelyben meghatározhatja azokat a feltételeket, amelyeknek az eszköznek meg kell felelnie ahhoz, hogy hozzáférhessen a szolgáltatáshoz.A conditional access policy where you specify the conditions that the device must meet in order to access the service. Ha szeretné jobban megismerni a feltételes hozzáférés működését, olvassa el Az e-mailek, az O365- és egyéb szolgáltatások elérésének védelme című témakört.To learn more about how conditional access works, read the Protect access to email, O365, and other services topic.

A megfelelőségi és a feltételes hozzáférési szabályzatokat a felhasználók számára lépteti életbe.You deploy the compliance and conditional access policies to users. A rendszer minden olyan eszköz megfelelőségét ellenőrzi, amelyről a felhasználó használja a szolgáltatásokat.Any device that a user uses to access the services is checked for compliance with the policies.

Amikor egy felhasználó támogatott alkalmazással (például a OneDrive-val) próbál hozzáférni egy fájlhoz az eszközéről, a rendszer a következő kiértékelést hajtja végre:When a user attempts to connect to a file by using a supported app such as OneDrive on their device, the following evaluation occurs:

Azokat a döntési pontokat megjelenítő diagram, amelyek meghatározzák, hogy kapjon-e hozzáférést az adott eszköz a SharePoint Online-hoz

Mielőtt beállítaná a SharePoint Online-ra vonatkozó feltételes hozzáférési szabályzatot, a következőknek kell teljesülniük:Before configuring a conditional access policy for SharePoint Online, you must:

  • Rendelkeznie kell SharePoint Online-előfizetéssel, a felhasználóknak pedig licenccel kell rendelkezniük a SharePoint Online-hoz.Have a SharePoint Online subscription, and users must be licensed for SharePoint Online.
  • Rendelkeznie kell Enterprise Mobility + Security (EMS) előfizetéssel vagy Azure Active Directory (Azure AD) Premium előfizetéssel, és a felhasználóknak is licenccel kell rendelkezniük az EMS-hez vagy az Azure AD-hoz.Have an Enterprise Mobility + Security (EMS) subscription or an Azure Active Directory (Azure AD) Premium subscription, and users must be licensed for EMS or Azure AD. Részletesebb tájékoztatást az Enterprise Mobility díjszabását vagy az Azure Active Directory díjszabását ismertető lapon talál.For more details, see the Enterprise Mobility pricing page or the Azure Active Directory pricing page.

Ha csatlakozni szeretne a kívánt fájlokhoz, az eszköznek az alábbi feltételeknek kell megfelelnie:To connect to the required files, a device must be:

  • Regisztrálva kell lennie az Intune-ban, vagy tartományhoz csatlakoztatott számítógépnek kell lennie.Enrolled with Intune or a domain-joined PC.

  • Regisztrálva kell lennie az Azure Active Directoryban (ez automatikusan megtörténik, amikor az eszközt regisztrálják az Intune-ban).Registered in Azure Active Directory (this happens automatically when the device is enrolled with Intune).

  • Meg kell felelnie az Intune összes telepített megfelelőségi szabályzatának.Compliant with any deployed Intune compliance policies.

Az eszköz állapotát a rendszer az Azure Active Directoryban tárolja, amely a megadott feltételek alapján engedélyezi vagy tiltja a fájlok elérését.The device state is stored in Azure Active Directory, which grants or blocks access to the files, based on the conditions that you specify.

Ha egy feltétel nem teljesül, a felhasználó számára az alábbi üzenetek egyike jelenik meg a bejelentkezéskor:If a condition isn't met, the user sees one of the following messages when they sign in:

  • Ha az eszköz még nincs regisztrálva az Intune-ban vagy az Azure Active Directoryban, egy üzenet jelenik meg, amely leírja, hogy hogyan kell telepíteni a Céges portál alkalmazást és regisztrálni az eszközt.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app and enroll.

  • Ha az eszköz nem megfelelő, egy üzenet jelenik meg, amely a felhasználót az Intune Céges portál webhelyére irányítja, ahol további információkat talál a problémáról és annak megoldásáról.If the device isn't compliant, a message is displayed that directs the user to the Intune Company Portal website, where they can find information about the problem and how to remediate it.

A feltételes hozzáférés a külső megosztásra nem vonatkozik.Conditional access doesn't apply to external sharing. Arról, hogy hogyan akadályozhatja meg a külső megosztást a bérlőjén vagy a webhelycsoportján belül, a Külső megosztás kezelése SharePoint Online-környezetben című cikk nyújt tájékoztatást.To learn how to prevent external sharing in your tenant or site collection, see Manage external sharing for your SharePoint Online environment.

Megjegyzés

Ha engedélyezi a SharePoint Online-on a feltételes hozzáférést, javasoljuk, hogy tiltsa le a tartományt a listán a Remove-SPOTenantSyncClientRestriction című témakörben ismertetett módon.If you enable conditional access for SharePoint Online, we recommend that you disable the domain on the list, as described in the Remove-SPOTenantSyncClientRestriction topic.

A mobileszközök támogatásaSupport for mobile devices

A következők támogatottak:The following are supported:

  • iOS 8.0 és újabb verziókiOS 8.0 and later
  • Android 4.0-s és újabb verziók, Samsung KNOX szabvány 4.0-s vagy újabb verziókAndroid 4.0 and later, Samsung Knox Standard 4.0 or later
  • Windows Phone 8.1 és újabb verziókWindows Phone 8.1 and later

Védheti a SharePoint Online-hoz való hozzáférést, ha a SharePoint Online-t iOS- és Android-eszközökön futó böngészővel érik el.You can protect access to SharePoint Online when iOS and Android devices access it from a browser. A hozzáférés csak a szabályzatnak megfelelő eszközök támogatott böngészőiről engedélyezett:Access is only allowed from supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Intune Managed Browser (iOS és Android 5.0 és újabb)Intune Managed Browser (iOS and Android 5.0 and later)

A nem támogatott böngészőkből nem lehetséges hozzáférni a szolgáltatáshoz.Unsupported browsers are blocked.

Számítógépek támogatásaSupport for PCs

A következők támogatottak:The following are supported:

  • Windows 8.1 és újabb (az Intune-nal regisztrált számítógépek esetében)Windows 8.1 and later (when PCs are enrolled with Intune)
  • Windows 7.0, Windows 8.1 vagy Windows 10 (ha a számítógépek tartományhoz csatlakoznak)Windows 7.0, Windows 8.1, or Windows 10 (when PCs are domain joined),

    Megjegyzés

    Ahhoz, hogy feltételes hozzáférést használhasson Windows 10-es számítógépeken, frissítenie kell a gépeket a Windows 10 évfordulós frissítéssel.To use conditional access with Windows 10 PCs, you must update those PCs with the Windows 10 Anniversary Update.

    • Tartományhoz csatlakozó számítógépek esetén be kell állítani az Azure Active Directoryban való automatikus regisztrációt.You must set up domain-joined PCs to automatically register with Azure Active Directory. Az Azure AD eszközregisztrációs szolgáltatása automatikusan aktiválódik az Intune-t és az Office 365-öt használó ügyfelek számára.The Azure AD Device Registration service will be activated automatically for Intune and Office 365 customers. Azok az ügyfelek, akik már telepítették az ADFS eszközregisztrációs szolgáltatását, nem fogják látni a regisztrált eszközöket a helyszíni Active Directoryban.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory.

    • Ha a szabályzat úgy van beállítva, hogy megkövetelje a tartományhoz való csatlakozást, és a számítógép nem csatlakozik tartományhoz, megjelenik egy üzenet, amely jelzi, hogy kapcsolatba kell lépni a rendszergazdával.If the policy is set to require a domain join and the PC isn't domain joined, a message is displayed to contact the IT admin.

    • Ha a szabályzat úgy van beállítva, hogy tartományhoz való csatlakozást vagy megfelelőséget követeljen meg, és a számítógép egyik követelménynek sem felel meg, egy utasításokat tartalmazó üzenet jelenik meg, amely leírja, hogy hogyan telepítse a Munkahelyi portál alkalmazást, és hogyan regisztrálja az eszközt.If the policy is set to require a domain join or compliance, and the PC doesn't meet either requirement, a message is displayed with instructions about how to install the Company Portal app and enroll.

      Megjegyzés

      A feltételes hozzáférés nem támogatott az Intune-számítógépügyfelet futtató számítógépeken.Conditional access is not supported on PCs that are running the Intune computer client.

Az Office 365 modern hitelesítésének engedélyezve kell lennie, és a számítógépre telepíteni kell az Office legújabb frissítéseit.Office 365 modern authentication must be enabled and have all the latest Office updates.

A modern hitelesítéssel Active Directory Authentication Library-alapú (ADAL-alapú) bejelentkezés biztosítható az Office 2013 Windows-ügyfelein, amely magasabb fokú biztonságot kínál, többek között a többtényezős hitelesítéssel és a tanúsítványalapú hitelesítéssel.Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Office 2013 Windows clients and enables better security, like multi-factor authentication and certificate-based authentication.

A SharePoint Online feltételes hozzáférésének beállításaConfigure conditional access for SharePoint Online

1. lépés: Az Active Directory-alapú biztonsági csoportok beállításaStep 1: Configure Active Directory security groups

Kezdés előtt állítsa be az Azure Active Directory-alapú biztonsági csoportokat a feltételes hozzáférési szabályzathoz.Before you start, configure Azure Active Directory security groups for the conditional access policy. Ezeket a csoportokat az Office 365 Felügyeleti központban vagy az Intune-fiókportálon konfigurálhatja.You can configure these groups in the Office 365 admin center or in the Intune account portal. Ezen csoportok alapján lehet megcélozni, illetve kivételként kezelni a felhasználókat.You use these groups to target or exempt users from the policy. Ha egy felhasználóra szabályzat vonatkozik, az erőforrások eléréséhez az általa használt összes eszköznek meg kell felelnie a szabályzatnak.When a user is targeted by a policy, each device that they use must be compliant in order to access resources.

Egy SharePoint Online-szabályzatban két csoporttípust adhat meg:You can specify two group types in a SharePoint Online policy:

  • Megcélzott csoportok: Azokat a felhasználói csoportokat tartalmazza, amelyekre a szabályzat vonatkozik.Targeted groups: Contains groups of users that the policy applies to.

  • Kivétel alá eső csoportok: A szabályzat alól mentesülő felhasználók csoportjait tartalmazza.Exempted groups: Contains groups of users that are exempt from the policy.

Ha egy felhasználó mindkét csoportban szerepel, mentesül a szabályzat alól.If a user is in both groups, they are exempt from the policy.

2. lépés: Megfelelőségi szabályzat konfigurálása és telepítéseStep 2: Configure and deploy a compliance policy

Ha eddig még nem tette meg, hozza létre és regisztrálja a megfelelőségi szabályzatot azoknak a felhasználóknak, akikre a SharePoint Online-szabályzat vonatkozni fog.If you haven't already done so, create a compliance policy, and deploy it to the users that the SharePoint Online policy targets.

Megjegyzés

A megfelelőségi szabályzatok a Microsoft Intune csoportjaira vonatkoznak, a feltételes hozzáférési szabályzatok viszont az Azure Active Directory biztonsági csoportjait célozzák meg.While compliance policies are deployed to Intune groups, conditional access policies are targeted to Azure Active Directory security groups.

A megfelelőségi szabályzat konfigurálásának részletei a Megfelelőségi szabályzat létrehozása című részben találhatók.For details about how to configure the compliance policy, see Create a compliance policy.

Fontos

Ha nem léptetett életbe megfelelőségi szabályzatot, a rendszer megfelelőnek tekinti az eszközöket.If you haven't deployed a compliance policy, the devices are treated as compliant.

Ha készen áll, folytassa a 3. lépéssel.When you're ready, continue to Step 3.

3. lépés: A SharePoint Online-szabályzat beállításaStep 3: Configure the SharePoint Online policy

Ezután állítsa be úgy a házirendet, hogy csak a felügyelt és a feltételeknek megfelelő eszközök érhessék el a SharePoint Online-t.Next, configure the policy to require that only managed and compliant devices can access SharePoint Online. A szabályzatot a rendszer ezek után az Azure Active Directoryban tárolja.This policy is stored in Azure Active Directory.

Megjegyzés

Az Intune-eszközökre vonatkozó feltételes hozzáférési szabályzatot az Azure AD felügyeleti konzoljában is létrehozhatja (ezeket a szabályzatokat az Azure AD eszközalapú feltételes hozzáférési szabályzatnak nevezi).You can also create a conditional access policy for Intune devices in the Azure AD management console (the policy is referred to as the device-based conditional access policy in Azure AD). Ezenfelül más feltételes hozzáférési szabályzatokat (például többtényezős hitelesítést) is létrehozhat.In addition, you can create other conditional access policies like multi-factor authentication. Külső gyártók vállalati alkalmazásaihoz is beállíthat feltételes hozzáférési szabályzatokat, ha az Azure AD támogatja őket (ilyen például a Salesforce és a Box).You can also set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. További részleteket a How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory connected applications (Hogyan állítható be eszközalapú feltételes hozzáférési szabályzat az Azure Active Directoryban az Azure Active Directoryhoz csatlakozó eszközök hozzáférés-vezérlésére) című cikkben olvashat.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory connected applications.

  1. A Microsoft Intune felügyeleti konzolon kattintson a Szabályzat > Feltételes hozzáférés > SharePoint Online-szabályzat lehetőségre.In the Microsoft Intune administration console, choose Policy > Conditional Access > SharePoint Online Policy. A SharePoint Online-szabályzat oldalát bemutató képernyőképScreenshot of the SharePoint Online Policy page

  2. Válassza a Feltételes hozzáférési szabályzat engedélyezése SharePoint Online-hoz lehetőséget.Select Enable conditional access policy for SharePoint Online.

  3. Az Alkalmazás hozzáférése szakaszban kiválaszthatja, hogy mire szeretné alkalmazni a feltételes hozzáférési szabályzatot:Under Application access, you can choose to apply the conditional access policy to:

    • Összes platformAll platforms

      Ha ezt a beállítást szeretné használni, a SharePoint Online elérésére használt összes eszközt regisztrálni kell az Intune-ban, és ezeknek meg kell felelniük a szabályzatoknak.This requires that any device used to access SharePoint Online is enrolled in Intune and is compliant with the policies. Minden modern hitelesítést használó ügyfélalkalmazás a feltételes hozzáférési szabályzat hatálya alá tartozik.Any client application that uses modern authentication is subject to the conditional access policy. Ha a platformot az Intune jelenleg nem támogatja, akkor a SharePoint Online-hoz sem lehet róla hozzáférni.If the platform isn't currently supported by Intune, access to SharePoint Online is blocked.

      A Minden platform beállítás kiválasztása esetén az Azure Active Directory minden hitelesítési kérelemre alkalmazza a szabályzatot, az ügyfélalkalmazás által jelentett platformtól függetlenül.Selecting the All platforms option means that Azure Active Directory applies this policy to all authentication requests, regardless of the platform that is reported by the client application. Az alábbiakat kivéve minden platform köteles regisztrálni, illetve megfelelni a szabályzatoknak:All platforms are required to be enrolled and become compliant, except for:

      • Azok a Windows-eszközök, amelyeket regisztrálni kell, illetve amelyeknek meg kell felelniük a szabályzatoknak, akár tartományhoz csatlakoznak, akár helyszíni Active Directoryt használnak, akár mindkettő igaz rájuk.Windows devices, which are required to be enrolled and compliant, domain joined with on-premises Active Directory, or both.
      • Nem támogatott platformok, például a Mac.Unsupported platforms like Mac. Azonban az ezekről a platformokról származó, de modern hitelesítést használó alkalmazások továbbra is le lesznek tiltva.However, apps using modern authentication that come from these platforms are still blocked.
    • Megadott platformokSpecific platforms

      A megadott platformokon minden modern hitelesítést használó ügyfélalkalmazás a feltételes hozzáférési szabályzat hatálya alá tartozik.The conditional access policy applies to any client app that is using modern authentication on the platforms that you specify.

      A Windows rendszerű számítógépek esetében a számítógépnek vagy tartományhoz csatlakoztatott számítógépnek kell lennie, vagy regisztrálva kell lennie az Intune-ban, és meg kell felelnie a szabályzatnak.For Windows PCs, a PC must either be domain joined, or enrolled with Intune and compliant. A következő követelményeket állíthatja be:You can set the following requirements:

      • Az eszközöknek tartományhoz kell csatlakozniuk vagy meg kell felelniük a házirendnek.Devices must be domain joined or compliant. Ezzel a lehetőséggel előírhatja, hogy a számítógépeknek tartományhoz kell csatlakozniuk, vagy meg kell felelniük az Intune-ban beállított szabályzatoknak.Choose this option to require that PCs must either be domain joined or compliant with the policies that are set in Intune. Ha a számítógép egyik követelménynek sem felel meg, a rendszer kéri a felhasználótól, hogy regisztrálja az eszközt az Intune-ban.If a PC doesn't meet either of these requirements, the user is prompted to enroll the device with Intune.

      • Az eszközöknek meg kell felelniük a házirendnek.Devices must be compliant. Ha ezt a lehetőséget választja, előírhatja, hogy a számítógépeknek regisztrálva kell lenniük az Intune-ban, és meg kell felelniük a szabályzatnak.Choose this option to require that PCs must be enrolled in Intune and compliant. Ha a számítógép nincs regisztrálva, megjelenik egy, a regisztráció lépéseit bemutató üzenet.If a PC isn't enrolled, a message with instructions on how to enroll is displayed.

  4. A Böngészőalapú hozzáférés SharePoint Online-hoz és a OneDrive Vállalati verzióhoz beállítás alatt engedélyezheti, hogy az Exchange Online-hoz csak a támogatott böngészőkkel lehessen hozzáférni: ezek a Safari (iOS) és a Chrome (Android).Under Browser access to SharePoint Online and OneDrive for Business, you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS) and Chrome (Android). Más böngészőkkel nem lehetséges a hozzáférés.Access from other browsers is blocked. A OneDrive beállított alkalmazás-hozzáférési platformkorlátozásai itt is érvényesek lesznek.The same platform restrictions that you selected for Application access for OneDrive also apply here.

    Az Android rendszerű eszközök felhasználóinak engedélyezniük kell a böngészőalapú hozzáférést.On Android devices, users must enable browser access. A felhasználónak ehhez a regisztrált eszközön be kell kapcsolnia a Böngészőalapú hozzáférés engedélyezése lehetőséget az alábbi módon:To do this, a user must choose the Enable Browser Access option on the enrolled device as follows:

    1. Nyissa meg a Munkahelyi portál alkalmazást.Open the Company Portal app.
    2. A három pontra (...) koppintva vagy a hardveres menü gombbal nyissa meg a Beállítások lapot.Go to the Settings page from the ellipsis (…) or hardware menu button.
    3. Kattintson a Böngészőalapú hozzáférés engedélyezése gombra.Press the Enable Browser Access button.
    4. A Chrome böngészőben jelentkezzen ki az Office 365-ből, majd indítsa újra a Chrome-ot.In the Chrome browser, sign out of Office 365 and restart Chrome.

    Az iOS és az Android platformokon a szolgáltatás eléréséhez használt eszköz azonosításához az Azure Active Directory egy TLS-tanúsítványt (Transport Layer Security) rendel az eszközhöz.On iOS and Android platforms, to identify the device that is used to access the service, Azure Active Directory issues a Transport Layer Security (TLS) certificate to the device. Az eszköz az alábbi képernyőfelvételnek megfelelően megjeleníti a tanúsítványt, és felkéri a felhasználót, hogy válassza ki a tanúsítványt.The device displays the certificate with a prompt to the user to select the certificate, as shown in the following screenshots. A felhasználónak a böngésző használatához ki kell választania ezt a tanúsítványt.The user must select this certificate before they can use the browser.

    iOSiOS

    Képernyőfelvétel a tanúsítvány kiválasztásának kéréséről egy iPad készüléken

    Android--Android

    Képernyőfelvétel a tanúsítvány kiválasztásának kéréséről egy Android készüléken

  5. A Megcélzott csoportok területen kattintson a Módosítás lehetőségre azoknak az Active Directorybeli biztonsági csoportoknak a kiválasztásához, amelyekre érvényes a szabályzat.Under Targeted Groups, choose Modify to select the Azure Active Directory security groups that the policy applies to. Kiválaszthatja, hogy a szabályzat minden felhasználóra, vagy csak felhasználók bizonyos csoportjaira vonatkozzon.You can choose to target this to all users or just a select group of users.

  6. A Kivétel alá eső csoportokterületen kattintson a Módosítás lehetőségre azon Active Directory-alapú biztonsági csoportok kiválasztásához, amelyekre nem érvényes a szabályzat.Under Exempted Groups, optionally, choose Modify to select the Azure Active Directory security groups that are exempt from this policy.

  7. Ha elkészült, válassza a Mentés elemet.When you're done, choose Save.

Nem kell telepítenie a feltételes hozzáférési szabályzatot, az azonnal érvénybe lép.You don't have to deploy the conditional access policy—it takes effect immediately.

4. lépés: A megfelelőség és a feltételes hozzáférési szabályzatok figyeléseStep 4: Monitor the compliance and conditional access policies

A Csoportok munkaterületen megtekintheti eszközei állapotát.In the Groups workspace, you can view the status of your devices.

Válassza ki a kívánt mobileszközök csoportját.Select any mobile device group. Ezután az Eszközök lapon válasszon az alábbi Szűrők közül:Then, on the Devices tab, choose one of the following Filters:

  • Az AAD-ben nem regisztrált eszközök.Devices that are not registered with AAD. Ezeknek az eszközöknek nem engedélyezett a SharePoint Online elérése.These devices are blocked from SharePoint Online.

  • Nem megfelelő eszközök.Devices that are not compliant. Ezeknek az eszközöknek nem engedélyezett a SharePoint Online elérése.These devices are blocked from SharePoint Online.

  • Az AAD-ben regisztrált és megfelelő eszközök.Devices that are registered with AAD and compliant. Ezeknek az eszközöknek engedélyezett a SharePoint Online elérése.These devices can access SharePoint Online.

További információSee also

Az e-mailek és az O365-szolgáltatások elérésének védelme a Microsoft Intune-banProtect access to email and O365 services with Microsoft Intune