Szolgáltatásokhoz való hozzáférés kezelése a System Center Configuration ManagerbenManage access to services in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Feltételes hozzáférés a System Center Configuration ManagerbenConditional access in System Center Configuration Manager

Feltételes hozzáférés segítségével biztosíthatja a levelezés és más szolgáltatások eszközökön feltételeket határoznak meg a Microsoft Intune-ban regisztrált.Use conditional access to specify conditions to help secure email and other services on devices enrolled with Microsoft Intune.

Információ a feltételes hozzáférés a felügyelt eszközökön a Configuration Manager-ügyféllel,: System Center Configuration Manager által felügyelt számítógépek esetében az Office 365-szolgáltatásokhoz való hozzáférés kezelése.For information about conditional access on devices that are managed with the Configuration Manager client, see Manage access to O365 services for PCs managed by System Center Configuration Manager.

Egy tipikus feltételes hozzáférési folyamat a következőhöz hasonlóan néz ki:A typical flow for conditional access might look as follows:

ConditionalAccess4

Feltételes hozzáféréssel a következő szolgáltatásokhoz való hozzáférést kezelheti:Use conditional access to manage access to the following services:

  • Helyszíni Microsoft ExchangeMicrosoft Exchange On-premises

  • Microsoft Exchange OnlineMicrosoft Exchange Online

  • Dedikált Exchange OnlineExchange Online Dedicated

  • SharePoint OnlineSharePoint Online

  • Skype Vállalati online verzióSkype for Business Online

  • Dynamics CRM OnlineDynamics CRM Online

    Feltételes hozzáférés alkalmazása konfigurálhat két házirendtípust a Configuration Managerben:To implement conditional access, you configure two policy types in Configuration Manager:

  • Amegfelelőségi szabályzatok felhasználógyűjteményekre alkalmazható nem kötelező szabályzatok, amelyekkel például az alábbi beállítások értékelhetők ki:Compliance policies are optional policies you can deploy to user collections and evaluate settings like:

    • PIN-kódPasscode

    • TitkosításEncryption

    • Az, hogy az eszközt feltörték-eWhether the device is jailbroken or rooted

    • E e-mailt az eszközön a Configuration Manager vagy a Microsoft Intune-szabályzat által felügyeltWhether email on the device is managed by a Configuration Manager or Microsoft Intune policy

      Egy eszköz jelentések megfelelő bármely alkalmazható a feltételes hozzáférési szabályzatok, ha Ön nem minden olyan megfelelőségi szabályzatot azon történő üzembe helyezéséhez.A device reports compliant for any applicable conditional access policies if you do not deploy any compliance policy to it.

  • Feltételes hozzáférési szabályzatok vannak egy adott szolgáltatáshoz.Conditional access policies are for a particular service. Ezek a szabályzatok szabályokat definiálhat, például hogy mely Azure Active Directory biztonsági felhasználói csoportok vagy a Configuration Manager felhasználógyűjtemények cél vagy kizárására.These policies define rules such as which Azure Active Directory security user groups or Configuration Manager user collections to target or exclude.

    Konfigurálja a helyszíni Exchange feltételes hozzáférési szabályzat a Configuration Manager konzolról.You configure the on-premises Exchange conditional access policy from the Configuration Manager console. Azonban az Exchange online-hoz vagy a SharePoint Online házirendjének konfigurálásakor a Microsoft Intune-konzol megnyitása a szabályzat konfigurálása.However, when you configure an Exchange Online or SharePoint Online policy, the Microsoft Intune console opens to configure the policy.

    Egyéb Microsoft Intune vagy a Configuration Manager-szabályzatok nem szabályzataitól eltérően a feltételes hozzáférési szabályzatokat.Unlike other Microsoft Intune or Configuration Manager policies, you do not deploy conditional access policies. Ehelyett egyszer konfigurálnia ezeket a szabályzatokat, és az összes megcélzott felhasználóra vonatkoznak.Instead, you configure these policies once, and they apply to all targeted users.

    Ha az eszközök nem felelnek meg a konfigurált feltételek, a felhasználó nem interaktív, ha regisztrálja az eszközt és az eszköz megfelelőségi problémát kijavítása.When devices do not meet the configured conditions, the user is guided though enrolling the device and fixing the device compliance issue.

A feltételes hozzáférés használatának megkezdése előtt győződjön meg arról, hogy megfelelők a követelmények:Before you start using conditional access, ensure that you have the correct requirements in place:

Az Exchange Online (a megosztott több-bérlős környezet használatával) vonatkozó követelményekRequirements for Exchange Online (using the shared multi-tenant environment)

Az Exchange Online-hoz való feltételes hozzáférés a következőket futtató eszközöket támogatja:Conditional access to Exchange Online supports devices that run:

  • Windows 8.1 és újabb verziók (ha regisztrált az Intune-nal)Windows 8.1 and later (when enrolled with Intune)
  • Windows 7.0 vagy Windows 8.1 (Ha tartományhoz csatlakozik)Windows 7.0 or Windows 8.1 (when domain joined)
  • Windows Phone 8.1 és újabb verziókWindows Phone 8.1 and later
  • iOS 7.1-es és újabb verziókiOS 7.1 and later
  • Android 4.0-s és újabb verziók, Samsung KNOX szabvány 4.0-s és újabb verziókAndroid 4.0 and later, Samsung KNOX Standard 4.0 and later

    Emellett:Additionally:

  • Az eszközök akkor munkahelyhez csatlakoztatott, amely regisztrálja az eszközt az Azure Active Directory Eszközregisztrációs szolgáltatásában (AAD DRS).Devices must be workplace joined, which registers the device with the Azure Active Directory Device Registration Service (AAD DRS).
  • A tartományhoz csatlakozó számítógépeket automatikusan regisztrálni kell az Azure Active Directoryban csoportos házirenden vagy MSI-n keresztül.Domain joined PCs must be automatically registered with Azure Active Directory through group policy or MSI.

    A feltételes hozzáférés PC- szakasz ebben a cikkben a számítógép feltételes hozzáférésének engedélyezéséhez szükséges követelményeket ismerteti.The Conditional access for PCs section in this article describes all the requirements for enabling conditional access for a PC.

    AAD DRS automatikusan aktiválja a Microsoft Intune és az Office 365-ügyfelek számára.AAD DRS activates automatically for Microsoft Intune and Office 365 customers. Ügyfelek, akik már telepítették az ADFS Eszközregisztrációs szolgáltatását nem jelenik meg a helyszíni Active Directoryban regisztrált eszközöket.Customers who have already deployed the ADFS Device Registration Service do not see registered devices in their on-premises Active Directory.

  • Használja az Office 365-előfizetéssel, amely tartalmazza az Exchange Online (például E3).Use an Office 365 subscription that includes Exchange Online (such as E3). Felhasználóknak licenccel kell rendelkezniük az Exchange online-hoz.Users must be licensed for Exchange Online.
  • Az Exchange Server-összekötő nem kötelező, és a Configuration Manager kapcsolódik a Microsoft Exchange online-hoz.The Exchange Server connector is optional and connects Configuration Manager to Microsoft Exchange Online. Ez az összekötő segítségével figyelheti az eszközadatokat a Configuration Manager konzol segítségével.This connector helps you monitor device information through the Configuration Manager console. További információkért lásd: Mobileszközök kezelése a System Center Configuration Manager és az Exchange használatával.For more information, see Manage mobile devices with System Center Configuration Manager and Exchange. Az összekötő és házirendek vagy feltételes hozzáférési szabályzatokat nem kell.You do not need the connector to use compliance policies or conditional access policies. Jelentések futtatása a feltételes hozzáférés hatásának van szükség az összekötő.Running reports on the impact of conditional access requires the connector.

Dedikált Exchange Online-követelményeiRequirements for Exchange Online Dedicated

A dedikált Exchange Online-hoz való feltételes hozzáférés a következőket futtató eszközöket támogatja:Conditional access to Exchange Online Dedicated supports devices that run:

  • A Windows 8 és újabb verziók (ha az Intune-ban regisztrálva)Windows 8 and later (when enrolled with Intune)
  • Windows 7.0 vagy Windows 8.1 (Ha tartományhoz csatlakozik)Windows 7.0 or Windows 8.1 (when domain joined)

    A tartományhoz csatlakozó számítógépekhez csak az új dedikált Exchange Online-környezet bérlői kapnak feltételes hozzáférést.Conditional access to domain joined PCs only to tenants in the new Exchange Online dedicated environment.

  • Windows Phone 8 és újabb verziókWindows Phone 8 and later
  • Bármely iOS-eszköz, amely az Exchange ActiveSync (EAS) típusú e-mail ügyfélprogramot használAny iOS device that uses an Exchange ActiveSync (EAS) email client
  • Android 4 és újabb verziók.Android 4 and later.
  • Az örökölt dedikált Exchange Online-környezetbeli bérlők: eseténFor tenants in the legacy Exchange Online Dedicated environment:

    Az Exchange Server-összekötő, amely a Configuration Manager kapcsolódik a helyszíni Microsoft Exchange-használja.Use the Exchange Server connector, which connects Configuration Manager to Microsoft Exchange on-premises. Az összekötő lehetővé teszi a mobileszközök kezelését, és engedélyezi a feltételes hozzáférést.The connector lets you manage mobile devices and enables conditional access. További információkért lásd: Mobileszközök kezelése a System Center Configuration Manager és az Exchange használatával.For more information, see Manage mobile devices with System Center Configuration Manager and Exchange.

  • Az az új dedikált Exchange Online-környezetbeli bérlők:For tenants in the new Exchange Online Dedicated environment:
    Az Exchange Server-összekötő nem kötelező, amely a Configuration Manager kapcsolódik a Microsoft Exchange online-hoz, és segít az eszközinformációk kezelésében.The Exchange Server connector is optional, which connects Configuration Manager to Microsoft Exchange Online and helps you manage device information. További információkért lásd: Mobileszközök kezelése a System Center Configuration Manager és az Exchange használatával.For more information, see Manage mobile devices with System Center Configuration Manager and Exchange. Az összekötő és házirendek vagy feltételes hozzáférési szabályzatokat nem kell.You do not need the connector to use compliance policies or conditional access policies. Jelentések futtatása a feltételes hozzáférés hatásának van szükség az összekötő.Running reports on the impact of conditional access requires the connector.

A helyszíni Exchange-követelményeiRequirements for Exchange on-premises

Exchange-hez való feltételes hozzáférés helyszíni támogatja:Conditional access to Exchange on-premises supports:

  • A Windows 8 és újabb verziók (ha az Intune-ban regisztrálva)Windows 8 and later (when enrolled with Intune)
  • Windows Phone 8 és újabb verziókWindows Phone 8 and later
  • Natív e-mail alkalmazás IOS rendszerű eszközökönNative email app on iOS
  • Natív e-mail alkalmazás Android 4-es vagy újabbNative email app on Android 4 or later
  • A Microsoft Outlook alkalmazás még nem támogatott (Android és iOS)Microsoft Outlook app is not supported (Android and iOS)

Emellett:Additionally:

  • Az Exchange-verziót kell használni az Exchange 2010 vagy újabbExchange version must be Exchange 2010 or later
  • Az Exchange server ügyfél-hozzáférési kiszolgálói (CAS) tömb támogatott.Exchange server Client Access Server (CAS) array is supported

Tipp

Ha az Exchange-környezet CAS-kiszolgálói konfigurációban található, majd konfigurálnia kell a helyszíni Exchange-összekötő, hogy az egyik CAS-kiszolgálóra mutasson.If your Exchange environment is in a CAS server configuration, then you must configure the on-premises Exchange connector to point to one of the CAS servers.

  • Exchange ActiveSync tanúsítványalapú hitelesítést, vagy felhasználó megadott hitelesítő adatokkal konfigurálandó konfigurálhatóExchange ActiveSync can be configured with certificate-based authentication, or user credential entry

Követelmények a Skype vállalati OnlineRequirements for Skype for Business Online

Online Skype-hoz való feltételes hozzáférés futtató eszközöket támogatja:Conditional access to Skype Online supports devices that run:

  • iOS 7.1-es és újabb verziókiOS 7.1 and later
  • Android 4.0 és újabb verziókAndroid 4.0 and later
  • Samsung KNOX Standard 4.0-s vagy újabbSamsung KNOX Standard 4.0 or later

Engedélyezése modern hitelesítést a Skype vállalati online verziójához.Enable modern authentication for Skype for Business Online.

Minden felhasználó kell használni a Skype vállalati Online.All of your users must use Skype for Business Online. Ha a telepítésben Skype vállalati Online és Skype vállalati helyszíni is rendelkezik, a feltételes hozzáférési szabályzat nem vonatkozik a helyszíni felhasználók számára.If you have a deployment with both Skype for Business Online and Skype for Business on-premises, conditional access policy does not apply to on-premises users.

A SharePoint Online követelményeiRequirements for SharePoint Online

A SharePoint Online-hoz való feltételes hozzáférés a következőket futtató eszközöket támogatja:Conditional access to SharePoint Online supports devices that run:

  • Windows 8.1 és újabb verziók (ha regisztrált az Intune-nal)Windows 8.1 and later (when enrolled with Intune)
  • Windows 7.0 vagy Windows 8.1 (Ha tartományhoz csatlakozik)Windows 7.0 or Windows 8.1 (when domain joined)
  • Windows Phone 8.1 és újabb verziókWindows Phone 8.1 and later
  • iOS 7.1-es és újabb verziókiOS 7.1 and later
  • Android 4.0-s és újabb verziók, Samsung KNOX szabvány 4.0-s és újabb verziókAndroid 4.0 and later, Samsung KNOX Standard 4.0 and later

    Emellett:Additionally:

  • Az eszközök akkor munkahelyhez csatlakoztatott, amely regisztrálja az eszközt az Azure Active Directory Eszközregisztrációs szolgáltatásában (AAD DRS).Devices must be workplace joined, which registers the device with the Azure Active Directory Device Registration Service (AAD DRS).

    A tartományhoz csatlakozó számítógépeket automatikusan regisztrálni kell az Azure Active Directoryban csoportos házirenden vagy MSI-n keresztül.Domain joined PCs must be automatically registered with Azure Active Directory through group policy or MSI. A feltételes hozzáférés PC- szakasz ebben a cikkben a számítógép feltételes hozzáférésének engedélyezéséhez szükséges követelményeket ismerteti.The Conditional access for PCs section in this article describes all the requirements for enabling conditional access for a PC.

    AAD DRS automatikusan aktiválja a Microsoft Intune és az Office 365-ügyfelek számára.AAD DRS activates automatically for Microsoft Intune and Office 365 customers. Ügyfelek, akik már telepítették az ADFS Eszközregisztrációs szolgáltatását nem jelenik meg a helyszíni Active Directoryban regisztrált eszközöket.Customers who have already deployed the ADFS Device Registration Service do not see registered devices in their on-premises Active Directory.

  • Egy SharePoint Online-előfizetésre szükség, és a felhasználóknak licenccel kell rendelkezniük a SharePoint online-hoz.A SharePoint Online subscription is required and users must be licensed for SharePoint Online.

    Feltételes hozzáférés a PC-kenConditional access for PCs

    Konfigurálhatja a feltételes hozzáférés PC-ken, az Office asztali alkalmazásai futtatásához és eléréséhez Exchange Online vagy SharePoint online-hoz.You can configure conditional access for PCs that run Office desktop applications, and access Exchange Online or SharePoint Online. A számítógépeknek meg kell felelniük az alábbi követelményeknek:The PCs must meet the following requirements:

  • A számítógépen kell futnia, Windows 7.0 vagy Windows 8.1The PC must be running Windows 7.0 or Windows 8.1
  • A Számítógépnek vagy tartományhoz csatlakoztatott vagy szabályzatnak kell lennie.The PC must be either domain joined or compliant

    Meg kell felelnie, hogy a számítógép regisztrálva kell lenniük a Microsoft Intune-ban, és felelnie a szabályzatoknak.In order to be compliant, the PC must be enrolled in Microsoft Intune and comply with the policies.

    Tartományhoz csatlakozó számítógépek esetén be kell állítani az eszköz automatikus regisztrációját az Azure Active Directoryban.For domain joined PCs, you must set it up to automatically register the device with Azure Active Directory.

  • Az Office 365 modern hitelesítésének engedélyezettnek kell lennie, és a számítógépen telepíteni kell az Office legújabb frissítéseit.Office 365 modern authentication must be enabled, and have all the latest Office updates.
    Modern hitelesítéssel Active Directory Authentication Library ADAL-alapú bejelentkezés biztosítható az Office 2013 Windows-ügyfelek számára, és például a többtényezős hitelesítés és a Tanúsítványalapú hitelesítés nagyobb biztonságot tesz lehetővé.Modern authentication brings Active Directory Authentication Library (ADAL)-based sign-in to Office 2013 Windows clients and enables better security like multi-factor authentication and certificate-based authentication.
  • Állítsa be az ADFS-jogcímszabályokat a nem modern hitelesítési protokollok blokkolására.Setup ADFS claims rules to block non-modern authentication protocols.

További lépésekNext Steps

A következő témakörökből megtudhatja, hogy miként konfigurálhat kompatibilitási házirendeket és feltételes hozzáférési házirendeket az adott helyzetben:Read the following topics to learn how to configure compliance policies and conditional access policies for your required scenario:

További információSee also

A System Center Configuration Managerben a megfelelőségi beállítások használatának első lépéseiGet started with compliance settings in System Center Configuration Manager