Ochrona dostępu do usługi Dynamics CRM Online przy użyciu usługi IntuneProtect access to Dynamics CRM Online with Intune

Dotyczy: usługa Intune w konsoli klasycznejApplies to: Intune in the classic console
Szukasz dokumentacji dotyczącej usługi Intune na platformie Azure?Looking for documentation about Intune on Azure? Przejdź tutaj.Go here.

Dostęp do usługi Microsoft Dynamics CRM Online na urządzeniach z systemem iOS i Android można kontrolować przy użyciu dostępu warunkowego usługi Microsoft Intune.You can control access to Microsoft Dynamics CRM Online from iOS and Android devices by using Microsoft Intune conditional access. Dostęp warunkowy usługi Intune ma dwa składniki:Intune conditional access has two components:

Aby dowiedzieć się więcej o sposobie działania dostępu warunkowego, przeczytaj artykuł Ochrona dostępu do poczty e-mail, usług O365 i innych usług.To learn more about how conditional access works, read the protect access to email, 0365, and other services article.

Ważne

Aby wdrożyć dostęp warunkowy, musisz mieć subskrypcje usług Intune i Azure Active Directory w wersji Premium, a użytkownicy muszą mieć licencje obu produktów.To deploy conditional access, you must have subscriptions for Intune and Azure Active Directory Premium, and users must be licensed for both products. Subskrypcja pakietu Enterprise Mobility + Security (EMS) obejmuje zarówno subskrypcję usługi Intune, jak i subskrypcję usługi Azure Active Directory — wersja Premium.The Enterprise Mobility + Security (EMS) subscription includes both Intune and Azure Active Directory Premium subscriptions. Aby uzyskać więcej szczegółowych informacji, zobacz Cennik pakietu Enterprise Mobility.For more details, see the Enterprise Mobility pricing page. Jeśli nie masz subskrypcji pakietu EMS, możesz uzyskać subskrypcję usługi Azure Active Directory — wersja Premium.If you don't have the EMS subscription, you can get a subscription for Azure Active Directory Premium. Zobacz Cennik usługi Azure Active Directory.See the Azure Active Directory pricing page.

Jeśli wybrany użytkownik próbuje użyć aplikacji Dynamics CRM na swoim urządzeniu, sprawdzane są następujące kwestie:When a targeted user attempts to use the Dynamics CRM app on their device, the following evaluation occurs:

Diagram przedstawiający punkty decyzyjne używane do określenia, czy urządzenie ma mieć dostęp do usługi, czy ma być blokowane

Urządzenie, dla którego wymagany jest dostęp do usługi Dynamics CRM Online, musi:The device that needs access to Dynamics CRM Online must be:

  • Być urządzeniem z systemem Android lub iOS.An Android or iOS device.
  • Być zarejestrowane w usłudze Intune.Enrolled with Intune.
  • Być zgodne z wdrożonymi zasadami zgodności usługi Intune.Compliant with any deployed Intune compliance policies.

Stan urządzenia jest przechowywany w usłudze Azure Active Directory, która na podstawie wybranych warunków przydziela prawo dostępu lub je blokuje.The device state is stored in Azure Active Directory, which grants or blocks access based on the conditions that you specify.

Jeśli warunek nie jest spełniony, użytkownik zobaczy podczas logowania jeden z następujących komunikatów:If a condition is not met, the user is presented with one of the following messages when they sign in:

  • Jeśli urządzenie nie zostało zarejestrowane w usłudze Intune lub Azure Active Directory, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalowania aplikacji portalu firmy i rejestrowania.If the device is not enrolled with Intune or is not registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app and enroll.
  • Jeśli urządzenie nie jest zgodne, zostanie wyświetlony komunikat kierujący użytkownika do witryny internetowej portalu firmy usługi Microsoft Intune lub aplikacji Portal firmy, gdzie można znaleźć informacje o problemie i sposobie jego rozwiązania.If the device is not compliant, a message is displayed that directs the user to the Microsoft Intune Company Portal website or Company Portal app, where they can find information about the problem and how to remediate it.

Konfigurowanie dostępu warunkowego dla usługi Dynamics CRM OnlineConfigure conditional access for Dynamics CRM Online

Krok 1. Konfigurowanie grup zabezpieczeń usługi Active DirectoryStep 1: Configure Active Directory security groups

Przed rozpoczęciem skonfiguruj grupy zabezpieczeń usługi Azure Active Directory dla zasad dostępu warunkowego.Before you start, configure Azure Active Directory security groups for the conditional access policy. Możesz skonfigurować te grupy w centrum administracyjnym usługi Office 365.You can configure these groups in the Office 365 admin center. Te grupy są używane do objęcia użytkowników zasadami lub wykluczenia ich z zasad.You use these groups to target or exempt users from the policy. Jeśli zasady obejmują użytkownika, każde używane przez niego urządzenie musi być zgodne, aby mógł uzyskać dostęp do zasobów.When a user is targeted by a policy, each device they use must be compliant in order to access resources.

Można określić dwa typy grup używane dla zasad usługi Dynamics CRM:You can specify two group types to use for the Dynamics CRM policy:

  • Grupy docelowe.Targeted groups. Zawiera grupy użytkowników, których dotyczą zasady.Contains groups of users that the policy applies to.
  • Wykluczone grupy.Exempted groups. Zawiera grupy użytkowników, którzy są wykluczeni z zasad.Contains groups of users that are exempt from the policy.

Jeśli użytkownik należy do obu grup, będzie wykluczony z zasad.If a user is in both groups, they are exempt from the policy.

Krok 2. Konfigurowanie i wdrażanie zasad zgodnościStep 2: Configure and deploy a compliance policy

Utwórz zasady zgodności i wdróż je na wszystkich urządzeniach, które będą objęte zasadami.Create a compliance policy and deploy it to all devices that will be affected by the policy. To wszystkie urządzenia, które są używane przez użytkowników z grup docelowych.These are all the devices that are used by the users in the Targeted groups.

Uwaga

Podczas gdy zasady zgodności są wdrażane w grupach usługi Intune, zasady dostępu warunkowego są stosowane dla grup zabezpieczeń usługi Azure Active Directory.While compliance policies are deployed to Intune groups, conditional access policies are targeted to Azure Active Directory security groups.

Ważne

Jeśli zasady zgodności nie zostały wdrożone, urządzenia będą traktowane jako zgodne.If you have not deployed a compliance policy, the devices will be treated as compliant.

Gdy wszystko będzie gotowe, przejdź do kroku 3.When you are ready, continue to Step 3.

Krok 3. Konfigurowanie zasad usługi Dynamics CRMStep 3: Configure the Dynamics CRM policy

Skonfiguruj zasady wymagające, aby tylko urządzenia zarządzane i zgodne miały dostęp do usługi Dynamics CRM.Next, configure the policy to require that only managed and compliant devices can access Dynamics CRM. Te zasady będą przechowywane w usłudze Azure Active Directory.This policy will be stored in Azure Active Directory.

  1. W konsoli administracyjnej usługi Intune wybierz pozycje Zasady > Dostęp warunkowy > Zasady usługi Dynamics CRM Online.In the Intune administration console, choose Policy > Conditional Access > Dynamics CRM Online Policy.

    Zrzut ekranu przedstawiający stronę zasad dostępu warunkowego usługi Dynamics CRM Online

  2. Wybierz pozycję Włącz zasady dostępu warunkowego.Choose the Enable conditional access policy.

  3. W obszarze Dostęp do aplikacji możesz wybrać platformy, do których zostaną zastosowane zasady dostępu warunkowego:Under Application access, you can choose to apply conditional access policy to:
    • iOSiOS
    • AndroidAndroid
  4. W obszarze Grupy docelowe wybierz pozycję Modyfikuj, aby wybrać grupy zabezpieczeń usługi Azure Active Directory, do których zostaną zastosowane zasady.Under Targeted Groups, choose Modify to select the Azure Active Directory security groups that the policy will apply to. Możesz objąć zasadami wszystkich użytkowników lub ich wybrane grupy.You can choose to target this to all users or just a select group of users.
  5. W obszarze Wykluczone grupy możesz wybrać pozycję Modyfikuj, jeśli chcesz, aby zasady nie były stosowane dla wskazanych grup zabezpieczeń usługi Azure Active Directory.Under Exempted Groups, optionally, choose Modify to select the Azure Active Directory security groups that are exempt from this policy.
  6. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz.When you are done, choose Save.

Dostęp warunkowy dla usługi Dynamics CRM został skonfigurowany.You have now configured conditional access for Dynamics CRM. Nie musisz wdrażać zasad dostępu warunkowego; są one aktywne natychmiast.You do not have to deploy the conditional access policy—it takes effect immediately.

Monitorowanie zgodności i zasad dostępu warunkowegoMonitor the compliance and conditional access policies

W obszarze roboczym Grupy można przeglądać informacje o stanie warunkowego dostępu do urządzeń.In the Groups workspace, you can view the conditional access status of your devices.

Wybierz dowolną grupę urządzeń przenośnych, a następnie na karcie Urządzenia wybierz jeden z następujących filtrów:Choose any mobile device group and then, on the Devices tab, choose one of the following Filters:

  • Urządzenia, które nie są zarejestrowane w usłudze AAD.Devices that are not registered with AAD. Te urządzenia są blokowane w usłudze Dynamics CRM.These devices are blocked from Dynamics CRM.
  • Urządzenia, które nie są zgodne.Devices that are not compliant. Te urządzenia są blokowane w usłudze Dynamics CRM.These devices are blocked from Dynamics CRM.
  • Urządzenia, które są zarejestrowane w usłudze AAD i są zgodne.Devices that are registered with AAD and compliant. Te urządzenia mogą uzyskać dostęp do usługi Dynamics CRM.These devices can access Dynamics CRM.

Następne krokiNext steps

Aby przesłać opinię na temat produktu, przejdź na stronę Intune Feedback