SharePoint Online-hozzáférés kezelése a System Center Configuration ManagerbenManage SharePoint Online access in System Center Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

A Configuration Manager feltételes hozzáférési házirend SharePoint Online kezeli a onedrive vállalati verzió fájljainak, SharePoint Online-on tárolt hozzáférését.The Configuration Manager conditional access policy for SharePoint Online manages access to OneDrive for Business files, which are stored on SharePoint Online. Hozzáférés az Ön által megadott feltételekre alapul.Access is based on conditions you specify. A SharePoint Online-hoz a felsorolt platformok következő alkalmazásaiból szabályozhatja a hozzáférést:You can control access to SharePoint Online from the following apps for the listed platforms:

  • Microsoft Office Mobile (Android)Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android és iOS)Microsoft OneDrive (Android and iOS)

  • Microsoft Word (Android és iOS)Microsoft Word (Android and iOS)

  • Microsoft Excel (Android és iOS)Microsoft Excel (Android and iOS)

  • Microsoft PowerPoint (Android és iOS)Microsoft PowerPoint (Android and iOS)

  • Microsoft OneNote (Android és iOS)Microsoft OneNote (Android and iOS)

Az Office asztali alkalmazásai hozzáférhetnek a SharePoint online-hoz futtató számítógépeken:Office desktop applications can access SharePoint Online on PCs running:

Megjegyzés

Számítógépeknek kell a tartományhoz csatlakoztatott vagy meg kell felelniük az Intune-ban beállított szabályzatoknak.PCs should be domain joined or be complaint with the policies set in Intune.

Amikor egy célzott felhasználó próbál csatlakozni egy fájlhoz az eszköz a támogatott alkalmazások, például a OneDrive, a következő ellenőrzés megy végbe:When a targeted user tries to connect to a file using a supported app such as OneDrive on their device, the following evaluation occurs:

ConditionalAccess8-6

Ha csatlakozni szeretne a kívánt fájlokhoz, a OneDrive alkalmazást futtató eszköznek az alábbi feltételeknek kell megfelelnie:To connect to the required files, the device running OneDrive must:

  • Kell léptetni a Microsoft Intune-nal vagy egy tartományhoz csatlakozó számítógép.Be enrolled with Microsoft Intune or a domain joined PC.

  • Regisztrálja az eszközt az Azure Active Directory (Azure AD).Register the device in Azure Active Directory (Azure AD). Ez a regisztráció automatikusan megtörténik, amikor az eszköz Intune-nal regisztrálva.This registration happens automatically when the device is enrolled with Intune.

    Tartományhoz csatlakozó számítógépek esetén be kell állítani legfeljebb automatikus regisztrációt az Azure ad-val.For domain joined PCs, you must set it up to automatically register with Azure AD.

  • Meg kell felelnie az összes telepített Configuration Manager megfelelőségi szabályzatánakBe compliant with any deployed Configuration Manager compliance policies

    Az Azure AD tárolja az eszköz állapotát.Azure AD stores the device state. Engedélyezi vagy letiltja a megadott feltételek alapján a fájlok elérését.It grants or blocks access to the files, based on the conditions you specify.

    Ha egy feltétel nem teljesül, a felhasználó számára jelenik meg az alábbi üzenetek egyike bejelentkezéskor:If a condition isn't met, the user is presented with one of the following messages when they log in:

  • Ha az eszköz Intune-ban nem regisztrált, vagy nincs regisztrálva az Azure ad-ben, egy üzenet jelenik meg leírja, hogyan kell telepíteni a vállalati portál alkalmazást és regisztrálni az eszközt.If the device isn't enrolled with Intune, or isn't registered in Azure AD, a message is displayed with instructions about how to install the Company Portal app and enroll.

  • Ha az eszköz nem megfelelő, egy üzenet jelenik meg, amely a felhasználót, hogy az Intune webportálra irányítja.If the device isn't compliant, a message is displayed that directs the user to the Intune web portal. Nem található információ a problémáról és annak megoldásáról.There they can find information about the problem, and how to remediate it.

  • Mobileszközök esetén:For mobile devices:

    Korlátozhatja a hozzáférést a SharePoint online-hoz egy böngészőben a iOS és Android eszközök.You can restrict access to SharePoint Online when accessed from a browser on iOS and Android devices. Csak elérését a feltételeknek megfelelő eszközökön támogatott böngészőkkel történő:Access is only allowed from supported browsers on compliant devices:

    • Safari (iOS)Safari (iOS)
    • Chrome (Android)Chrome (Android)
    • Managed Browser (iOS és Android)Managed Browser (iOS and Android)

      Nem támogatott böngészők le vannak tiltva.Unsupported browsers are blocked.

  • Számítógépek esetén:For a PC:

    • Ha a házirend úgy van beállítva, hogy megkövetelje a tartományhoz való csatlakozást, és a számítógép nincs tartományhoz, megjelenik egy üzenet az forduljon a RENDSZERGAZDÁHOZ.If the policy is set to require domain join, and the PC isn't domain joined, a message is displayed to contact the IT admin.

    • Ha a házirend úgy van beállítva, hogy megkövetelje a tartományhoz való csatlakozást, vagy nem megfelelőek, és a számítógép nem felel meg egyik követelménynek, megjelenik egy üzenet leírja, hogyan telepítse a vállalati portál alkalmazást és regisztrálja az eszközt.If the policy is set to require domain join or compliant, and the PC doesn't meet either requirement, a message is displayed with instructions about how to install the Company Portal app and enroll.

A SharePoint Online-hozzáférés a következő alkalmazásokból tiltható le:You can block access to SharePoint Online from the following apps:

  • Microsoft Office Mobile (Android)Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android és iOS)Microsoft OneDrive (Android and iOS)

  • Microsoft Word (Android és iOS)Microsoft Word (Android and iOS)

  • Microsoft Excel (Android és iOS)Microsoft Excel (Android and iOS)

  • Microsoft PowerPoint (Android és iOS)Microsoft PowerPoint (Android and iOS)

  • Microsoft OneNote (Android és iOS)Microsoft OneNote (Android and iOS)

SharePoint Online feltételes hozzáférésének beállításaConfigure conditional access for SharePoint Online

1. lépés: Az Active Directory biztonsági csoportok beállításaStep 1: Configure Active Directory security groups

Mielőtt elkezdené, konfigurálja az Azure AD biztonsági csoportokat a feltételes hozzáférési szabályzathoz.Before you start, configure Azure AD security groups for the conditional access policy. Ezeket a csoportokat az Office 365 Felügyeleti központbanvagy az Intune-fiókportálonkonfigurálhatja.You can configure these groups in the Office 365 admin center, or the Intune account portal. Ezek a csoportok tartalmazzák a felhasználók, akik a célzott vagy a házirend alól.These groups include the users that are targeted, or exempt from the policy. Amikor egy felhasználóra házirend vonatkozik, az általa használt összes eszköznek attribútumnak erőforrások eléréséhez kompatibilisnek kell lennie.When a user is targeted by a policy, each device they use must be compliant to access resources.

Egy SharePoint Online-házirendben két csoporttípust adhat meg:You can specify two group types in a SharePoint Online policy:

  • Megcélzott csoportok: A házirend hatálya alá tartozó felhasználói csoportokat tartalmazzaTargeted groups: Contains groups of users to which the policy applies

  • Kivétel alá eső csoportok: (Választható) a szabályzat alól mentesülő felhasználói csoportokat tartalmazzaExempted groups: Contains groups of users that are exempt from the policy (optional)

    Ha egy felhasználó mindkét csoportban szerepel, fontosságúak a házirend alól.If a user is in both groups, they're exempt from the policy.

2. lépés: A megfelelőségi szabályzat konfigurálása és telepítéseStep 2: Configure and deploy a compliance policy

Hozzon létre és regisztrálja a megfelelőségi házirendet, amelyhez a SharePoint Online-házirend céljaként meghatározott összes eszközre.Create and deploy a compliance policy to all devices to which you target the SharePoint Online policy.

Megjegyzés

Az Intune-csoportok, vagy a Configuration Manager-gyűjtemények megfelelőségi szabályzatainak bevezetése, a feltételes hozzáférési házirendek az Azure AD biztonsági csoportokat célozzák.While compliance policies are deployed to Intune groups, or Configuration Manager collections, conditional access policies are targeted to Azure AD security groups.

A megfelelőségi szabályzat konfigurálásának ismertetését lásd: Eszközök megfelelőségi házirendjének kezelése a System Center Configuration Managerrel.For details about how to configure the compliance policy, see Manage device compliance policies in System Center Configuration Manager.

Fontos

Ha még nem telepített megfelelőségi házirendet, és engedélyezi a SharePoint Online-házirendet, az összes megcélzott eszköz hozzáférése van engedélyezett.If you haven't deployed a compliance policy, and then enable the SharePoint Online policy, all targeted devices are allowed access.

3. lépés: A SharePoint Online-szabályzat beállításaStep 3: Configure the SharePoint Online policy

Ezután állítsa be úgy a házirendet, hogy csak a felügyelt és a feltételeknek megfelelő eszközök érhessék el a SharePoint Online-t.Next, configure the policy to require that only managed and compliant devices can access SharePoint Online. Ez a házirend az Azure AD tárolja.This policy is stored in Azure AD.

Megjegyzés

Az Azure AD felügyeleti konzol feltételes hozzáférési házirendet is létrehozhat.You can also create conditional access policy in the Azure AD management console. Az Azure AD felügyeleti konzol lehetővé teszi az Intune feltételes hozzáférési szabályzatok létrehozását.The Azure AD management console allows you to create the Intune device conditional access policies. Az Azure AD az eszközalapú feltételes hozzáférési házirend ezek a házirendek néven hivatkozik.Azure AD refers to these policies as the device-based conditional access policy. Más, a feltételes hozzáférési házirendeket, például a többtényezős hitelesítést is létrehozhat.You can also create other conditional access policies, like multi-factor authentication. A portálon beállíthatja a feltételes hozzáférési házirendek az Azure AD támogatja, például a Salesforce és mezőben külső vállalati alkalmazások esetében.In the portal, you can set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. További információkért lásd: beállítása az Azure AD eszközalapú feltételes hozzáférési házirend hozzáférés-vezérlés az Azure AD-alkalmazások csatlakoztatott.For more information, see How to set Azure AD device-based conditional access policy for access control to Azure AD connected applications.

  1. Kattintson a Configuration Manager-konzolon az Eszközök és megfelelőségelemre.In the Configuration Manager console, click Assets and Compliance.

  2. Válassza ki feltételes hozzáférési házirend engedélyezése SharePoint online-hoz.Select Enable conditional access policy for SharePoint Online.

    IntuneSASharePointOnlineCAPolicy

  3. Az Alkalmazás-hozzáférés területen minden egyes platformhoz beállíthatja, hogy csak a házirendnek megfelelő eszközök férhessenek hozzá az Outlookhoz és a modern hitelesítést használó alkalmazásokhoz.Under Application access for Outlook and apps that use modern authentication, you can choose to restrict access to only devices that are compliant for each platform.

    Tipp

    A modern hitelesítés Active Directory Authentication LIBRARY-(ADAL-) alapú bejelentkezés biztosítható az Office-ügyfelekhez.Modern authentication brings Active Directory Authentication Library (ADAL)-based sign-in to Office clients.

    • Az ADAL-alapú hitelesítés lehetővé teszi, hogy az Office-ügyfelek végezhetnek böngészőalapú hitelesítést (más néven passzív hitelesítést).The ADAL-based authentication enables Office clients to engage in browser-based authentication (also known as passive authentication). A hitelesítéshez a felhasználó egy bejelentkezési weblapra van átirányítva.To authenticate, the user is directed to a sign-in web page.

      • Ez az új bejelentkezési módszer lehetővé teszi, hogy az új forgatókönyvek használhatók, például a feltételes hozzáférés alapján eszközmegfelelőség, és kell-e a multi-factor authentication végre lett hajtva.This new sign-in method enables new scenarios like conditional access based on device compliance, and whether multi-factor authentication was performed.

      További információkért lásd: modern hitelesítés működéséről az Office 2013 és az Office 2016 ügyfélalkalmazások.For more information, see How modern authentication works for Office 2013 and Office 2016 client apps.

    A windows rendszerű számítógépek a Számítógépnek tartományhoz kell csatlakoznia, vagy regisztrálva az Intune-nal és a megfelelő.For windows PCs, the PC must either be domain joined, or enrolled with Intune and compliant. A következő követelményeket állíthatja be:You can set the following requirements:

    • Az eszközöknek meg kell csatlakoznia vagy megfelelőnek tartomány: A számítógépeknek egy tartományhoz vagy az Intune-ban beállított házirendeknek megfelelő kell.Devices must be domain joined or compliant: The PCs must either be domain joined or compliant with the policies set in Intune. Ha a számítógép egyik követelménynek sem rendelkezik, a felhasználótól regisztrálja az eszközt az Intune-ban.If the PC doesn't meet either of these requirements, the user is prompted to enroll the device with Intune.

    • Az eszközöknek tartományhoz kell: A számítógépeknek tartományhoz kell csatlakozniuk az Exchange Online elérésére.Devices must be domain joined: The PCs must be domain joined to access Exchange Online. Ha a számítógép nincs tartományhoz csatlakoztatva, a levelezéshez való hozzáférés le van tiltva, és kéri a felhasználót, hogy lépjen kapcsolatba a rendszergazdával.If the PC is not domain joined, access to email is blocked, and the user is prompted to contact the IT admin.

    • Az eszközöknek meg kell megfelelő: A számítógépeknek regisztrálva kell lenniük az Intune-ban és a megfelelő.Devices must be compliant: The PCs must be enrolled in Intune and compliant. Ha a számítógép nincs regisztrálva, beléptetésének módjával kapcsolatos utasításokat tartalmazó üzenet jelenik meg.If the PC isn't enrolled, a message with instructions on how to enroll is displayed.

  4. A böngészőalapú hozzáférés SharePoint Online és onedrive vállalati verzió, ha szeretné, csak a támogatott böngészőkkel keresztül Exchange online-hoz való hozzáférés engedélyezése: Safari (iOS), és Chrome (Android).Under Browser access to SharePoint Online and OneDrive for Business, you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS), and Chrome (Android). A más böngészőkkel történő hozzáférés le van tiltva.Access from other browsers is blocked. A OneDrive megadott alkalmazás-hozzáférési platformkorlátozásai itt is érvényesek.The same platform restrictions you selected for Application access for OneDrive also apply here.

    A Android eszközök, felhasználók engedélyezni kell a böngészőalapú hozzáférés engedélyezése a regisztrált eszköz beállítást az alábbiak szerint:On Android devices, users must enable the Enable Browser Access option on the enrolled device as follows:

    1. Nyissa meg a Vállalati portál alkalmazást.Launch the Company Portal app.
    2. Lépjen a beállítások lapot a három pontra (...) vagy a hardver menü gombjára kattintva.Go to the Settings page from the triple dots (...) or the hardware menu button.
    3. Kattintson a Böngészőalapú hozzáférés engedélyezése gombra.Press the Enable Browser Access button.
    4. A Chrome böngészőben jelentkezzen ki az Office 365-ből, majd indítsa újra a Chrome-ot.In the Chrome browser, sign out of Office 365 and restart Chrome.

    A iOS és Android platformokon a szolgáltatás, az Azure AD eléréséhez használt eszköz azonosításához az a TLS tanúsítványt állít ki az eszközt.On iOS and Android platforms, To identify the device that is used to access the service, Azure AD issues a TLS certificate to the device. Az eszköz a tanúsítványt, amelynek a kérdés megjeleníti a végfelhasználó számára, az alábbi képernyőfelvételnek, válassza ki a tanúsítványt: A felhasználók továbbra is a böngésző használata előtt ki kell választania ezt a tanúsítványt.The device displays the certificate with a prompt to the end user to select the certificate as seen in the following screenshots: The end user must select this certificate before they can continue to use the browser.

    iOSiOS

    Képernyőfelvétel a tanúsítvány kiválasztásának kéréséről egy iPad készüléken

    AndroidAndroid

    képernyőfelvétel a tanúsítvány kiválasztásának kéréséről egy Android készüléken

  5. A Kezdőlap Hivatkozások csoportjában kattintson a Feltételes hozzáférési szabályzat konfigurálása az Intune-konzolonhivatkozásra.On the Home tab, in the Links group, click Configure Conditional Access Policy in the Intune Console. Előfordulhat, hogy meg kell adnia annak a fióknak a felhasználónevét és jelszavát, amely a Configuration Manager és az Intune közötti kapcsolat létrehozására használatos.You might need to supply the user name and password of the account used to connect Configuration Manager with Intune.

    Megnyitja az Intune felügyeleti konzolon.The Intune admin console opens.

  6. A Microsoft Intune felügyeleti konzolon kattintson a Házirend > Feltételes hozzáférés > SharePoint Online-szabályzat elemre.In the Microsoft Intune administration console, click Policy > Conditional Access > SharePoint Online Policy.

  7. Válassza A SharePoint Online elérésének magakadályozása az alkalmazásoknak, ha az eszköz nem felel meg a szabályzatoknak lehetőséget.Select Block apps from accessing SharePoint Online if the device is noncompliant.

  8. A megcélzott csoportok, kattintson a módosítás jelölje be az Azure AD biztonsági csoportokat, amelyekre a házirend vonatkozik.Under Targeted Groups, click Modify to select the Azure AD security groups to which the policy applies.

  9. A kivétel alá eső csoportokterületen kattintson a módosítás jelölje be az Azure AD biztonsági csoportokat, amelyekre nem érvényes a szabályzat.Under Exempted Groups, optionally, click Modify to select the Azure AD security groups that are exempt from this policy.

  10. Amikor elkészült, kattintson a Mentésgombra.When you are done, click Save.

    A feltételes hozzáférési házirend telepítése nem szükséges, azonnal érvénybe lép.You don't have to deploy the conditional access policy, it takes effect immediately.

    Lásd: SharePoint Online-hozzáférés kezelése a Microsoft Intune-nal a házirend az Intune-konzolon való figyeléséről kapcsolatos információkat.See Manage SharePoint Online access with Microsoft Intune for information about how you can monitor the policy from the Intune console.

További információSee also

A System Center Configuration Manager-szolgáltatásokhoz való hozzáférés kezeléseManage access to services in System Center Configuration Manager