Ochrona dostępu do poczty e-mail, usług Office 365 i innych usług przy użyciu usługi Microsoft IntuneProtect access to email, Office 365, and other services with Microsoft Intune

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Za pomocą dostępu warunkowego pakietu Enterprise Mobility + Security (EMS) można zabezpieczyć dostęp do firmowej poczty e-mail, usług Office 365, takich jak lokalna instalacja programu Exchange, usługa Exchange Online, usługa Exchange Online w wersji dedykowanej, usługa SharePoint Online, usługa Skype dla firm Online i innych.You can protect access to your company email, Office 365 services like Exchange On-premises, Exchange Online, Exchange Online Dedicated, SharePoint Online, Skype for Business Online, and other services by using Enterprise Mobility + Security (EMS) Conditional Access. Ta funkcja pozwala na zapewnienie, że dostęp do poczty e-mail i usług Office 365 w Twojej firmie jest ograniczony do urządzeń zgodnych z zasadami ustawionymi w konsoli administracyjnej usługi Intune lub w klasycznym portalu Azure.This capability allows you to make sure that access to your company email and Office 365 services is restricted to devices that are compliant with the conditional access rules that you set either in the Intune admin console, or Azure classic portal.

W jaki sposób działa dostęp warunkowy?How does conditional access work?

Do oceny zgodności urządzenia można wykorzystać ustawienia zasad zgodności.You can use compliance policy settings to evaluate the compliance of a device. Zasady dostępu warunkowego używają tej oceny do ograniczenia dostępu do określonej usługi lub zezwolenia na taki dostęp.A conditional access policy uses the evaluation to restrict or allow access to a specific service. Jeśli zasady dostępu warunkowego są stosowane w połączeniu z zasadami zgodności urządzeń, tylko zgodne urządzenia będą miały dostęp do usługi.When you use a conditional access policy in combination with a device compliance policy, only compliant devices are allowed to access the service. Zasady zgodności i zasady dostępu warunkowego są wdrażane dla użytkownika.The compliance policy and the conditional access policy are deployed to the user. Wszystkie urządzenia, których użytkownik używa do uzyskiwania dostępu do usług, są sprawdzane pod kątem zgodności z zasadami.Any device that the user uses to access the services is checked for compliance with the policies.

Ważne

Należy pamiętać, że użytkownik korzystający z urządzenia musi mieć na nim wdrożone zasady zgodności, aby urządzenie mogło zostać ocenione pod kątem zgodności.Keep in mind that the user who is using the device must have a compliance policy that is deployed to them in order for the device to be evaluated for compliance. Jeśli na urządzeniu nie wdrożono żadnych zasad zgodności dla użytkownika, będzie ono traktowane jako zgodne i nie będą stosowane żadne ograniczenia dostępu.If no compliance policy is deployed to the user, the device is treated as compliant, and no access restrictions are applied.

Gdy urządzenia nie spełniają warunków ustawionych w zasadach, użytkownik końcowy jest przeprowadzany przez procedurę rejestracji urządzenia i rozwiązywania problemu, w związku z którym urządzenie nie może być zgodne.When devices don't meet the conditions that are set in the policies, the end user is guided though the process of enrolling the device and fixing the issue that prevents the device from being compliant.

Typowy przepływ dostępu warunkowego:A typical flow of conditional access:

Diagram przedstawiający punkty decyzyjne używane do określenia, czy urządzenie ma mieć dostęp do usługi, czy ma być blokowane

Zagadnienia dotyczące instalacjiSetup considerations

LicencjonowanieLicensing

Usługa Microsoft Intune i Azure Active Directory (Azure AD) Premium działają bezproblemowo razem w celu zapewnienia wielu warstw kontroli za pośrednictwem dostępu warunkowego pakietu EMS. Jeśli chcesz wdrożyć zasady dostępu warunkowego za pomocą usługi Intune, musisz mieć licencję dla obu tych produktów.Microsoft Intune and Azure Active Directory (Azure AD) Premium work seamlessly together to provide multiple layers of control through EMS conditional access, if you want to deploy conditional access policies using Intune, you're required to have license for both products.

Licencje usługi Azure AD Premium można kupić jako autonomiczną usługę lub wraz z usługą Intune w ramach umowy Enterprise Agreement.Azure AD Premium licenses can be purchased as a standalone service or can be purchased (along with Intune) as part of the Enterprise agreement. Jeśli zasady dostępu warunkowego wdrożono za pomocą usługi Intune, upewnij się, że masz odpowiednie licencje usługi Azure AD Premium lub pakietu EMS.If you have deployed conditional access policies with Intune, please ensure that you have obtained the proper Azure AD Premium or EMS licenses.

Ponadto upewnij się, że użytkownicy, dla których planowane jest zastosowanie zasad dostępu warunkowego, są przypisani za pomocą licencji usługi Azure AD Premium lub pakietu EMS.Additionally, make sure the users you plan to apply conditional access policies are assigned with the Azure AD Premium or EMS licenses.

Ustawienia zgodności urządzeńDevice compliance settings

Aby skonfigurować dostęp warunkowy, skonfiguruj zasady zgodności urządzeń i zasady dostępu warunkowego.To set up conditional access, configure a device compliance policy and a conditional access policy. Zasady zgodności zawierają ustawienia, takie jak kod dostępu i szyfrowanie, oraz określają, czy urządzenie nie ma zdjętych zabezpieczeń.The compliance policy includes settings like passcode, encryption, and whether or not a device is jailbroken. Urządzenie musi spełniać te reguły, aby można je było uważać za zgodne.The device must meet these rules in order to be considered compliant.

Zasady dostępu warunkowegoConditional access policy

Możliwe jest ustawienie zasad dostępu warunkowego w celu ochrony dostępu w oparciu o:You can set a conditional access policy to protect access based on:

  • Stan zgodności urządzenia.The device compliance status.
  • Platformę, na której działa urządzenie.The platform that is running on the device.
  • Typ aplikacji używanych do uzyskiwania dostępu do usług.The type of apps that are used to access the services.

W odróżnieniu od innych zasad usługi Intune zasady dostępu warunkowego nie są wdrażane.Unlike other Intune policies, you don't deploy conditional access policies. Zamiast tego po skonfigurowaniu zasad i wybraniu użytkowników, którzy powinni je posiadać, zasady są stosowane do wszystkich użytkowników docelowych.Instead, after you configure the policy and select the users that should have the policy, the policy is applied to all targeted users. Jeśli zasady obejmują użytkownika, możliwość uzyskania przez niego dostępu do zasobów wymaga zgodności każdego używanego przez niego urządzenia.When a user is targeted by a policy, each device they use must be compliant in order for them to access resources.

Następne krokiNext steps

  1. Tworzenie zasad zgodności urządzenia.Create a device compliance policy.

  2. Utwórz zasady dostępu warunkowego dla jednej z wybranych usług lub jednego z wybranych produktów firmy Microsoft w chmurze:Create a conditional access policy for one of the following Microsoft cloud services/product: