Az Office 365-szolgáltatásokhoz való hozzáférés kezelése a System Center Configuration Manager által felügyelt számítógépek esetébenManage access to O365 services for PCs managed by System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Konfigurálja a feltételes hozzáférést az Office 365-szolgáltatásokhoz, a Configuration Manager által felügyelt számítógépek esetében.Configure conditional access to Office 365 services for PCs managed by Configuration Manager.

Megjegyzés

A Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót.Configuration Manager doesn't enable this optional feature by default. Használat előtt engedélyeznie kell ezt a szolgáltatást.You must enable this feature before using it. További információkért lásd: a frissítések választható funkcióinak engedélyezése.For more information, see Enable optional features from updates.

Feltételes hozzáférés az eszközök Microsoft Intune által regisztrált és felügyelt konfigurálásáról további információkért lásd: kezelése a System Center Configuration Manager-szolgáltatásokhoz való hozzáférés.For information on configuring conditional access for devices enrolled and managed by Microsoft Intune, see Manage access to services in System Center Configuration Manager. Cikkben is magában foglalja a tartományhoz csatlakoztatott, és nem a megfelelőség kiértékelésén eszközök.That article also covers devices that are domain joined and not evaluated for compliance.

Támogatott szolgáltatásokSupported Services

  • Exchange OnlineExchange Online
  • SharePoint OnlineSharePoint Online

Támogatott számítógépekSupported PCs

  • Windows 7Windows 7
  • Windows 8.1Windows 8.1
  • Windows 10Windows 10

Támogatott Windows-kiszolgálókSupported Windows Servers

  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2016Windows Server 2016

    Fontos

    A Windows-kiszolgálók, amelyek több felhasználó jelentkezik be egy időben kell az azonos feltételes hozzáférési szabályzatokat az összes felhasználó.For Windows Servers that may have multiple users signed in simultaneously, deploy the same conditional access policies to all of these users.

Feltételes hozzáférés konfigurálásaConfigure conditional access

Feltételes hozzáférés beállításához először megfelelőségi szabályzat létrehozása és konfigurálása a feltételes hozzáférési szabályzat.To set up conditional access, you must first create a compliance policy and configure conditional access policy. Számítógépekre vonatkozó feltételes hozzáférési szabályzatok konfigurálásakor megkövetelheti, hogy a számítógépeknek meg kell felelnie ahhoz, hogy hozzáférhessen az Exchange Online és SharePoint Online szolgáltatáshoz.When you configure conditional access policies for PCs, you can require that the PCs be compliant in order to access Exchange Online and SharePoint Online services.

ElőfeltételekPrerequisites

  • ADFS-szinkronizálás és O365-előfizetés.ADFS Sync, and an O365 subscription. Az O365-előfizetés az Exchange Online és a SharePoint Online beállításához szükséges.The O365 subscription is for setting up Exchange Online and SharePoint Online.

  • Microsoft Intune-előfizetés.A Microsoft Intune Subscription. A Microsoft Intune-előfizetést a Configuration Manager konzolon lehet beállítani.The Microsoft Intune Subscription should be configured in Configuration Manager Console. Az Intune-előfizetés az eszköz megfelelőségi állapotát az Azure Active Directory és a felhasználó licencelése továbbítása szolgál.The Intune subscription is used to relay device compliance state to Azure Active Directory and for user licensing.

    A számítógépeknek meg kell felelniük az alábbi követelményeknek:The PCs must meet the following requirements:

  • Az eszközöknek az Azure Directoryban történő regisztrálására vonatkozó előfeltételekPrerequisites for automatic device registration with Azure Active Directory

    A megfelelőségi szabályzat útján regisztrálhatja a számítógépeket az Azure AD szolgáltatásban.You can register PCs with Azure AD through the compliance policy.

    • A Windows 8.1 és Windows 10 rendszerű számítógépeken az Active Directory csoportházirend segítségével konfigurálhatja az eszközöket az Azure AD szolgáltatásban történő automatikus regisztrálásra.For Windows 8.1 and Windows 10 PCs, you can use an Active Directory Group Policy to configure your devices to register automatically with Azure AD.

    • o A Windows 7 rendszerű számítógépekre az eszközregisztrációs szoftvercsomagot kell telepítenie a System Center Configuration Manager segítségével.o For Windows 7 PCs, you must deploy the device registration software package to your Windows 7 PC through System Center Configuration Manager. A joined eszközök automatikus regisztrálásának cikk további részleteket tartalmaz.The Automatic device registration with Azure Active Directory for Windows Domain-Joined Devices article has more details.

  • Az Office 2013-at vagy az Office 2016-ot úgy kell használni , hogy a modern hitelesítés engedélyezve legyen.Must use Office 2013 or Office 2016 with modern authentication enabled.

    Az alábbi lépéseket az Exchange Online és a SharePoint Online alkalmazásaThe following steps apply to both Exchange Online and SharePoint Online

1. lépésStep 1. Megfelelőségi szabályzat konfigurálásaConfigure compliance policy

A Configuration Manager konzolon hozzon létre egy megfelelőségi szabályzatot, amely a következő szabályokat tartalmazza:In the Configuration Manager Console, create a compliance policy with the following rules:

  • Az Azure Active Directoryban való regisztráció megkövetelése: Ez a szabály ellenőrzi, hogy a felhasználói eszközök munkahelyi az Azure AD-tartományhoz, és ha nem, az Azure AD automatikusan regisztrálja az eszközt.Require registration in Azure Active Directory: This rule checks if the user's device is work-place joined to Azure AD, and if not, the device is automatically registered in Azure AD. Az automatikus regisztráció csak a Windows 8.1-es rendszerben támogatott.Automatic registration is only supported on Windows 8.1. Windows 7 rendszerű számítógépeken telepítsen egy MSI-csomagot az automatikus regisztráció végrehajtásához.For Windows 7 PCs, deploy an MSI to perform the auto registration. További információkért lásd: automatikus eszközregisztráció az Azure Active DirectorybanFor more information, see Automatic device registration with Azure Active Directory

  • Az összes szükséges frissítés telepítve egy bizonyos számú napnál régebbi határidő: Adja meg az értéket a kötelező frissítések a felhasználó eszközén a telepítési határidő a türelmi időszak.All required updates installed with a deadline older than a certain number of days: Specify the value for the grace period from the deployment deadline for required updates on the user's device. Ez a szabály hozzáadása is automatikusan telepít minden függőben lévő kötelező frissítést.Adding this rule also automatically installs any pending required updates. Adja meg a szükséges frissítéseket a kötelező automatikus frissítések szabály.Specify the required updates in the Required automatic updates rule.

  • BitLocker meghajtótitkosítás megkövetelése: Ez a szabály ellenőrzi, hogy a fő meghajtón (például a C:\) az eszközön a BitLocker titkosítva van.Require BitLocker drive encryption: This rule checks if the primary drive (for example, C:\) on the device is BitLocker encrypted. Ha a Bitlocker titkosítás nincs engedélyezve az elsődleges eszközön, e-mailekhez és SharePoint-szolgáltatásokhoz való hozzáférés le van tiltva.If Bitlocker encryption is not enabled on the primary device, access to email and SharePoint services is blocked.

  • Kártevőirtó megkövetelése: Ez a szabály ellenőrzi, hogy a System Center Endpoint Protection vagy a Windows Defender engedélyezve van és fut.Require Antimalware: This rule checks if System Center Endpoint Protection or Windows Defender is enabled and running. Ha nincs engedélyezve a levelezéshez és a SharePoint szolgáltatásokhoz való hozzáférés le van tiltva.If it is not enabled, access to email and SharePoint services is blocked.

  • Jelentett Eszközállapot-igazolási szolgáltatás által kifogástalanként: Ez az állapot ellenőrzése az eszköznek meg kell felelnie az Eszközállapot-igazolási szolgáltatás ellen négy alszabályok tartalmaz.Reported as healthy by Health Attestation Service: This condition includes four subrules to check the device compliance against the device health attestation service. További információkért lásd: az Eszközállapot-igazolás.For more information, see Health attestation.

    • Kötelező a BitLocker engedélyezése az eszközönRequire BitLocker to be enabled on the device
    • Szükséges a biztonságos rendszerindítás engedélyezése az eszközönRequire Secure Boot to be enabled on the device
    • Engedélyezni kell az eszköz a kód sértetlenségének megköveteléseRequire Code Integrity to be enabled on the device
    • A korai indítású kártevőirtó engedélyezni kell az eszközön megköveteléseRequire Early Launch Anti-Malware to be enabled on the device

    Tipp

    Az Eszközállapot-igazolás a feltételes hozzáférési feltételek adatbázisának 1710 verzióra egy kiadás előtti funkció.The conditional access criteria for device health attestation was first introduced in version 1710 as a pre-release feature. 1802 verziójával kezdve ez a funkció most már egy előzetes verziójú funkció.Beginning with version 1802, this feature is no longer a pre-release feature.

    Megjegyzés

    A Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót.Configuration Manager doesn't enable this optional feature by default. Használat előtt engedélyeznie kell ezt a szolgáltatást.You must enable this feature before using it. További információkért lásd: a frissítések választható funkcióinak engedélyezése.For more information, see Enable optional features from updates.

2. lépésStep 2. A feltételes hozzáférés hatásának kiértékeléseEvaluate the effect of conditional access

Futtassa a megfelelőségi jelentés feltételes hozzáférésről.Run the Conditional Access Compliance Report. A található figyelés munkaterület jelentések > megfelelőség és beállítások kezelése.It can be found in Monitoring workspace under Reports > Compliance and Settings Management. Ez a jelentés az összes eszköz megfelelőségi állapotát jeleníti meg.This report displays the compliance status for all devices. Az eszközöket, nem megfelelőként sem hozzáférését az Exchange Online és SharePoint online-hoz.Devices reporting as not compliant are blocked from accessing Exchange Online and SharePoint Online.

A Configuration Manager konzol, munkaterület figyelési, jelentéskészítési, jelentések, megfelelőség és beállítások kezelése: Megfelelőségi jelentés feltételes hozzáférésről

Az Active Directory-alapú biztonsági csoportok beállításaConfigure Active Directory Security Groups

A feltételes hozzáférési szabályzatokkal a szabályzat típusától függően különböző felhasználói csoportokat célozhat meg.You target conditional access policies to groups of users depending on the policy types. Ezek a csoportok tartalmazzák a felhasználókat, hogy a házirend-tárolók és kivételként a szabályzat alól.These groups contain the users that the policy targets, or exempt from the policy. Ha egy házirend célja a felhasználók, általa használt összes eszköznek kompatibilisnek a szolgáltatás eléréséhez kell lennie.When a policy targets a user, each device they use must be compliant in order to access the service.

Active Directory-alapú biztonsági csoportok.Active Directory security user groups. Az ilyen felhasználócsoportokat szinkronizálni kell az Azure Active Directoryval.These user groups should be synchronized to Azure Active Directory. Ezeket a csoportokat az Office 365 Felügyeleti központban vagy az Intune-fiókportálon konfigurálhatja.You can also configure these groups in the Office 365 admin center, or the Intune account portal.

Minden házirendben két csoporttípust adhat meg.You can specify two group types in each policy. ::

  • Megcélzott csoportok -felhasználói csoportok, amelyekre a szabályzat érvényes.Targeted groups - User groups to which the policy is applied. Ugyanabban a csoportban megfelelőségi és feltételes hozzáférési házirend egyaránt használhatók.The same group should be used both for compliance and conditional access policy.

  • Kivétel alá eső csoportok -felhasználói csoportokat, amelyek mentesülnek a szabályzat alól (nem kötelező).Exempted groups - User groups that are exempt from the policy (optional).
    Ha egy felhasználó mindkét, azok a házirend alól.If a user is in both, they are exempt from the policy.

    Csak a feltételes hozzáférési szabályzat által célzott csoportokat értékeli ki a rendszer.Only the groups, which are targeted by the conditional access policy, are evaluated.

3. lépésStep 3. Feltételes hozzáférési szabályzat konfigurálása az Exchange Online-hoz és a SharePoint Online-hozCreate a conditional access policy, for Exchange Online and SharePoint Online

  1. Kattintson a Configuration Manager-konzolon az Eszközök és megfelelőség elemre.In the Configuration Manager console, click Assets and Compliance.

  2. Ha az Exchange Online-hoz szeretne létrehozni szabályzatot, válassza a Feltételes hozzáférési házirend engedélyezése Exchange Online-hozlehetőséget.To create a policy for Exchange Online, select Enable conditional access policy for Exchange Online.

    Ha a SharePoint Online-hoz szeretne létrehozni szabályzatot, válassza a Feltételes hozzáférési házirend engedélyezése a SharePoint Online-hozlehetőséget.To create a policy for SharePoint Online, select Enable conditional access policy for Exchange Online.

  3. A Kezdőlap Hivatkozások csoportjában kattintson a Feltételes hozzáférési szabályzat konfigurálása az Intune-konzolonhivatkozásra.On the Home tab, in the Links group, click Configure Conditional Access Policy in the Intune Console. Előfordulhat, hogy meg kell adnia annak a fióknak a felhasználónevét és jelszavát, amely a Configuration Manager és az Intune közötti kapcsolat létrehozására használatos.You might need to supply the user name and password of the account used to connect Configuration Manager with Intune.

    Megnyitja az Intune felügyeleti konzolon.The Intune admin console opens.

  4. Az Exchange online-hoz, a Microsoft Intune felügyeleti konzolon kattintson házirend > feltételes hozzáférés > Exchange Online-szabályzat.For Exchange Online, in the Microsoft Intune administration console, click Policy > Conditional Access > Exchange Online Policy.

    A SharePoint online-hoz, a Microsoft Intune felügyeleti konzolon kattintson házirend > feltételes hozzáférés > SharePoint Online-szabályzat.For SharePoint Online, in the Microsoft Intune administration console, click Policy > Conditional Access > SharePoint Online Policy.

  5. A Windows-számítógépekre vonatkozó követelményként válasszaAz eszközöknek meg kell felelniük a házirendnekbeállítást.Set the Windows PC requirement toDevices must be compliant option.

  6. A megcélzott csoportok, kattintson a módosítás jelölje be a Azure Active Directory biztonsági csoportokat, amelyekre a házirend vonatkozik.Under Targeted Groups, click Modify to select the Azure Active Directory security groups to which the policy applies.

    Megjegyzés

    Biztonsági azonos felhasználói csoportba előírásainak házirend és a feltételes hozzáférési szabályzathoz célcsoport telepítéséhez használható.The same security user group should be used for deploying compliancy policy and the Targeted Group for conditional access policy.

    A Kivétel alá eső csoportokterületen kattintson a Módosítás lehetőségre azon Active Directory-alapú biztonsági csoportok kiválasztásához, amelyekre nem érvényes a szabályzat.Under Exempted Groups, optionally, click Modify to select the Azure Active Directory security groups that are exempt from this policy.

  7. Kattintson a Mentés gombra a szabályzat létrehozásához és mentéséhez.Click Save to create and save the policy

Felhasználók a Szoftverközpontban megfelelőségi információinak megtekintése.Users view compliance information in Software Center. Meg nem felelés miatt letiltott indíthatnak új megfelelőségi problémák szervizelés után.When blocked due to noncompliance, initiate a new policy evaluation after remediating compliance issues.

További információSee also