Feltételes hozzáférési szabályzat létrehozása és hozzárendelése a helyszíni Exchange-hez és a régi Dedikált Exchange Online-hoz az Azure-os Microsoft Intune-nalHow to create and assign a conditional access policy for Exchange on-premises and legacy Exchange Online Dedicated in Microsoft Intune

A következőkre vonatkozik: Intune az Azure PortalonApplies to: Intune in the Azure portal
A klasszikus portálbeli Intune-ról keres dokumentációt?Looking for documentation about Intune in the classic portal? Lépjen tovább ide.Go here.

Ez a témakör végigvezeti azokon a lépéseken, amelyekkel az eszköz megfelelőségén alapuló feltételes hozzáférés konfigurálható az Exchange-hez.This topic walks you through the process of configuring conditional access for Exchange on-premises based on device compliance.

Ha dedikált Exchange Online-környezettel rendelkezik, és szeretné tudni, hogy az új vagy az örökölt konfiguráció tartozik-e hozzá, lépjen kapcsolatba a fiókkezelővel.If you have an Exchange Online Dedicated environment and need to find out whether it is in the new or the legacy configuration, please contact your account manager. A helyszíni Exchange-hez vagy az örökölt dedikált Exchange Online környezethez való e-mail hozzáférés szabályozásához az Intune-ban konfiguráljon feltételes hozzáférést a helyszíni Exchange-hez.To control email access to Exchange on-premises or to your legacy Exchange Online Dedicated environment, configure conditional access to Exchange on-premises in Intune.

ElőkészületekBefore you begin

Mielőtt konfigurálja a feltételes hozzáférést, ellenőrizze a következőket:Before you can configure conditional access, verify the following:

  • Az Exchange esetében Exchange 2010 SP1 vagy újabb verzió szükséges.Your Exchange version must be Exchange 2010 SP1 or later. Az Exchange-kiszolgáló ügyfél-hozzáférési kiszolgálótömbje (CAS) nem támogatott.Exchange server Client Access Server (CAS) array is supported.

  • Az Exchange Active Sync helyszíni Exchange-összekötőt kell használni, amely összekapcsolja az Intune-t a helyszíni Exchange-dzsel.You must use the Exchange Active Sync on-premises Exchange connector, which connects Intune to on-premises Exchange.

    Fontos

    Az Exchange-összekötő az Intune-bérlőjéhez tartozik, és semmilyen más bérlővel nem használható.The on-premises Exchange connector is specific to your Intune tenant and cannot be used with any other tenant. Gondoskodjon róla, hogy bérlője Exchange-összekötője csak egy számítógépen legyen telepítve.You should also ensure that the exchange connector for your tenant is installed on only one machine.

  • Az összekötő bármely gépre telepíthető, amennyiben az képes az Exchange-kiszolgálóval való kommunikációra.The connector can be installed on any machine as long as that machine is able to communicate with the Exchange server.

  • Ez az összekötő támogatja az Exchange CAS-környezetet.The connector supports Exchange CAS environment. Ha szeretné, technikailag az is megoldható, hogy közvetlenül az Exchange CAS-kiszolgálóra telepítse az összetevőt, ez azonban nem javasolt, mert növeli a kiszolgálót érő terhelést.You can technically install the connector on the Exchange CAS server directly if you wish to, but it is not recommended, as it will increase the load on the server. Az összekötőt úgy kell konfigurálni, hogy az kommunikáljon az Exchange CAS-kiszolgálók valamelyikével.When configuring the connector, you must set it up to communicate to one of the Exchange CAS servers.

  • Az Exchange ActiveSync tanúsítványalapú hitelesítéssel vagy felhasználó által megadott hitelesítő adatokkal konfigurálandó.Exchange ActiveSync must be configured with certificate based authentication, or user credential entry.

  • Amikor feltételes hozzáférési szabályzatokat konfigurál és rendel hozzá felhasználókhoz, a felhasználók csak akkor csatlakozhatnak az e-mail fiókjukhoz, ha a használt eszköz:When conditional access policies are configured and targeted to a user, before a user can connect to their email, the device they use must be:

    • Regisztrálva van az Intune-ban, vagy olyan számítógép, amely csatlakoztatva van egy tartományhoz.Either enrolled with Intune or is a domain joined PC.
    • Regisztrálva van az Azure Active Directoryban.Registered in Azure Active Directory. Ezenkívül az ügyfél Exchange ActiveSync-azonosítójának regisztrálva kell lennie az Azure Active Directoryban.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.
  • Az AAD DRS szolgáltatás automatikusan aktiválódik az Intune-t és az Office 365-öt használó ügyfelek számára.AAD DRS will be activated automatically for Intune and Office 365 customers. Azok az ügyfelek, akik már telepítették az ADFS eszközregisztrációs szolgáltatását, nem fogják látni a regisztrált eszközöket a helyszíni Active Directoryban.Customers who have already deployed the ADFS Device Registration Service will not see registered devices in their on-premises Active Directory. Ez nem érvényes a Windows rendszerű számítógépekre és a Windows Phone-eszközökre.This does not apply to Windows PCs and Windows Phone devices.

  • Meg kell felelnie az eszközre telepített összes megfelelőségi szabályzatnak.Compliant with device compliance policies deployed to that device.

  • Ha az eszköz nem felel meg a feltételes hozzáférés beállításainak, a felhasználó a következő üzenetek valamelyikét kapja bejelentkezéskor:If the device does not meet conditional access settings, the user is presented with one of the following messages when they log in:

    • Ha az eszköz nincs regisztrálva az Intune-ban vagy az Azure Active Directoryban, megjelenik egy üzenet, amely leírja, hogyan kell telepíteni a Munkahelyi portál alkalmazást, regisztrálni az eszközt és aktiválni az e-mailt.If the device is not enrolled with Intune, or is not registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Ez a folyamat hozzárendeli az eszköz Exchange ActiveSync-azonosítóját is az Azure Active Directoryban lévő eszközrekordhoz.This process also associates the device's Exchange ActiveSync ID with the device record in Azure Active Directory.
    • Ha az eszköz nem felel meg a feltételeknek, egy üzenet jelenik meg, amely a felhasználót az Intune Munkahelyi portál webhelyére vagy a Munkahelyi portál alkalmazásba irányítja, ahol további információt talál a problémáról és megoldásáról.If the device is not compliant, a message is displayed that directs the user to the Intune Company Portal website, or the Company Portal app where they can find information about the problem and how to remediate it.

A mobileszközök támogatásaSupport for mobile devices

  • Windows Phone 8.1 és újabb verziókWindows Phone 8.1 and later
  • Natív e-mail alkalmazás iOS rendszerű eszközökön.Native email app on iOS.
  • EAS levelezési ügyfélprogramok, mint például a Gmail az Android 4-es vagy újabb verzióiban.EAS mail clients such as Gmail on Android 4 or later.
  • EAS levelezési ügyfélprogramok Android for Work eszközökön: a munka profilban csak a Gmail és a Nine Work alkalmazások támogatottak Android for Work eszközökön.EAS mail clients Android for Work devices: Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Ahhoz, hogy a feltételes hozzáférés működjön Android for Work rendszerű eszközökön, telepíteni kell egy email-profilt a Gmail vagy a Nine Work alkalmazáshoz, és ezeket az alkalmazásokat kötelező telepítésként kell központilag telepíteni.For conditional access to work with Android for Work, you must deploy an email profile for the Gmail or Nine Work app, and also deploy those apps as a required install.
Megjegyzés

A Microsoft Outlook alkalmazás Android- és iOS-verziója nem támogatott.Microsoft Outlook app for Android and iOS is not supported. Az Android for Work a következő néhány hónap során lesz biztosítva az Intune-bérlők számára.Android for Work is currently being rolled out across Intune tenants over the next few months.

Számítógépek támogatásaSupport for PCs

A natív Posta alkalmazás a Windows 8.1-es és újabb verzióiban (az Intune-ban regisztrálva)The native Mail application on Windows 8.1 and later (when enrolled with Intune)

A helyszíni Exchange-hozzáférés konfigurálásaConfigure Exchange on-premises access

  1. Az Azure Portalon jelentkezzen be az Intune-os hitelesítő adataival.Go to the Azure portal, and sign in with your Intune credentials.

  2. Miután sikeresen bejelentkezett, megjelenik az Azure irányítópultja.After you've successfully signed in, you see the Azure Dashboard.

  3. Válassza a bal oldali menü További szolgáltatások pontját, majd írja be a szűrő szövegmezőbe az Intune nevet.Choose More services from the left menu, then type Intune in the text box filter.

  4. Az Intune kiválasztásával megjelenik az Intune irányítópultja.Choose Intune, you see the Intune Dashboard.

  5. Válassza a Helyszíni hozzáférés lehetőségetChoose On-Premise Access, then choose

  6. A Helyszíni panelen látható a feltételes hozzáférési szabályzat állapota, és az, hogy mely eszközökre van hatással.The On-premises blade shows the status of the conditional access policy and the devices that are affected by it.

  7. Válassza a Kezelés terület Helyszíni Exchange-hozzáférés elemét.Under Manage, choose Exchange on-premises access.

  8. Engedélyezze a helyszíni Exchange hozzáférés-vezérlését az Helyszíni Exchange-hozzáférés panel Igen elemét választva.On the Exchange on-premises access blade, choose Yes to enable Exchange on-premises access control.

    Megjegyzés

    Ha nem konfigurálta az Exchange Active Sync helyszíni összekötőt, ez a beállítás nem érhető el.If you have not configured the Exchange Active Sync on-premises connector, this option will be disabled. Először telepítenie és konfigurálnia kell ezt az összekötőt, csak azt követően aktiválhatja a feltételes hozzáférést a helyszíni Exchange-hez.You must first install and configure this connector before enabling conditional access for Exchange on-premises. További részletek A helyszíni Intune Exchange Connector telepítése című cikkben olvashatók.For more details, see Install the Intune On-premises Exchange Connector

  9. A Hozzárendelés beállításnál válassza a Tartalmazott csoportok lehetőséget.Under Assignment, choose Groups Included. Használja azt a biztonsági felhasználócsoportot, amelynek feltételes hozzáférést szeretne előírni.Use the security user group that should have conditional access applied to it. Ez megköveteli a felhasználóktól, hogy regisztrálják az eszközüket az Intune-ban, és megfeleljenek a megfelelőségi profiloknak.This would require the users to enroll their devices in Intune and be compliant with the compliance profiles.

  10. Ha ki szeretne zárni bizonyos felhasználócsoportokat, akkor válassza a Kizárt csoportok lehetőséget, majd egy olyan felhasználócsoportot, amelyet mentesíteni szeretne a kötelező eszközregisztráció és a feltételeknek való megfelelés alól.If you want to exclude a certain groups of users, you can do so by choosing Groups Excluded and selecting a user group that you want to be exempt from requiring device enrollment and compliance.

  11. Válassza a Beállítások terület Felhasználói értesítések elemét, és módosítsa az alapértelmezett e-mail szövegét.Under Settings, choose User notifications to modify the default email message. Ezt az üzenetet küldi el a rendszer a felhasználóknak, ha egy a feltételeknek nem megfelelő eszközzel próbálják meg elérni a helyszíni Exchange-et.This message is sent to users if their device is not compliant and they want to access Exchange on-premises. Az üzenetsablon egy jelölőnyelvet használ.The message template uses Markup language. Amint beírja az üzenetet, azt is követheti, hogy mit fog látni a címzett.You will also see the preview of how the message looks as you type.

    Tipp

    A jelölőnyelvekről ez a Wikipedia-cikk nyújt tájékoztatást.To learn more about Markup language see this Wikipedia article.

  12. Az Exchange ActiveSync speciális hozzáférési beállításai panelen adja meg a következő két lépésben ismertetett módon az Intune által nem kezelt eszközökre vonatkozó alapértelmezett globális hozzáférési szabályt, illetve a platformszintű szabályokat.On the Advanced Exchange Active Sync access settings blade, set the global default rule for access from devices that are not managed by Intune, and for platform-level rules as described in the next two steps.

  13. Választhat, hogy engedélyezi vagy letiltja az Exchange elérését az olyan eszközök számára, amelyekre nem vonatkoznak feltételes hozzáférési vagy egyéb szabályok.For a device that is not affected by conditional access or other rules, you can choose to allow it to access Exchange, or block it.

    • Ha itt a hozzáférés engedélyezését állítja be, azonnal minden eszköz hozzáfér a helyszíni Exchange-hez.When you set this to allow access, all devices will be able to access Exchange on-premises immediately. A Tartalmazott csoportokban foglalt felhasználók eszközeinek hozzáférését letiltja a rendszer, ha a kiértékelés során nem felelnek meg a megfelelőségi szabályzatoknak, vagy nincsenek regisztrálva az Intune-ban.Devices that belong to the users in the Groups Included, are blocked if they are subsequently evaluated as not compliant with the compliant policies or not enrolled in Intune.
    • Ha ezt a beállítást a hozzáférés letiltására állítja be, akkor a rendszer kezdetben azonnal megakadályoz minden eszközt a helyszíni Exchange elérésében.When you set this to block access, all devices will be immediately blocked from accessing Exchange on-premises initially. A Tartalmazott csoportokban foglalt eszközök felhasználói viszont hozzáférést kapnak, ha az eszközük regisztrálva van az Intune-ban, és a kiértékeléskor megfelel a feltételeknek.Devices that belong to users in the Groups Included will get access once the device is enrolled in Intune and is evaluated as compliant. A nem Samsung KNOX Standard rendszerű androidos eszközöket mindig letiltja, mert az ilyen eszközök nem támogatják ezt a beállítást.On Android devices that do not run Samsung KNOX standard will always be blocked as they do not support this setting.
  14. Válassza az Eszközplatform-kivételek terület Hozzáadás gombját a platformok megadásához.Under Device platform exceptions, choose Add to specify the platforms. Ha a Nem felügyelt eszközhozzáférés beállítása Letiltva, a regisztrált és a feltételeknek megfelelő eszközök akkor is hozzáférést kapnak, ha a platformkivétel letiltja őket.If the unmanaged device access setting is set to blocked, devices that are enrolled and compliant will be allowed even if there is a platform exception to block. Mentse a beállításokat az OK gombra kattintva.Choose Ok to save the settings.

  15. Mentse a feltételes hozzáférési szabályzatot a Helyszíni panel Mentés gombjára kattintva.On the On-premises blade, click Save to save the conditional access policy.

Azure AD feltételes hozzáférési szabályzatok létrehozása az Intune-banCreate Azure AD Conditional access policies in Intune

Az Intune 1704-es kiadásától kezdve a rendszergazdák Azure AD feltételes hozzáférési szabályzatokat hozhatnak létre az Intune Azure Portal webhelyen, így nem szükséges váltani az Azure és az Intune számítási feladatok között.Beginning with Intune 1704 release, admins can create Azure AD conditional access policies from the Intune Azure portal, which gives convenience so you don't need to switch between the Azure and Intune workloads.

Fontos

Ahhoz, hogy Azure AD feltételes hozzáférési szabályzatokat hozhasson létre az Intune Azure Portal webhelyen, Azure AD Premium szintű előfizetésre van szükség.You need to have an Azure AD Premium license to create Azure AD conditional access policies from the Intune Azure portal.

Azure AD feltételes hozzáférési szabályzat létrehozásaTo create Azure AD conditional access policy

  1. Az Intune irányítópultján válassza a Feltételes hozzáférés lehetőséget.In the Intune Dashboard, choose Conditional access.

  2. Az új Azure AD feltételes hozzáférési szabályzat létrehozásához a Szabályzatok panelen válassza az Új szabályzat lehetőséget.In the Policies blade, choose New policy to create your new Azure AD conditional access policy.

További információSee also

Feltételes hozzáférés az Azure Active DirectorybanConditional Access in Azure Active Directory