E-mail-hozzáférés kezelése a System Center Configuration ManagerbenManage email access in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

Használja a System Center Configuration Manager feltételes hozzáférését használva kezelheti az Ön által megadott feltételekre alapozva Exchange e-mailek elérését.Use System Center Configuration Manager conditional access to manage access to Exchange email based on conditions you specify.

A következők hozzáférését kezelheti:You can manage access to:

  • Helyszíni Microsoft ExchangeMicrosoft Exchange On-premises

  • Microsoft Exchange OnlineMicrosoft Exchange Online

  • Dedikált Exchange OnlineExchange Online Dedicated

Az Exchange Online-hoz és a helyszíni Exchange-hez a hozzáférést a következő platformokon szabályozhatja a beépített e-mail ügyfélprogramból:You can control access to Exchange Online and Exchange On-premises from the built-in email client on the following platforms:

  • Android 4.0-s és újabb verziók, Samsung KNOX szabvány 4.0 és újabb verziókAndroid 4.0 and later, Samsung KNOX Standard 4.0 and later

  • iOS 9.0-s és újabb verziókiOS 9.0 and later

  • Windows Phone 8.1 és újabb verziókWindows Phone 8.1 and later

  • Levelezőalkalmazás a Windows 8.1-es és újabb verzióibanMail application on Windows 8.1 and later

Az Office asztali alkalmazásai hozzáférhetnek az Exchange online-hoz futtató számítógépeken:Office desktop applications can access Exchange Online on PCs running:

Megjegyzés

Számítógépeknek kell a tartományhoz csatlakoztatott vagy meg kell felelniük az Intune-ban beállított szabályzatoknak.PCs should be domain joined or be complaint with the policies set in Intune.

EszközkövetelményekDevice requirements

Ha feltételes hozzáférést konfigurál, mielőtt a felhasználók az e-mail fiókjukhoz csatlakozhatnának, a használt eszköznek:If you configure conditional access, before a user can connect to their email, the device they use must:

  • Intune-ban regisztrált vagy egy tartományhoz csatlakozó számítógép.Be enrolled with Intune or a domain joined PC.

  • Az eszközt regisztrálni kell az Azure Active Directoryban (Ez automatikusan történik, ha az eszköz regisztrálva van az Intune (csak az Exchange Online esetén).Register the device in Azure Active Directory (this happens automatically when the device is enrolled with Intune (for Exchange Online only). Emellett az ügyfél Exchange ActiveSync-azonosítóját regisztrálni kell az Azure Active Directoryban (nem érvényes a helyszíni Exchange-hez csatlakozó Windows és Windows Phone rendszerű eszközökre).Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory (does not apply to Windows and Windows Phone devices connecting to Exchange On-premises).

    Tartományhoz csatlakozó számítógépek esetén be kell állítani az Azure Active Directoryban való automatikus regisztrációt.For a domain joined PC, you must set it to automatically register with Azure Active Directory. A Szolgáltatásokhoz való hozzáférés kezelése a System Center Configuration Managerben című témakör számítógépek feltételes hozzáférésével foglalkozó szakaszában megtalálható a számítógépek feltételes hozzáférésének engedélyezésére vonatkozó összes követelmény.Conditional Access for PCs section in the Manage access to services in System Center Configuration Manager topic lists the full set of requirements to enable conditional access for PCs.

  • Meg kell felelnie a Configuration Manager megfelelőségi szabályzatoknak eszközre telepítettBe compliant with any Configuration Manager compliance policies deployed to that device

    Ha a feltételes hozzáférés egy feltétele nem teljesül, a felhasználó számára az alábbi üzenetek egyike jelenik meg a bejelentkezéskor:If a conditional access condition is not met, the user is presented with one of the following messages when they log in:

  • Ha az eszköz nincs regisztrálva az Intune-ban, vagy nincs regisztrálva az Azure Active Directoryban, megjelenik egy üzenet van utasításokat tartalmaz, telepítse a vállalati portál alkalmazást, regisztrálni az eszközt, és (Android és IOS rendszerű eszközök esetében), illetve aktiválja az e-mail fiókot, amely az eszköz Exchange ActiveSync-Azonosítóját az Azure Active Directoryban lévő eszközrekordhoz társítja.If the device is not enrolled with Intune, or is not registered in Azure Active Directory, a message is displayed with instructions about how to install the company portal app, enroll the device, and (for Android and iOS devices), activate email, which associates the device's Exchange ActiveSync ID with the device record in Azure Active Directory.

  • Ha az eszköz nem megfelelő, egy üzenet jelenik meg, amely irányítja a felhasználót, hogy az Intune webes portált, hol található információt a problémáról és annak megoldásáról.If the device is not compliant, a message is displayed that directs the user to the Intune web portal where they can find information about the problem and how to remediate it.

Mobileszközök esetén:For mobile devices:

Az Exchange Online-on letilthatja az Outlook Web Access-hez (OWA) az iOS- és Android- eszközök böngészőin keresztül történő hozzáférést.You can restrict access to Outlook Web Access (OWA) on Exchange Online when accessed from a browser on iOS and Android devices. A hozzáférés csak a szabályzatnak megfelelő eszközök támogatott böngészőiről engedélyezett:Access will only be allowed from only supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Managed Browser (iOS és Android)Managed Browser (iOS and Android)

A nem támogatott böngészők le lesznek tiltva. Az OWA-alkalmazások nem támogatottak az iOS és Android rendszerű eszközök számára.Unsupported browsers will be blocked.The OWA apps for iOS and Android are not supported. Ezeket az ADFS jogcímszabályai között le kell tiltani:They should be blocked through ADFS claims rules:

  • Állítsa be az ADFS-jogcímszabályokat a nem modern hitelesítési protokollok blokkolására.Setup ADFS claims rules to block non-modern authentication protocols. Lépésenkénti útmutatás: 3. forgatókönyv – Az O365-höz való hozzáférés teljes letiltása a böngészőalapú alkalmazások kivételével.Detailed instructions are provided in scenario 3 - block all access to O365 except browser based applications.

    Számítógépek esetén:For PCs:

  • Ha a feltételes hozzáférési szabályzat tartományhoz való csatlakozást vagy megfelelőségetkövetel meg az engedélyezéshez, megjelenik egy utasításokat tartalmazó üzenet, amely leírja, hogyan regisztrálja az eszközt.If the conditional access policy requirement is to allow domain joined or compliant, a message with instructions about how to enroll the device is displayed. Ha a számítógép egyik követelménynek sem nem felel meg, a rendszer regisztrálja az eszközt az Intune-nal kér a felhasználótól.If the PC does not meet either of the requirements, the user will be asked to enroll the device with Intune.

  • Ha a feltételes hozzáférési szabályzat követelménye úgy van beállítva, hogy csak a tartományhoz csatlakozó windowsos eszközöket engedélyezze, az eszköz le lesz tiltva, és megjelenik egy üzenet, amely jelzi, hogy kapcsolatba kell lépni a rendszergazdával.If the conditional access policy requirement is set to allow only domain joined windows devices, the device is blocked and a message to contact the IT admin is displayed.

    A következő platformokon blokkolhatja az Exchange e-mail fiókok elérését az eszközök beépített Exchange ActiveSync levelezési ügyfeléről:You can block access to Exchange email from the devices built-in Exchange ActiveSync email client on the following platforms:

  • Android 4.0-s és újabb verziók, Samsung KNOX szabvány 4.0 és újabb verziókAndroid 4.0 and later, Samsung KNOX Standard 4.0 and later

  • iOS 9.0-s és újabb verziókiOS 9.0 and later

  • Windows Phone 8.1 és újabb verziókWindows Phone 8.1 and later

  • A Posta alkalmazás a Windows 8.1-ben és az újabb verziókbanThe Mail application on Windows 8.1 and later

    Outlook alkalmazást az iOS és Android és az Outlook 2013 asztali vagy újabb csak Exchange online-hoz támogatott.Outlook app for iOS and Android, and Outlook desktop 2013 and above is supported for only Exchange Online.

    A a helyszíni Exchange connector Configuration Manager és az Exchange között a feltételes hozzáférés működéséhez szükség.The on-premises Exchange connector between Configuration Manager and Exchange is required for conditional access to work.

    A helyszíni Exchange-hez a Configuration Manager konzolról egy feltételes hozzáférési házirend konfigurálásaYou can configure a conditional access policy for Exchange On-premises from the Configuration Manager console. Ha a feltételes hozzáférési házirend konfigurálása az Exchange online-hoz, a megkezdéséhez a Configuration Manager konzol, amely elindítja az Intune-konzolon, ahol befejezhetői a folyamatot.When you configure a conditional access policy for Exchange Online, you can begin the process in the Configuration Manager console, which launches the Intune console where you can complete the process.

Feltételes hozzáférés konfigurálásaConfigure conditional access

1. lépés: A feltételes hozzáférési szabályzat hatásának értékeléseStep 1: Evaluate the effect of the conditional access policy

Miután konfigurálta a a helyszíni Exchange connector, használhatja a Configuration Managereszközök listája feltételes hozzáférési állapot szerint jelentést használva azonosíthatja azokat az eszközöket, amelyek Exchange-hozzáférése a feltételes hozzáférési házirend konfigurálását követően le lesz tiltva.Once you have configured the on-premises Exchange connector, you can use the Configuration ManagerList of devices by Conditional Access State report to identify devices that will be blocked from accessing Exchange after you configure the conditional access policy. A jelentéshez az alábbiak szükségesek:This report also requires:

  • Intune-előfizetésA subscription to Intune

  • A szolgáltatáskapcsolati pont konfigurálása és telepítéseThe service connection point should be configured and deployed

    A jelentés paramétereiben válassza ki a kiértékelni kívánt Intune csoportot és szükség esetén azon eszközplatformokat, amelyekre a házirendet alkalmazza.In the report parameters, select the Intune group you want to evaluate and, if required, the device platforms to which the policy will apply.

    További információk a jelentések futtatásáról: Jelentéskészítés a System Center Configuration Managerben.For more information about how to run reports, see Reporting in System Center Configuration Manager.

    A jelentés futtatása után vizsgálja meg a következő négy oszlopot annak meghatározásához, hogy a felhasználók le lesznek-e tiltva:After you run the report, examine these four columns to determine whether a user will be blocked:

  • Kezelési csatorna -azt jelzi, hogy az eszköz Intune-ban, az Exchange ActiveSync vagy mindkettő kezeli.Management Channel - Indicates whether the device is managed by Intune, Exchange ActiveSync, or both.

  • Aad-ben regisztrált -azt jelzi, hogy az eszköz regisztrálva van-e az Azure Active Directoryban (vagyis munkahelyi csatlakoztatással).Registered with AAD - Indicates whether the device is registered with Azure Active Directory (known as Workplace Join).

  • Megfelelő -azt jelzi, hogy az eszköz megfelel-e a telepített megfelelőségi szabályzatoknak.Compliant - Indicates whether the device is compliant with any compliance policies you deployed.

  • EAS engedélyezve – iOS és Android-eszközök kell lennie az Exchange ActiveSync-Azonosítójának társított Azure Active Directoryban található eszközregisztrációs rekorddal.EAS Activated - iOS and Android devices are required to have their Exchange ActiveSync ID associated with the device registration record in Azure Active Directory. Ez akkor történik meg, amikor a felhasználó a Levelezés aktiválása hivatkozásra kattint a karanténba helyezett e-mailben.This happens when the user clicks the Activate Email link in the quarantine email.

    Megjegyzés

    Windows Phone-telefonok esetén ebben az oszlopban mindig szerepel érték.Windows Phone devices always display a value in this column.

    A célcsoporthoz vagy -gyűjteményhez tartozó eszközök Exchange-hozzáférése le lesz tiltva, ha az oszlop értékei nem egyeznek a következő táblázatban lévő értékekkel:Devices that are part of a targeted group or collection will be blocked from accessing Exchange unless the column values match those listed in the following table:

Kezelési csatornaManagement channel Az AAD-ben regisztráltAAD registered megfelelőségetCompliant EAS engedélyezveEAS Activated EredményműveletResulting action
A Microsoft Intune és az Exchange ActiveSync kezeliManaged by Microsoft Intune and Exchange ActiveSync IgenYes IgenYes Igen vagy Nem van megjelenítveYes or No is displayed Az e-mail hozzáférés engedélyezettEmail access allowed
Bármely más értékAny other value NemNo NemNo Nem jelenik meg értékNo value is displayed Az e-mail hozzáférés le van tiltvaEmail access blocked

Exportálhatja a jelentés tartalmát, és az E-mail cím oszlop segítségével értesítheti a felhasználókat arról, hogy le lesznek tiltva.You can export the contents of the report and use the Email Address column to help you inform users that they will be blocked.

2. lépés: Felhasználói csoportok vagy gyűjtemények, a feltételes hozzáférési házirend konfigurálásaStep 2: Configure user groups or collections for the conditional access policy

A feltételes hozzáférési szabályzatokkal a szabályzat típusától függően különböző felhasználói csoportokat vagy gyűjteményeket célozhat meg.You target conditional access policies to different groups or collections of users depending on the policy types. Ezek a csoportok tartalmazzák a célzott vagy a házirend alól mentesülő felhasználókat.These groups contain the users that will be targeted, or exempt from the policy. Amikor egy felhasználóra házirend vonatkozik, az általa használt összes eszköznek megfelelőnek kell lennie az e-mailek eléréséhez.When a user is targeted by a policy, each device they use must be compliant in order to access email.

  • Az Exchange Online házirendhez – az Azure Active Directory biztonsági felhasználói csoportok.For the Exchange Online policy - to Azure Active Directory security user groups. Ezeket a csoportokat az Office 365 Felügyeleti központbanvagy az Intune-fiókportálonkonfigurálhatja.You can configure these groups in the Office 365 admin center, or the Intune account portal.

  • A helyszíni Exchange-szabályzat – a Configuration Manager felhasználói gyűjteményt.For the Exchange On-premises policy - to Configuration Manager user collections. Ezek az Eszközök és megfelelőség munkaterületen konfigurálhatók.You can configure these in the Assets and Compliance workspace.

    Minden házirendben két csoporttípust adhat meg:You can specify two group types in each policy:

  • Megcélzott csoportok -felhasználói csoportok vagy gyűjtemények, amelyeken a házirend érvényben vanTargeted groups - User groups or collections to which the policy is applied

  • Kivétel alá eső csoportok -felhasználói csoportok vagy gyűjtemények, amelyek mentesülnek a házirend alól (választható)Exempted groups - User groups or collections that are exempt from the policy (optional)

    Ha egy felhasználó mindkettőben szerepel, mentesül a szabályzat alól.If a user is in both, they will be exempt from the policy.

    Csak a feltételes hozzáférési szabályzat által célzott csoportokat vagy gyűjteményeket értékeli ki a rendszer az Exchange-hozzáférés szempontjából.Only the groups or collections which are targeted by the conditional access policy are evaluated for Exchange access.

3. lépés: A megfelelőségi szabályzat konfigurálása és telepítéseStep 3: Configure and deploy a compliance policy

Győződjön meg arról, hogy minden olyan eszközön létrehozott és telepített megfelelőségi házirendet, amelyet az Exchange feltételes hozzáférési házirenddel fog megcélozni.Ensure that you have created and deployed a compliance policy to all devices that the Exchange conditional access policy will be targeted to.

A megfelelőségi szabályzat konfigurálásának ismertetését lásd: Eszközök megfelelőségi házirendjének kezelése a System Center Configuration Managerrel.For details about how to configure the compliance policy, see Manage device compliance policies in System Center Configuration Manager.

Fontos

Ha nem telepített megfelelőségi házirendet, és engedélyez egy Exchange feltételes hozzáférési házirendet, az összes megcélzott eszköz hozzáférése engedélyezett lesz.If you have not deployed a compliance policy and then enable an Exchange conditional access policy, all targeted devices will be allowed access.

Ha készen áll, folytassa a 4. lépéssel.When you are ready, continue to Step 4.

4. lépés: A feltételes hozzáférési szabályzat konfigurálásaStep 4: Configure the conditional access policy

Exchange Online (és az új dedikált Exchange Online-környezetbeli bérlők) eseténFor Exchange Online (and tenants in the new Exchange Online Dedicated environment)

Megjegyzés

Az Azure AD felügyeleti konzol feltételes hozzáférési házirendet is létrehozhat.You can also create conditional access policy in the Azure AD management console. Az Azure AD felügyeleti konzol lehetővé teszi a feltételes hozzáférési házirendekkel (néven az eszközalapú feltételes hozzáférési szabályzatot az Azure AD) más feltételes hozzáférési szabályzatok, például többtényezős hitelesítés mellett az Intune eszköz létrehozásához.Azure AD management console allows you to create the Intune device conditional access policies (referred to as the device-based conditional access policy in Azure AD) in addition to other conditional access policies like multi-factor authentication. Is beállíthat feltételes hozzáférési házirendek külső vállalati alkalmazásokhoz, például a Salesforce, és be, hogy az Azure AD támogatja.You can also set conditional access policies for third-party Enterprise apps like Salesforce and Box that Azure AD supports. További részletekért lásd: Azure Active Directory eszközalapú feltételes hozzáférési házirend hozzáférés-vezérlés beállítása az Azure Active Directoryhoz csatlakoztatott alkalmazások.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory connected applications.

Az Exchange Online feltételes hozzáférési házirendjei a következő folyamatot használják annak kiértékeléséhez, hogy engedélyezzék vagy letiltsák-e az eszközöket.The following flow is used by conditional access policies for Exchange Online to evaluate whether to allow or block devices.

ConditionalAccess8-1

Az e-mailek eléréséhez az eszköznek:To access email, the device must:

  • Az Intune-banEnroll with Intune

  • Számítógépek kell tartományhoz csatlakoztatva, vagy alkalmas a megfelelőnek minősülő regisztrált az Intune-ban beállított szabályzatoknak.PCs must either be domain joined or be enrolled and compliant with the policies set in Intune.

  • Az eszközt regisztrálni kell az Azure Active Directoryban (Ez automatikusan megtörténik az eszköz Intune-nal való regisztrálásakor.Register the device in Azure Active Directory (this happens automatically when the device is enrolled with Intune.

    Tartományhoz csatlakozó számítógépek esetén be kell állítani az eszköz automatikus regisztrációját az Azure Active Directoryban.For domain joined PCs, you must set it up to automatically register the device with Azure Active Directory.

  • Aktiválta az e-mail fiókot, amely az eszköz Exchange ActiveSync-Azonosítóját az (iOS és Android-eszközökre vonatkozik) Azure Active Directoryban lévő eszközrekordhoz társítja.Have activated email, which associates the device's Exchange ActiveSync ID with the device record in Azure Active Directory (applies to iOS and Android devices only).

  • Meg kell felelnie az összes telepített megfelelőségi szabályzatnak.Be compliant with any deployed compliance policies

    Az eszköz állapotát a rendszer az Azure Active Directoryban tárolja, amely engedélyezi vagy letiltja az e-mailek elérését az értékelt feltételek alapján.The device state is stored in Azure Active Directory which grants or blocks access to email, based on the evaluated conditions.

    Ha egy feltétel nem teljesül, a felhasználó számára az alábbi üzenetek egyike jelenik meg a bejelentkezéskor:If a condition is not met, the user will be presented with one of the following messages when they log in:

  • Ha az eszköz nincs regisztrálva, vagy nincs az Azure Active Directoryban regisztrálva, megjelenik egy utasításokat tartalmazó üzenet, amely leírja, hogyan telepítse a Vállalati portál alkalmazást és regisztrálja az eszköztIf the device is not enrolled, or registered in Azure Active Directory, a message is displayed with instructions about how to install the company portal app and enroll

  • Ha az eszköz nem megfelelő, egy üzenet jelenik meg, amely a felhasználót az Intune vállalati portál webhelyére vagy a vállalati portál alkalmazásba irányítja, hol található információ a problémáról és annak megoldásáról.If the device is not compliant, a message is displayed that directs the user to the Intune Company Portal website or the Company Portal app where they can find information about the problem and how to remediate it.

  • Számítógépek esetén:For a PC:

    • Ha a házirend úgy van beállítva, hogy megkövetelje a tartományhoz való csatlakozást, és a számítógép nem csatlakozik tartományhoz, megjelenik egy üzenet, amely jelzi, hogy kapcsolatba kell lépni a rendszergazdával.If the policy is set to require domain join, and the PC is not domain joined, a message is displayed to contact the IT admin.

    • Ha a szabályzat úgy van beállítva, hogy tartományhoz való csatlakozást vagy megfelelőséget követeljen meg, és a számítógép egyik követelménynek sem felel meg, egy utasításokat tartalmazó üzenet jelenik meg, amely leírja, hogyan telepítse a Vállalati portál alkalmazást és hogyan regisztrálja az eszközt.If the policy is set to require domain join or compliant, then the PC does not meet either requirement, a message is displayed with instructions about how to install the company portal app and enroll.

    Megjelenik az üzenet az eszközön az Exchange Online-felhasználók és az új dedikált Exchange Online-környezetbeli bérlők számára, és a helyszíni Exchange és az örökölt dedikált Exchange Online eszközök felhasználói e-mailben kapják meg.The message is displayed on the device for Exchange Online users and tenants in the new Exchange Online Dedicated environment, and is delivered to the users email inbox for Exchange On-premises and legacy Exchange Online Dedicated devices.

Megjegyzés

A Configuration Manager feltételes hozzáférési szabályai felülírják, engedélyezése, letiltják és karanténba helyezik az Exchange Online felügyeleti konzolon meghatározott szabályokat.Configuration Manager conditional access rules override, allow, block and quarantine rules that are defined in the Exchange Online admin console.

Megjegyzés

A feltételes hozzáférési szabályzatot az Intune-konzolon kell konfigurálni.Conditional access policy must be configured in the Intune console. Ehhez először a Configuration Manageren keresztül kell elérnie az Intune-konzolt.The following steps begin by accessing the Intune console through Configuration Manager. Ha a rendszer kéri, jelentkezzen be a Configuration Manager és az Intune közötti szolgáltatáskapcsolati pont telepítése során használt hitelesítő adatokkal.If prompted, log in using the same credentials that were used to set up the service connection point between Configuration Manager and Intune.

Az Exchange Online-házirend engedélyezéseTo enable the Exchange Online policy
  1. Kattintson a Configuration Manager-konzolon az Eszközök és megfelelőségelemre.In the Configuration Manager console, click Assets and Compliance.

  2. Bontsa ki a Megfelelőségi beállítások, majd a Feltételes hozzáféréscsomópontot, és kattintson az Exchange Onlineelemre.Expand Compliance Settings, expand Conditional Access, and then click Exchange Online.

  3. A Kezdőlap Hivatkozások csoportjában kattintson a Feltételes hozzáférési szabályzat konfigurálása az Intune-konzolonhivatkozásra.On the Home tab, in the Links group, click Configure Conditional Access Policy in the Intune Console. Szükség lehet a felhasználó a felhasználónév és a Configuration Manager valamelyik globális rendszergazdáját összekapcsolta az Intune-ba való csatlakozáshoz használt fiók jelszavát.You might need to provide the user name and password of the account used to connect Configuration Manager with any global administrator for the Intune service.

    Megnyitja az Intune felügyeleti konzolon.The Intune admin console opens.

  4. A Microsoft Intune felügyeleti konzolonkattintson a Házirend > Feltételes hozzáférés > Exchange Online-szabályzatlehetőségre.In the Microsoft Intune administration console, click Policy > Conditional Access > Exchange Online Policy.

    HybridOnlineSetupIntune

  5. Az Exchange Online-szabályzat lapon válassza a Feltételes hozzáférési házirend engedélyezése Exchange Online-hozlehetőséget.On the Exchange Online Policy page, select Enable conditional access policy for Exchange Online. Ha bejelöli ezt a beállítást, az eszköznek kompatibilisnek kell lennie.If you check this, the device must be compliant. Ha a beállítás nincs bejelölve, a feltételes hozzáférés nem lesz alkalmazva.If this is not checked then conditional access is not applied.

    Megjegyzés

    Ha nem telepített megfelelőségi házirendet, és engedélyezi az Exchange Online-házirendet, a rendszer az összes megcélzott eszközt megfelelőként jelenti.If you have not deployed a compliance policy and then enable the Exchange Online policy, all targeted devices are reported as compliant.

    A megfelelőségi állapottól függetlenül a szabályzat által megcélzott összes felhasználónak kell léptetnie az eszközét az Intune-nal.Regardless of the compliance state, all users who are targeted by the policy will be required to enroll their devices with Intune.

  6. Az Alkalmazás hozzáféréselehetőségnél az Outlook és az egyéb alkalmazások esetén dönthet úgy, hogy kizárólag a megfelelő eszközökre korlátozza a hozzáférést.Under Application access, for outlook and other apps using modern authentication, you can choose to restrict access only to devices that are compliant for each platform. A Windows-eszközöknek vagy tartományhoz kell csatlakozniuk, vagy regisztrálva kell lenniük az Intune-ban.Windows devices must either be domain joined, or be enrolled in Intune and compliant.

    Tipp

    A modern hitelesítéssel Active Directory Authentication Library- (ADAL-) alapú bejelentkezés biztosítható az Office-ügyfelekhez.Modern authentication brings Active Directory Authentication Library (ADAL)-based sign in to Office clients.

    • Az ADAL-alapú hitelesítéssel az Office-ügyfelek végezhetnek böngészőalapú hitelesítést (más néven passzív hitelesítést).The ADAL based authentication enables Office clients to engage in browser-based authentication (also known as passive authentication). A hitelesítéshez a felhasználó egy bejelentkezési weblapra van átirányítva.To authenticate, the user is directed to a sign-in web page.

      • Az új bejelentkezési móddal olyan új forgatókönyvek használhatók, mint például a feltételes hozzáférés eszközmegfelelőség alapján, és az alapján, hogy többtényezős hitelesítést hajtottak-e végre.This new sign-in method enables new scenarios such as, conditional access, based on device compliance and whether multi-factor authentication was performed.

      Ebben a cikkben olvashatók további információk a modern hitelesítés működéséről.This article has more detailed information on how modern authentication works.

    Ha az Exchange Online-t a Configuration Managerrel és az Intune-nal együtt használja, nemcsak mobileszközök, hanem asztali számítógépek feltételes hozzáférését is kezelheti.Using Exchange Online with Configuration Manager and Intune, you can not only manage mobile devices with conditional access, but also desktop computers as well. A számítógépeknek egy tartományhoz kell csatlakoznia, vagy regisztrálva kell lennie az Intune-ban.PCs must either be domain joined, or be enrolled in Intune and compliant. A következő követelményeket állíthatja be:You can set the following requirements:

    • Az eszközöknek tartományhoz kell csatlakozniuk vagy meg kell felelniük a házirendnek.Devices must be domain joined or compliant. A számítógépeknek tartományhoz kell csatlakozniuk, vagy meg kell felelniük a szabályzatoknak.PCs must either be domain joined or compliant with the policies. A számítógép nem felel meg egyik követelménynek sem, ha a felhasználótól regisztrálja az eszközt az Intune-ban.If a PC does not meet either of these requirements, the user is prompted to enroll the device with Intune.

    • Az eszközöknek tartományhoz kell csatlakozniuk.Devices must be domain joined. A számítógépeknek tartományhoz kell csatlakozniuk az Exchange Online-hoz való hozzáféréshez.PCs must be domain joined to access Exchange Online. Ha a számítógép nem csatlakozik tartományhoz, a rendszer blokkolja a levelezéshez való hozzáférést, és kéri a felhasználót, hogy lépjen kapcsolatba a rendszergazdával.If a PC is not domain joined, access to email is blocked and the user is prompted to contact the IT admin.

    • Az eszközöknek meg kell felelniük a házirendnek.Devices must be compliant. Számítógépeknek regisztrálva kell lenniük az Intune-ban és a megfelelő.PCs must be enrolled in Intune and compliant. Ha a számítógép nincs regisztrálva, megjelenik egy, a regisztráció lépéseit bemutató üzenet.If a PC is not enrolled, a message with instructions on how to enroll is displayed.

  7. A az Outlook web access (OWA), ha szeretné, csak a támogatott böngészőkkel keresztül Exchange online-hoz való hozzáférés engedélyezése: Safari (iOS), és Chrome (Android).Under Outlook web access (OWA), you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS), and Chrome (Android). A más böngészőkkel történő hozzáférés le lesz tiltva.Access from other browsers will be blocked. Az Outlookhoz megadott alkalmazás-hozzáférési platformkorlátozások itt is érvényesek.The same platform restrictions you selected for Application access for Outlook also apply here.

    Az Android eszközök felhasználóinak engedélyezni kell a böngészőalapú hozzáférést.On Android devices, users must enable the browser access. A végfelhasználónak ehhez engedélyezni kell a regisztrált eszköz a "Böngészőalapú hozzáférés engedélyezése" beállítást az alábbiak szerint:To do this the end-user must enable the "Enable Browser Access" option on the enrolled device as follows:

    1. Nyissa meg a Vállalati portál alkalmazást.Launch the Company Portal app.
    2. Lépjen a beállítások lapot a három pontra (...) vagy a hardver menü gombjára kattintva.Go to the Settings page from the triple dots (...) or the hardware menu button.

      1. Kattintson a Böngészőalapú hozzáférés engedélyezése gombra.Press the Enable Browser Access button.
      2. A Chrome böngészőben jelentkezzen ki az Office 365-ből, majd indítsa újra a Chrome-ot.In the Chrome browser, sign out of Office 365 and restart Chrome.

      iOS és Android platformokon a szolgáltatás eléréséhez használt eszköz azonosításához az Azure Active Directory egy TLS-tanúsítványt (Transport Layer Security) rendel az eszközhöz.On iOS and Android platforms, To identify the device that is used to access the service, Azure Active Directory will issue a Transport layer security ( TLS) certificate to the device. Az eszköz az alábbi képernyőfelvételnek megfelelően megjeleníti a tanúsítványt, és a végfelhasználótól annak kiválasztását kéri.The device displays the certificate with a prompt to the end-user to select the certificate as seen in the screenshots below. A végfelhasználónak a böngésző további használatához ki kell választania ezt a tanúsítványt.The end-user must select this certificate before they can continue to use the browser.

      iOS--iOS

      képernyőfelvétel a tanúsítvány kiválasztásának kéréséről egy ipad készüléken

    Android--Android

    képernyőfelvétel a tanúsítvány kiválasztásának kéréséről egy Android készüléken

  8. AzExchange ActiveSync-levelezőalkalmazásokesetében blokkolhatja a levelezőalkalmazások hozzáférését az Exchange Online-hoz, ha az eszköz nem megfelelő, illetve megadhatja, hogy engedélyezi vagy letiltja a levelezéshez való hozzáférést, ha az Intune nem tudja kezelni az eszközt.ForExchange ActiveSync mail apps, you can choose to block email from accessing Exchange Online if the device is noncompliant, and select whether to allow or block access to email when Intune cannot manage the device.

  9. A Megcélzott csoportokterületen válassza ki azon felhasználók Active Directory biztonsági csoportjait, akikre érvényes a házirend.Under Targeted Groups, select the Active Directory security groups of users to which the policy will apply.

    Megjegyzés

    A Megcélzott csoportokban lévő felhasználók esetében az Intune-házirendek leváltják az Exchange-szabályokat és -házirendeket.For users that are in the Targeted groups, the Intune polices will replace Exchange rules and policies.

    Az Exchange csak a következő esetekben érvényesíti az engedélyezési, blokkolási és karanténba helyezési Exchange-szabályokat és az Exchange-házirendeket:Exchange will only enforce Exchange allow, block and quarantine rules, and Exchange policies if:

    • A felhasználó nem rendelkezik Intune-licenccel.The user is not licensed for Intune.
      • A felhasználó rendelkezik Intune-licenccel, de egy, a feltételes hozzáférési házirendben megcélzott biztonsági csoportnak sem tagja.The user is licensed for Intune, but the user does not belong to any security groups targeted in the conditional access policy.
  10. A Kivétel alá eső csoportokterületen válassza ki azon felhasználók Active Directory biztonsági csoportjait, akikre nem érvényes a házirend.Under Exempted Groups, select the Active Directory security groups of users that are exempt from this policy. Ha egy felhasználó a megcélzott és a mentesített csoportban is szerepel, mentes a szabályzat alól, és hozzáfér a levelezéséhez.If a user is in both the targeted and exempted groups, they will be exempt from the policy and will have access to their email.

  11. Amikor végzett, kattintson a Mentésgombra.When you are finished, click Save.

  • Nem kell telepítenie a feltételes hozzáférési szabályzatot, az azonnal érvénybe lép.You do not have to deploy the conditional access policy; it takes effect immediately.

  • Miután egy felhasználó e-mail fiókot hoz létre, azonnal letiltja az eszközt.After a user creates an email account, the device is blocked immediately.

  • Ha egy letiltott felhasználó regisztrálja az eszközt az Intune-ban (vagy javítja a nem megfelelőséget), e-mailek elérését rendszer percen belül feloldja 2.If a blocked user enrolls the device with Intune (or remediates noncompliance), email access is unblocked within 2 minutes.

  • Ha a felhasználó megszünteti az eszköz regisztrációját, körülbelül 6 óra múlva letiltja a rendszer a levelezést.If the user un-enrolls their device, email is blocked after about 6 hours.

A helyszíni Exchange (és az örökölt dedikált Exchange Online-környezetbeli bérlők) eseténFor Exchange on-premises (and tenants in the legacy Exchange Online Dedicated environment)

A helyszíni Exchange és az örökölt dedikált Exchange Online-környezetbeli bérlők feltételes hozzáférési házirendjei a következő folyamatot használják annak kiértékeléséhez, hogy engedélyezzék vagy letiltsák az eszközöket.The following flow is used by conditional access policies for Exchange on-premises and tenants in the legacy Exchange Online Dedicated environment to evaluate whether to allow or block devices.

ConditionalAccess8-2

A helyszíni Exchange-házirend engedélyezéseTo enable the Exchange On-premises policy
  1. Kattintson a Configuration Manager-konzolon az Eszközök és megfelelőségelemre.In the Configuration Manager console, click Assets and Compliance.

  2. Bontsa ki a Megfelelőségi beállítások, majd a Feltételes hozzáféréscsomópontot, és kattintson a Helyi Exchangeelemre.Expand Compliance Settings, expand Conditional Access, and then click On-Premises Exchange.

  3. A Kezdőlap lap Helyi Exchange csoportjában kattintson a Feltételes hozzáférési házirend konfigurálásaelemre.On the Home tab, in the On-Premises Exchange group, click Configure Conditional Access Policy.

  4. AConfiguration Manager 1602-es verziójától kezdvea Feltételes hozzáférési házirend konfigurálása varázsló Általánoslapján megadhatja, hogy szeretné-e felülbírálni az Exchange Active Sync alapértelmezett szabályát.Beginning in version 1602 of Configuration Manager, On the General page of the Configure Conditional Access Policy Wizard, specify whether you want to override the Exchange Active Sync default rule. Kattintson erre a beállításra, ha azt szeretné, hogy a regisztrált és megfelelő eszközök mindig hozzáférjenek az e-mailekhez akkor is, ha az alapértelmezett szabály karanténba helyezésre vagy a hozzáférés letiltására van beállítva.Click this option if you want enrolled and compliant devices to always have access to email, even when the default rule is set to quarantine or block access.

    Megjegyzés

    Az alapértelmezett felülbírálás esetében probléma jelentkezik az Android-eszközökön.There is an issue with the default override for Android devices. Ha az Exchange-kiszolgáló alapértelmezett hozzáférési szabály a Tiltás értékre van beállítva, és az Exchange feltételes hozzáférési szabályzata engedélyezve van az alapértelmezett szabályt felülbíráló kapcsolóval, akkor előfordulhat, hogy a megcélzott felhasználók Android-eszközeinek tiltása nem lesz feloldva az Intune-ba való regisztrálás és a megfelelőség teljesítése után.If the default access rule of the Exchange server is set to Block and the Exchange conditional access policy is enabled with the default rule override option, then the Android devices of the targeted users may not get unblocked even after the devices are Intune enrolled and compliant. A probléma megoldásához az Exchange alapértelmezett hozzáférési szabályát állítsa Karanténértékűre.To workaround this issue, set the Exchange default access rule to Quarantine. Az eszköz alapértelmezés szerint nem férhet hozzá az Exchange-hez, és a rendszergazda lekérheti az Exchange-kiszolgálóról a karanténba helyezett eszközök listáját tartalmazó jelentést.The device does not get access to Exchange by default, and the administrator can get a report from the Exchange server on the list of devices that are being quarantined.

    Ha nem adott meg értesítési e-mail fiókot az Exchange-összekötő beállításakor, figyelmeztetés jelenik meg ezen a lapon, és a Tovább gomb le lesz tiltva.If you have not setup a notification email account when you set up the Exchange connector, you will see a warning on this page, and the Next button is disabled. A folytatás előtt konfigurálja az értesítési e-mail beállításait az Exchange-összekötőben, majd a művelet befejezéséhez térjen vissza a Feltételes hozzáférési házirend konfigurálása varázsló lapjára.Before you can proceed, you must first configure the notification email settings in the Exchange Connector and then come back to the Configure Conditional Access Policy Wizard to complete the process.

    HybridCondAccessWiz1

    Kattintson a Továbbgombra.Click Next.

  5. A Célgyűjtemények lapon vegyen fel legalább egy felhasználói gyűjteményt.On the Targeted Collections page, add one or more user collections. Exchange eléréséhez a gyűjteményekbe tartozó felhasználóknak regisztrálniuk kell az eszközeiket az Intune-nal, és is meg kell felelniük minden megfelelőségi szabályzatnak, amelyet központilag telepített.In order to access Exchange, users in these collections must enroll their devices with Intune and also be compliant with any compliance policies you deployed.

    HybridCondAccessWiz2

    Kattintson a Továbbgombra.Click Next.

  6. A Kivételezett gyűjtemények lapon bármilyen felhasználói gyűjteményt felvehet, amelyet mentesíteni kíván a házirend alól.On the Exempted Collections page, add any user collections that you want to be exempt from the conditional access policy. Ebben a csoportokban lévő felhasználóknak nem kell regisztrálniuk az eszközeiket az Intune-ban, és nem kell Exchange eléréséhez meg kell felelniük a telepített megfelelőségi szabályzatoknak.Users in these groups, do not need to enroll their devices with Intune and do not need to be compliant with any deployed compliance policies in order to access Exchange.

    HybridCondAccessWiz3

    Ha egy felhasználó a megcélzott és a mentesített listában is szerepel, mentesül a feltételes hozzáférési házirend alól.If a user appears in both the targeted and exempted lists, they will be exempt from the conditional access policy.

    Kattintson a Továbbgombra.Click Next.

  7. Az a felhasználói értesítés szerkesztése lapján konfigurálhatja az e-maileket, Intune által a felhasználók (az Exchange által küldött e-mail) mellett az eszköz letiltásának feloldására vonatkozó utasításokkal.On the Edit User Notification page, configure the email that Intune sends to users with instructions about how to unblock their device (in addition to the email that Exchange sends).

    Szerkesztheti az alapértelmezett üzenetet, és HTML-címkékkel formázhatja a szöveg megjelenését.You can edit the default message and use HTML tags to format how the text appears. Az alkalmazottakat előzetesen is értesítheti e-mailben a jövőbeli változásokról, és útmutatást adhat nekik az eszközük regisztrációjával kapcsolatban.You can also send an email in advance to your employees notifying them of the upcoming changes and providing them with instructions about enrolling their devices.

    HybridCondAccessWiz4

    Megjegyzés

    Mivel a javítással kapcsolatos utasításokat tartalmazó Intune értesítő e-mail a felhasználó Exchange-postaládájába kerül, abban az esetben, ha a felhasználó eszköze le van tiltva az e-mail üzenet megérkezése előtt, egy tiltott eszközzel vagy más módon használhatnak Exchange-hozzáférést, és tekintheti meg az üzenetet.Because the Intune notification email containing remediation instructions is delivered to the user's Exchange mailbox, in the event that the user's device gets blocked before they receive the email message, they can use an unblocked device or other method to access Exchange and view the message.

    Megjegyzés

    Konfigurálnia kell az értesítő e-mail elküldéséhez használt fiókot, hogy az Exchange elküldhesse az értesítő e-mailt.In order for Exchange to be able to send the notification email, you must configure the account that will be used to send the notification email. Ezt az Exchange Server Connector konfigurálásakor végezheti el.You do this when you configure the properties of the Exchange Server connector.

    További részletekért lásd: Mobileszközök kezelése a System Center Configuration Manager és az Exchange használatával.For details, see Manage mobile devices with System Center Configuration Manager and Exchange.

    Kattintson a Továbbgombra.Click Next.

  8. Az Összefoglalás lapon ellenőrizze a beállításokat, majd hajtsa végre a varázsló lépéseit.On the Summary page, review your settings, and then complete the wizard.

  • Nem kell telepítenie a feltételes hozzáférési házirendet, azonnal érvénybe lép.You do not have to deploy the conditional access policy, it takes effect immediately.

  • Miután a felhasználó beállítja az Exchange ActiveSync-profilt, az eszköz (ha az Intune által nem felügyelt) letiltása 1 – 3 órát vehet igénybe.After a user sets up an Exchange ActiveSync profile, it might take from 1-3 hours for the device to be blocked (if it is not managed by Intune).

  • Ha egy letiltott felhasználó ezután regisztrálja az eszközt az Intune-ban (vagy javítja a nem megfelelőséget), e-mailek elérését lesz feloldva 2 percen belül.If a blocked user then enrolls the device with Intune (or remediates noncompliance), email access will be unblocked within 2 minutes.

  • Ha a felhasználó megszünteti-regisztrálja az Intune-ban az eszköz letiltása 1 – 3 órát vehet igénybe.If the user un-enrolls from Intune it might take from 1-3 hours for the device to be blocked.

További információSee also

A System Center Configuration Manager-szolgáltatásokhoz való hozzáférés kezeléseManage access to services in System Center Configuration Manager