A System Center Configuration Manager által felügyelt számítógépek esetében az Office 365-szolgáltatásokhoz való hozzáférés kezeléseManage access to Office 365 services for PCs managed by System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Konfigurálja a feltételes hozzáférés az Office 365-szolgáltatásokhoz a Configuration Manager által felügyelt számítógépek esetében.Configure conditional access to Office 365 services for PCs managed by Configuration Manager.

Fontos

A hibrid mobileszköz-kezelési többek között a helyszíni feltételes hozzáférés elavult funkciók.Hybrid MDM including on-premises conditional access are deprecated features. További információkért lásd: hibrid mobileszköz-kezelés.For more information, see What is hybrid MDM.

Ha a Configuration Manager-ügyféllel felügyelt eszközök feltételes hozzáférést használ, ellenőrizze, hogy továbbra is védettek, először engedélyeznie azokat az eszközöket az Intune feltételes hozzáférés áttelepítése előtt.If you use conditional access on devices managed with the Configuration Manager client, to make sure they are still protected, first enable conditional access in Intune for those devices before you migrate. Megosztott kezelés a Configuration Manager engedélyezése, helyezze át a megfelelőségi szabályzat munkaterhelés az Intune-hoz, és végezze el az áttelepítést, a hibrid Intune önálló Intune szolgáltatásba.Enable co-management in Configuration Manager, move the compliance policy workload to Intune, and then complete your migration from Intune hybrid to Intune standalone. További információkért lásd: feltételes hozzáférés a megosztott kezelés.For more information, see Conditional access with co-management.

Feltételes hozzáférés a Microsoft Intune által regisztrált és felügyelt eszközök konfigurálásáról további információért lásd: a System Center Configuration Managerben szolgáltatásokhoz való hozzáférés kezelése.For information on configuring conditional access for devices enrolled and managed by Microsoft Intune, see Manage access to services in System Center Configuration Manager. A cikk emellett ismerteti a tartományhoz csatlakoztatott és a megfelelőség szempontjából nem értékelt eszközök.That article also covers devices that are domain joined and not evaluated for compliance.

Megjegyzés

A Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót.Configuration Manager doesn't enable this optional feature by default. Használat előtt engedélyeznie kell ezt a szolgáltatást.You must enable this feature before using it. További információ: Enable optional features from updates.For more information, see Enable optional features from updates.

Támogatott szolgáltatásokSupported Services

  • Exchange OnlineExchange Online
  • SharePoint OnlineSharePoint Online

Támogatott számítógépekSupported PCs

  • Windows 7Windows 7
  • Windows 8.1Windows 8.1
  • Windows 10Windows 10

Támogatott Windows-kiszolgálókSupported Windows Servers

  • Windows Server 2008 R2Windows Server 2008 R2

  • Windows Server 2012Windows Server 2012

  • Windows Server 2012 R2Windows Server 2012 R2

  • Windows Server 2016Windows Server 2016

    Fontos

    Előfordulhat, hogy több felhasználó egyidejűleg bejelentkezett Windows-kiszolgálók esetében üzembe ugyanezeket a feltételes hozzáférési szabályzatokat az összes ezeket a felhasználókat.For Windows Servers that may have multiple users signed in simultaneously, deploy the same conditional access policies to all of these users.

Feltételes hozzáférés konfigurálásaConfigure conditional access

Feltételes hozzáférés beállításához először kell létrehozhat egy megfelelőségi szabályzatot, és a feltételes hozzáférési szabályzat konfigurálása.To set up conditional access, you must first create a compliance policy and configure conditional access policy. Számítógépekre vonatkozó feltételes hozzáférési szabályzatok konfigurálásakor megkövetelheti, hogy a számítógépeknek meg kell felelnie ahhoz, hogy az Exchange online-hoz és a SharePoint Online-szolgáltatások eléréséhez.When you configure conditional access policies for PCs, you can require that the PCs be compliant in order to access Exchange Online and SharePoint Online services.

ElőfeltételekPrerequisites

  • ADFS-szinkronizálás és az Office 365-előfizetéssel.ADFS Sync, and an Office 365 subscription. Az Office 365-előfizetéssel az Exchange online-hoz és a SharePoint Online beállításához.The Office 365 subscription is for setting up Exchange Online and SharePoint Online.

  • Microsoft Intune-előfizetés.A Microsoft Intune Subscription. A Microsoft Intune-előfizetést a Configuration Manager konzolon lehet beállítani.The Microsoft Intune Subscription should be configured in Configuration Manager Console. Az Intune-előfizetés az eszköz megfelelőségi állapotát az Azure Active Directoryhoz és a felhasználói licencelés továbbítási szolgál.The Intune subscription is used to relay device compliance state to Azure Active Directory and for user licensing.

    A számítógépeknek meg kell felelniük az alábbi követelményeknek:The PCs must meet the following requirements:

  • Az eszközöknek az Azure Directoryban történő regisztrálására vonatkozó előfeltételekPrerequisites for automatic device registration with Azure Active Directory

    A megfelelőségi szabályzat útján regisztrálhatja a számítógépeket az Azure AD szolgáltatásban.You can register PCs with Azure AD through the compliance policy.

    • A Windows 8.1 és Windows 10 rendszerű számítógépeken az Active Directory csoportházirend segítségével konfigurálhatja az eszközöket az Azure AD szolgáltatásban történő automatikus regisztrálásra.For Windows 8.1 and Windows 10 PCs, you can use an Active Directory Group Policy to configure your devices to register automatically with Azure AD.

    • o A Windows 7 rendszerű számítógépekre az eszközregisztrációs szoftvercsomagot kell telepítenie a System Center Configuration Manager segítségével.o For Windows 7 PCs, you must deploy the device registration software package to your Windows 7 PC through System Center Configuration Manager. A automatikus eszközregisztráció az joined eszközök további részleteket a cikk tartalmaz.The Automatic device registration with Azure Active Directory for Windows Domain-Joined Devices article has more details.

  • Az Office 2013-at vagy az Office 2016-ot úgy kell használni , hogy a modern hitelesítés engedélyezvelegyen.Must use Office 2013 or Office 2016 with modern authentication enabled.

    Az alábbi lépések érvényesek az Exchange online-hoz és a SharePoint online-hozThe following steps apply to both Exchange Online and SharePoint Online

1. lépésStep 1. Megfelelőségi szabályzat konfigurálásaConfigure compliance policy

A Configuration Manager konzolon hozzon létre egy megfelelőségi szabályzatot, amely a következő szabályokat tartalmazza:In the Configuration Manager Console, create a compliance policy with the following rules:

  • Az Azure Active Directoryban való regisztráció megkövetelése: Ez a szabály ellenőrzi, ha a felhasználó-eszköz munkahelyi az Azure AD-tartományhoz, és ha nem, akkor az Azure AD automatikusan regisztrálja az eszközt.Require registration in Azure Active Directory: This rule checks if the user's device is work-place joined to Azure AD, and if not, the device is automatically registered in Azure AD. Az automatikus regisztráció csak a Windows 8.1-es rendszerben támogatott.Automatic registration is only supported on Windows 8.1. Windows 7 rendszerű számítógépeken telepítsen egy MSI-csomagot az automatikus regisztráció végrehajtásához.For Windows 7 PCs, deploy an MSI to perform the auto registration. További információkért lásd: automatikus eszközregisztráció az Azure Active DirectoryvalFor more information, see Automatic device registration with Azure Active Directory

  • Az összes olyan telepített szükséges frissítés egy bizonyos számú napnál régebbi határidő: Adja meg az értéket kötelező frissítések a felhasználói eszközökön a telepítési határidő a türelmi időszak.All required updates installed with a deadline older than a certain number of days: Specify the value for the grace period from the deployment deadline for required updates on the user's device. Ez a szabály hozzáadása is automatikusan telepít minden függőben lévő kötelező frissítést.Adding this rule also automatically installs any pending required updates. Adja meg a szükséges frissítések a kötelező automatikus frissítések szabály.Specify the required updates in the Required automatic updates rule.

  • A BitLocker meghajtótitkosítás megkövetelése: Ez a szabály ellenőrzi, hogy az elsődleges meghajtója (például: C:\) az eszköz a BitLocker titkosítja.Require BitLocker drive encryption: This rule checks if the primary drive (for example, C:\) on the device is BitLocker encrypted. Ha a BitLocker-titkosítás nem engedélyezett az elsődleges eszköz, a levelezéshez és a SharePoint szolgáltatásokhoz való hozzáférés le van tiltva.If BitLocker encryption is not enabled on the primary device, access to email and SharePoint services is blocked.

  • Kártevőirtó megkövetelése: Ez a szabály ellenőrzi, hogy a System Center Endpoint Protection vagy a Windows Defender engedélyezve van, és futó.Require Antimalware: This rule checks if System Center Endpoint Protection or Windows Defender is enabled and running. Ha nincs engedélyezve a levelezéshez és a SharePoint szolgáltatásokhoz való hozzáférés le van tiltva.If it is not enabled, access to email and SharePoint services is blocked.

  • Állapotigazolási szolgáltatás által kifogástalanként jelentve: Ez az állapot magában foglalja a négy alszabályok ellenőrizheti az eszközmegfelelőségi szemben az Eszközállapot-igazolási szolgáltatása.Reported as healthy by Health Attestation Service: This condition includes four subrules to check the device compliance against the device health attestation service. További információkért lásd: Eszközállapot-igazolás.For more information, see Health attestation.

    • Az eszközön engedélyezni kell a BitLocker megköveteléseRequire BitLocker to be enabled on the device
    • Az eszközön engedélyezni kell a biztonságos rendszerindítás szükségesRequire Secure Boot to be enabled on the device
    • Az eszközön engedélyezni kell a Kódintegritás megköveteléseRequire Code Integrity to be enabled on the device
    • Korai indítású kártevőirtó engedélyezni kell az eszköz megköveteléseRequire Early Launch Anti-Malware to be enabled on the device

    Tipp

    Az Eszközállapot-igazolás a feltételes hozzáférés feltételeinek 1710-es verziójú rendszerben bevezetett egy kiadás előtti funkció.The conditional access criteria for device health attestation was first introduced in version 1710 as a pre-release feature. Az 1802-es verzió kezdve ez a funkció már nem előzetes funkciókat.Beginning with version 1802, this feature is no longer a pre-release feature.

    Megjegyzés

    A Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót.Configuration Manager doesn't enable this optional feature by default. Használat előtt engedélyeznie kell ezt a szolgáltatást.You must enable this feature before using it. További információ: Enable optional features from updates.For more information, see Enable optional features from updates.

2. lépésStep 2. A feltételes hozzáférés hatásának kiértékeléseEvaluate the effect of conditional access

Futtassa a megfelelőségi jelentés feltételes hozzáférésről.Run the Conditional Access Compliance Report. A található figyelés munkaterületén jelentések > megfelelőség és beállítások kezelése.It can be found in Monitoring workspace under Reports > Compliance and Settings Management. Ez a jelentés az összes eszköz megfelelőségi állapotát jeleníti meg.This report displays the compliance status for all devices. Nem megfelelőként jelentő eszközök hozzáférése le van tiltva az Exchange Online és SharePoint online-hoz.Devices reporting as not compliant are blocked from accessing Exchange Online and SharePoint Online.

A Configuration Manager konzol, munkaterület figyelési, jelentéskészítési, jelentések, megfelelőség és beállítások kezelése: Megfelelőségi jelentés feltételes hozzáférésről

Az Active Directory-alapú biztonsági csoportok beállításaConfigure Active Directory Security Groups

A feltételes hozzáférési szabályzatokkal a szabályzat típusától függően különböző felhasználói csoportokat célozhat meg.You target conditional access policies to groups of users depending on the policy types. Ezek a csoportok azon felhasználókat tartalmazza, amelyek a házirend célozza, vagy a mentesített a szabályzat alól.These groups contain the users that the policy targets, or exempt from the policy. Ha egy szabályzatot a felhasználó célozza, általa használt összes eszköznek megfelelő, a szolgáltatás eléréséhez kell lennie.When a policy targets a user, each device they use must be compliant in order to access the service.

Active Directory-alapú biztonsági csoportok.Active Directory security user groups. Az ilyen felhasználócsoportokat szinkronizálni kell az Azure Active Directoryval.These user groups should be synchronized to Azure Active Directory. A Microsoft 365 felügyeleti központban vagy az Intune-fiókportál is konfigurálhatja ezeket a csoportokat.You can also configure these groups in the Microsoft 365 admin center, or the Intune account portal.

Mindegyik szabályzatban két csoporttípust is megadhat.You can specify two group types in each policy. ::

  • Megcélzott csoportok -felhasználói csoportok, amelyekre a szabályzat érvényes.Targeted groups - User groups to which the policy is applied. Megfelelőségi és feltételes hozzáférési szabályzat egyaránt ugyanabba a csoportba kell használni.The same group should be used both for compliance and conditional access policy.

  • Kivétel alá eső csoportok -felhasználói csoportokat, amelyek mentesülnek a szabályzat alól (nem kötelező).Exempted groups - User groups that are exempt from the policy (optional).
    Ha egy felhasználó mindkettőben szerepel, akkor a szabályzat alól mentesítendő.If a user is in both, they are exempt from the policy.

    Csak a feltételes hozzáférési szabályzat által célzott csoportokat értékeli ki a rendszer.Only the groups, which are targeted by the conditional access policy, are evaluated.

3. lépésStep 3. Feltételes hozzáférési szabályzat konfigurálása az Exchange Online-hoz és a SharePoint Online-hozCreate a conditional access policy, for Exchange Online and SharePoint Online

  1. Kattintson a Configuration Manager-konzolon az Eszközök és megfelelőség elemre.In the Configuration Manager console, click Assets and Compliance.

  2. Ha az Exchange Online-hoz szeretne létrehozni szabályzatot, válassza a Feltételes hozzáférési házirend engedélyezése Exchange Online-hozlehetőséget.To create a policy for Exchange Online, select Enable conditional access policy for Exchange Online.

    Ha a SharePoint Online-hoz szeretne létrehozni szabályzatot, válassza a Feltételes hozzáférési házirend engedélyezése a SharePoint Online-hozlehetőséget.To create a policy for SharePoint Online, select Enable conditional access policy for Exchange Online.

  3. A Kezdőlap Hivatkozások csoportjában kattintson a Feltételes hozzáférési szabályzat konfigurálása az Intune-konzolonhivatkozásra.On the Home tab, in the Links group, click Configure Conditional Access Policy in the Intune Console. Előfordulhat, hogy meg kell adnia annak a fióknak a felhasználónevét és jelszavát, amely a Configuration Manager és az Intune közötti kapcsolat létrehozására használatos.You might need to supply the user name and password of the account used to connect Configuration Manager with Intune.

    Megnyílik az Intune felügyeleti konzolon.The Intune admin console opens.

  4. Az Exchange online-hoz, a Microsoft Intune felügyeleti konzolján kattintson a házirend > feltételes hozzáférés > Exchange Online-szabályzat.For Exchange Online, in the Microsoft Intune administration console, click Policy > Conditional Access > Exchange Online Policy.

    A SharePoint online-hoz, a Microsoft Intune felügyeleti konzolján kattintson a házirend > feltételes hozzáférés > SharePoint Online-szabályzat.For SharePoint Online, in the Microsoft Intune administration console, click Policy > Conditional Access > SharePoint Online Policy.

  5. A Windows-számítógépekre vonatkozó követelményként válasszaAz eszközöknek meg kell felelniük a házirendnekbeállítást.Set the Windows PC requirement toDevices must be compliant option.

  6. A megcélzott csoportok, kattintson a módosítás jelölje be az Azure Active Directory biztonsági csoportokat, amelyekre a szabályzat vonatkozik.Under Targeted Groups, click Modify to select the Azure Active Directory security groups to which the policy applies.

    Megjegyzés

    Az ugyanazon felhasználói csoporthoz biztonsági szabályzat előírásainak való megfelelést, és a célba vett csoport feltételes hozzáférési házirend üzembe helyezéséhez használandó.The same security user group should be used for deploying compliancy policy and the Targeted Group for conditional access policy.

    A Kivétel alá eső csoportokterületen kattintson a Módosítás lehetőségre azon Active Directory-alapú biztonsági csoportok kiválasztásához, amelyekre nem érvényes a szabályzat.Under Exempted Groups, optionally, click Modify to select the Azure Active Directory security groups that are exempt from this policy.

  7. Kattintson a Mentés gombra a szabályzat létrehozásához és mentéséhez.Click Save to create and save the policy

Felhasználók a Szoftverközpontban megfelelőségi információinak megtekintése.Users view compliance information in Software Center. Meg nem felelés miatt letiltott, amikor egy új szabályzat-kiértékelés szervizelés alatt áll a megfelelőségi problémák megoldása után kezdeményezni.When blocked due to noncompliance, initiate a new policy evaluation after remediating compliance issues.

További információSee also