Ochrona dostępu do poczty e-mail za pośrednictwem usługi Exchange Online i nowej usługi Exchange Online w wersji dedykowanej przy użyciu usługi IntuneProtect email access to Exchange Online and new Exchange Online Dedicated with Intune

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Za pomocą usługi Microsoft Intune można skonfigurować dostęp warunkowy dla usługi Exchange Online lub usługi Exchange Online w wersji dedykowanej.You can configure conditional access for Exchange Online or Exchange Online Dedicated by using Microsoft Intune. Aby dowiedzieć się więcej o sposobie działania dostępu warunkowego, przeczytaj artykuł Ochrona dostępu do poczty e-mail, usług O365 i innych usług.To learn more about how conditional access works, read the Protect access to email, O365, and other services article.

Uwaga

Jeśli masz środowisko usługi Exchange Online w wersji dedykowanej i chcesz sprawdzić, czy zawiera ono nową, czy starszą konfigurację, skontaktuj się z menedżerem ds. klientów.If you have an Exchange Online Dedicated environment and need to find out whether it's in the new or the legacy configuration, contact your account manager.

Przed rozpoczęciemBefore you begin

Aby skonfigurować dostęp warunkowy, trzeba:To configure conditional access, you must:

  • Mieć subskrypcję usługi Office 365 obejmującą usługę Exchange Online (na przykład E3), a użytkownicy muszą mieć licencję na usługę Exchange Online.Have an Office 365 subscription that includes Exchange Online (such as E3), and users must be licensed for Exchange Online.

  • Posiadanie subskrypcji pakietu Enterprise Mobility + Security (EMS) lub subskrypcji usługi Azure Active Directory (Azure AD) Premium oraz posiadanie licencji użytkowników na usługi EMS lub Azure AD.Have an Enterprise Mobility + Security (EMS) subscription or an Azure Active Directory (Azure AD) Premium subscription, and users must be licensed for EMS or Azure AD. Aby uzyskać więcej szczegółowych informacji, zobacz Cennik pakietu Enterprise Mobility lub Cennik usługi Azure Active Directory.For more details, see the Enterprise Mobility pricing page or the Azure Active Directory pricing page.

  • Rozważyć skonfigurowanie opcjonalnego łącznika Service To Service Connector usługi Intune, który łączy usługę Intune z usługą Exchange Online i ułatwia zarządzanie informacjami o urządzeniu za pośrednictwem konsoli usługi Intune.Consider configuring the optional Intune service-to-service connector, which connects Intune to Exchange Online and helps you manage device information through the Intune console. Łącznik nie musi być używany do stosowania zasad zgodności lub dostępu warunkowego, ale jest wymagany do uruchamiania raportów umożliwiających ocenę wpływu dostępu warunkowego.You don't need to use the connector to use compliance policies or conditional access policies—but it's required to run reports that help evaluate the impact of conditional access.

    Uwaga

    Nie należy konfigurować łącznika Service To Service Connector usługi Intune, jeśli zamierzasz używać dostępu warunkowego zarówno dla usługi Exchange Online, jak i dla lokalnego programu Exchange.Do not configure the Intune service-to-service connector if you intend to use conditional access for both Exchange Online and Exchange on-premises.

Wymagania dotyczące zgodności urządzeńDevice compliance requirements

Aby po skonfigurowaniu zasad dostępu warunkowego i skierowaniu ich do użytkownika mógł on połączyć się ze swoją pocztą e-mail, jego urządzenie musi:When you configure conditional access policies and target them to a user, before a user can connect to their email, the device they use must be:

  • Być komputerem przyłączonym do domeny lub zostać zarejestrowane w usłudze Intune.A domain-joined PC or enrolled with Intune.

  • Zostać zarejestrowane w usłudze Azure Active Directory.Registered in Azure Active Directory. Dzieje się to automatycznie podczas rejestrowania urządzenia w usłudze Intune.This happens automatically when the device is enrolled with Intune. Ponadto identyfikator klienta programu Exchange ActiveSync musi być zarejestrowany w usłudze Azure Active Directory.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.

    Usługa rejestracji urządzeń w usłudze Azure Active Directory zostanie aktywowana automatycznie dla klientów usług Intune i Office 365.The Azure Active Directory Device Registration service is activated automatically for Intune and Office 365 customers. Klienci, którzy już wdrożyli usługę rejestracji urządzeń w usługach AD FS, nie będą widzieć zarejestrowanych urządzeń w lokalnej usłudze Active Directory.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory.

  • Być zgodne ze wszystkimi zasadami zgodności usługi Intune wdrożonymi na tym urządzeniu lub podłączone do domeny lokalnej.Compliant with any Intune compliance policies that are deployed to that device or domain joined to an on-premises domain.

Niezgodne urządzenieWhen the device is not compliant

Jeśli warunek dostępu nie zostanie spełniony, urządzenie zostanie natychmiast poddane kwarantannie, a użytkownik otrzyma wiadomość e-mail i zobaczy przy próbie zalogowania się jedno z następujących powiadomień:If a conditional access policy isn't met, the device gets immediately quarantined, and the user receives an e-mail and sees one of the following quarantine notifications when they sign in:

  • Jeśli urządzenie nie zostało zarejestrowane w usłudze Intune lub Azure Active Directory, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalowania aplikacji Portal firmy, rejestrowania urządzenia i aktywowania poczty e-mail.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Ten proces powoduje również skojarzenie identyfikatora programu Exchange ActiveSync urządzenia z rekordem w usłudze Azure Active Directory.This process also associates the device’s Exchange ActiveSync ID with the record in Azure Active Directory.

  • Jeśli urządzenie zostało ocenione jako niezgodne z regułami zasad zgodności, użytkownik zostanie skierowany do witryny sieci Web Portal firmy lub do aplikacji Portal firmy usługi Intune, gdzie można znaleźć informacje o problemie i sposobie jego rozwiązania.If the device is evaluated as not compliant with the compliance policy rules, the user is directed to the Intune Company Portal website or the Company Portal app, where they can find information about the problem and how to remediate it.

Jak działa dostęp warunkowy w przypadku usługi Exchange OnlineHow conditional access works with Exchange Online

Na następującym diagramie przedstawiono przepływ używany przez zasady dostępu warunkowego dla usługi Exchange Online.The following diagram illustrates the flow that is used by conditional access policies for Exchange Online.

Diagram ilustrujący punkty decyzyjne określające, czy urządzenie uzyska zezwolenie na dostęp, czy zostanie zablokowane

Obsługa urządzeń przenośnychSupport for mobile devices

Możliwa jest ochrona dostępu do poczty e-mail za pośrednictwem usługi Exchange Online z poziomu programu Outlook i innych aplikacji używających nowoczesnego uwierzytelniania.You can protect access to Exchange Online email from Outlook and other apps that use modern authentication. Obsługiwane są następujące funkcje:The following are supported:

  • System Android 4.0 lub nowszy, system Samsung Knox Standard 4.0 lub nowszy i program Android for WorkAndroid 4.0 and later, Samsung Knox Standard 4.0 and later, and Android for Work
  • System iOS 8.0 i nowszeiOS 8.0 and later

Nowoczesne uwierzytelnianie umożliwia logowanie do klientów pakietu Microsoft Office oparte na bibliotece Active Directory Authentication Library (ADAL).Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Microsoft Office clients.

  • Uwierzytelnianie oparte na bibliotece ADAL umożliwia klientom pakietu Office korzystanie z uwierzytelniania za pomocą przeglądarki (nazywanego też uwierzytelnianiem pasywnym).The ADAL-based authentication enables Office clients to engage in browser-based authentication (also known as passive authentication). W celu uwierzytelnienia użytkownik jest kierowany do strony sieci Web logowania.To authenticate, a user is directed to a sign-in web page.
  • Ta nowa metoda logowania zapewnia większe bezpieczeństwo dzięki zastosowaniu uwierzytelniania wieloskładnikowego i uwierzytelniania opartego na certyfikatach.This new sign-in method enables better security like multi-factor authentication and certificate-based authentication. Aby uzyskać bardziej szczegółowe informacje, zobacz Jak działa nowoczesne uwierzytelnianie.For more detailed information, see How modern authentication works. Możesz skonfigurować reguły oświadczeń ADFS, aby zablokować starsze protokoły uwierzytelniania.You can set up ADFS claim rules to block non-modern authentication protocols. Szczegółowe instrukcje zostały przedstawione w punkcie Scenariusz 3: Całkowite blokowanie dostępu do usługi O365 z wyjątkiem aplikacji opartych na przeglądarce.Detailed instructions are provided in Scenario 3: Block all access to O365 except browser-based applications.

Można chronić dostęp do usługi Outlook Web Access (OWA) w usłudze Exchange Online, gdy użytkownik uzyskuje do niej dostęp za pomocą przeglądarki na urządzeniach z systemem iOS i Android.You can protect access to Outlook Web Access (OWA) on Exchange Online when a user accesses it from a browser on iOS and Android devices. Dostęp może być dozwolony tylko za pośrednictwem obsługiwanych przeglądarek na zgodnych urządzeniach:Access is only allowed from supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Intune Managed Browser (iOS, Android 5.0 i nowsze)Intune Managed Browser (iOS, Android 5.0 and later)

    Ważne

    Nieobsługiwane przeglądarki są blokowane.Unsupported browsers are blocked.

Aplikacja OWA dla systemów iOS i Android może zostać zmodyfikowana, aby nie korzystała z nowoczesnego uwierzytelniania, i nie jest obsługiwana. Dostęp z poziomu aplikacji OWA musi zostać zablokowany za pomocą reguł oświadczeń usług ADFS.The OWA app for iOS and Android can be modified not to use modern authentication, and it isn't supported. Access from the OWA app must be blocked through ADFS claim rules.

Dostęp do poczty e-mail programu Exchange z poziomu wbudowanego klienta poczty e-mail programu Exchange ActiveSync można chronić na następujących platformach:You can protect access to Exchange email from the built-in Exchange ActiveSync email client on the following platforms:

  • System Android 4.0 lub nowszy, system Samsung Knox Standard 4.0 lub nowszyAndroid 4.0 and later, Samsung Knox Standard 4.0 and later

  • System iOS 8.0 i nowszeiOS 8.0 and later

  • System Windows Phone 8.1 lub nowszyWindows Phone 8.1 and later

Obsługa komputerówSupport for PCs

Dostęp warunkowy można skonfigurować dla komputerów z aplikacjami klasycznymi pakietu Office, aby uzyskiwać dostęp do usług Exchange Online i SharePoint Online na komputerach spełniających następujące wymagania:You can set up conditional access for PCs that run Office desktop applications to access Exchange Online and SharePoint Online for PCs that meet the following requirements:

  • Na komputerze musi działać system Windows 7.0, Windows 8.1 lub Windows 10.The PC must be running Windows 7.0, Windows 8.1, or Windows 10.

    Uwaga

    Aby korzystać z dostępu warunkowego na komputerach z systemem Windows 10, trzeba na nich zainstalować Rocznicową aktualizację systemu Windows 10.To use conditional access with Windows 10 PCs, you must update those PCs with the Windows 10 Anniversary Update.

    Komputer musi zostać przyłączony do domeny lub być zgodny z regułami zasad zgodności.The PC must either be domain joined or compliant with the compliance policy rules.

    W celu zapewnienia zgodności komputer musi zostać zarejestrowany w usłudze Intune i być zgodny z zasadami.In order to be considered compliant, the PC must be enrolled in Intune and comply with the policies.

    W przypadku komputerów przyłączonych do domeny należy skonfigurować dostęp warunkowy do automatycznego rejestrowania urządzenia w usłudze Azure Active Directory.For domain-joined PCs, you must set up conditional access to automatically register the device with Azure Active Directory.

    Uwaga

    Dostęp warunkowy nie jest obsługiwany na komputerach z uruchomionym oprogramowaniem klienckim usługi Intune.Conditional access isn't supported on PCs that are running the Intune computer client.

  • Należy włączyć nowoczesne uwierzytelnianie w usłudze Office 365 i zainstalować wszystkie najnowsze aktualizacje pakietu Office.Office 365 modern authentication must be enabled and have all the latest Office updates.

    Nowoczesne uwierzytelnianie umożliwia logowanie do klientów pakietu Office 2013/systemu Windows oparte na bibliotece Active Directory Authentication Library (ADAL).Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Office 2013/Windows clients. Zapewnia to większe bezpieczeństwo dzięki zastosowaniu uwierzytelniania wieloskładnikowego i uwierzytelniania opartego na certyfikatach.It enables better security like multi-factor authentication and certificate-based authentication.

  • Reguły oświadczeń ADFS są skonfigurowane tak, aby zablokować starsze protokoły uwierzytelniania.ADFS claim rules are set up to block non-modern authentication protocols. Szczegółowe instrukcje zostały przedstawione w punkcie Scenariusz 3: Całkowite blokowanie dostępu do usługi O365 z wyjątkiem aplikacji opartych na przeglądarce.Detailed instructions are provided in Scenario 3: Block all access to O365 except browser based applications.

Konfigurowanie zasad dostępu warunkowegoConfigure conditional access

Krok 1. Konfigurowanie i wdrażanie zasad zgodnościStep 1: Configure and deploy a compliance policy

Upewnij się, że zasada zgodności zostanie utworzona i wdrożona dla grup użytkowników, które otrzymają również zasady dostępu warunkowego.Make sure you create and deploy a compliance policy to the user groups that will also get the conditional access policy.

Ważne

Jeśli zasady zgodności nie zostały wdrożone, urządzenia będą uznawane za zgodne i będą miały dostęp do programu Exchange.If you haven't deployed a compliance policy, the devices are considered compliant and are allowed access to Exchange.

Krok 2. Ocena wpływu zasad dostępu warunkowegoStep 2: Evaluate the effect of the conditional access policy

Możliwe jest użycie raportów ze spisu urządzeń przenośnych w celu zidentyfikowania urządzeń, które mogą mieć zablokowany dostęp do programu Exchange po skonfigurowaniu zasad dostępu warunkowego.You can use the Mobile Device Inventory Reports to identify the devices that might be blocked from accessing Exchange after you configure the conditional access policy.

W tym celu należy skonfigurować połączenie między usługą Intune i programem Exchange za pomocą łącznika Service To Service Connector usługi Microsoft Intune.To do this, configure a connection between Intune and Exchange by using the Microsoft Intune service-to-service connector.

  1. Przejdź do pozycji Raporty > Raporty ze spisu urządzeń przenośnych.Navigate to Reports > Mobile Device Inventory Reports. Zrzut ekranu przedstawiający stronę z raportem ze spisu urządzeń przenośnychScreenshot of the Mobile Device Inventory Reports page

  2. W parametrach raportu wybierz grupę usługi Intune, która ma zostać oceniona, a następnie, w razie potrzeby, platformy urządzeń, których mają dotyczyć zasady.In the report parameters, select the Intune group that you want to evaluate and, if required, the device platforms that the policy will apply to.

  3. Po wybraniu kryteriów spełniających potrzeby organizacji wybierz pozycję Wyświetl raport.After you’ve selected the criteria that meets your organization’s needs, choose View Report. Podgląd raportów zostanie otwarty w nowym oknie.The Report Viewer opens in a new window. Zrzut ekranu przedstawiający przykładowy raport ze spisu urządzeń przenośnychScreenshot of an sample mobile device inventory report

Po uruchomieniu raportu sprawdź następujące cztery kolumny w celu określenia, czy użytkownik będzie zablokowany:After you run the report, examine these four columns to determine whether a user will be blocked:

  • Kanał zarządzania — wskazuje, czy urządzenie jest zarządzane przez usługę Intune, program Exchange ActiveSync, czy jednocześnie przez usługę i program.Management Channel: Indicates whether the device is managed by Intune, Exchange ActiveSync, or both.

  • Zarejestrowane w usłudze AAD — wskazuje, czy urządzenie jest zarejestrowane w usłudze Azure Active Directory (tzn. dołączone do obszaru roboczego).AAD Registered: Indicates whether the device is registered with Azure Active Directory (known as Workplace Join).

  • Zgodne — wskazuje, czy urządzenie jest zgodne ze wszystkimi wdrożonymi zasadami zgodności.Compliant: Indicates whether the device is compliant with any compliance policies that you deployed.

  • Identyfikator programu Exchange ActiveSync — urządzenia z systemami iOS i Android muszą mieć identyfikator programu Exchange ActiveSync skojarzony z rekordem rejestracji urządzenia w usłudze Azure Active Directory.Exchange ActiveSync ID: iOS and Android devices are required to have their Exchange ActiveSync ID associated with the device registration record in Azure Active Directory. Ma to miejsce, gdy użytkownik wybierze link Uaktywnij pocztę e-mail w wiadomości e-mail z kwarantanny.This happens when a user chooses the Activate Email link in the quarantine email.

    Uwaga

    Urządzenia z systemem Windows Phone zawsze wyświetlają wartość w tej kolumnie.Windows Phone devices always display a value in this column.

Urządzenia, które należą do grupy docelowej, nie mają dostępu do programu Exchange, chyba że wartości w kolumnach są zgodne z wartościami w poniższej tabeli:Devices that are part of a targeted group are blocked from accessing Exchange unless the column values match those listed in the following table:


Kanał zarządzaniaManagement Channel Rejestracja w usłudze AADAAD Registered ZgodnyCompliant Identyfikator programu Exchange ActiveSyncExchange ActiveSync ID Wynikowa akcjaResulting action
Zarządzane przez usługę Microsoft Intune i program Exchange ActiveSyncManaged by Microsoft Intune and Exchange ActiveSync TakYes TakYes Wartość jest wyświetlanaA value is displayed Dostęp do poczty e-mail jest dozwolonyEmail access is allowed
Dowolna inna wartośćAny other value NieNo NieNo Żadna wartość nie jest wyświetlanaNo value is displayed Dostęp do poczty e-mail jest zablokowanyEmail access is blocked

Możesz wyeksportować zawartość raportu i użyć kolumny Adres e-mail, aby poinformować użytkowników o tym, że będą blokowani.You can export the contents of the report and use the Email Address column to tell your users that they will be blocked.

Krok 3. Konfigurowanie grup użytkowników pod kątem zasad dostępu warunkowegoStep 3: Configure user groups for the conditional access policy

Zasady dostępu warunkowego są przeznaczone dla innej grupy użytkowników zabezpieczeń usługi Azure Active Directory.Conditional access policies are targeted to different Azure Active Directory security groups of users. Możliwe jest również wykluczenie niektórych grup użytkowników z zasad dostępu warunkowego.You can also exempt certain user groups from a conditional access policy. Jeśli zasady obejmują użytkownika, każde używane przez niego urządzenie musi być zgodne, aby mógł uzyskać dostęp do poczty e-mail.When a user is targeted by a policy, each device that they use must be compliant in order to access email.

Możesz skonfigurować te grupy w centrum administracyjnym usługi Office 365lub w portalu konta usługi Intune.You can configure these groups in the Office 365 admin center or in the Intune account portal.

Możesz określić dwa typy grup dla każdej zasady:You can specify two group types in each policy:

  • Grupy docelowe — grupy użytkowników, których dotyczą zasady.Targeted groups: User groups that the policy is applied to.

  • Wykluczone grupy — grupy użytkowników, które są wykluczone z zasad (opcjonalnie).Exempted groups: User groups that are exempt from the policy (optional).

Jeśli użytkownik należy do obu grup, będzie wykluczony z zasad.If a user is in both groups, they are exempt from the policy.

Oceniane są tylko grupy objęte zasadami dostępu warunkowego.Only the groups that are targeted by the conditional access policy are evaluated.

Krok 4. Konfigurowanie zasad dostępu warunkowegoStep 4: Configure the conditional access policy

Uwaga

Zasady dostępu warunkowego można też utworzyć za pomocą konsoli zarządzania usługi Azure AD.You can also create a conditional access policy in the Azure AD management console. Konsola zarządzania usługi Azure AD umożliwia tworzenie zasad dostępu warunkowego urządzeń w usłudze Intune (nazywanych w usłudze Azure AD zasadami dostępu warunkowego opartymi na urządzeniach) oraz innych zasad dostępu warunkowego, takich jak uwierzytelnianie wieloskładnikowe.The Azure AD management console lets you create an Intune device conditional access policy (referred to as the device-based conditional access policy in Azure AD), in addition to other conditional access policies like multi-factor authentication.

Można także ustawić zasady dostępu warunkowego dla aplikacji korporacyjnych innych firm obsługiwanych przez usługę Azure AD, np. Salesforce i Box.You can also set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. Aby uzyskać więcej informacji, zobacz Jak ustawić oparte na urządzeniach zasady dostępu warunkowego usługi Azure Active Directory w celu kontrolowania dostępu do aplikacji połączonych z usługą Azure Active Directory.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory-connected applications.

  1. W konsoli administracyjnej usługi Microsoft Intune wybierz pozycję Zasady > Dostęp warunkowy > Zasady usługi Exchange Online.In the Microsoft Intune administration console, choose Policy > Conditional Access > Exchange Online Policy.

  2. Na stronie Zasady usługi Exchange Online wybierz pozycję Włącz zasady dostępu warunkowego dla usługi Exchange Online.On the Exchange Online Policy page, choose Enable conditional access policy for Exchange Online.

    Uwaga

    Jeśli zasady zgodności nie zostały wdrożone, urządzenia są traktowane jako zgodne.If you haven't deployed a compliance policy, devices are treated as compliant.

    Bez względu na stan zgodności wszyscy użytkownicy, którzy są objęci zasadami, muszą zarejestrować swoje urządzenia w usłudze Intune.Regardless of the compliance state, all users who are targeted by the policy are required to enroll their devices with Intune.

  3. W obszarze Dostęp do aplikacji w przypadku aplikacji używających nowoczesnego uwierzytelniania użytkownik ma dwa sposoby wyboru platform, których mają dotyczyć zasady.Under Application access, for apps that use modern authentication, you have two ways of choosing which platforms the policy should apply to. Obsługiwane platformy to Android, iOS, Windows i Windows Phone.Supported platforms include Android, iOS, Windows, and Windows Phone.

    • Wszystkie platformyAll platforms

      W przypadku wybrania tego ustawienia wszystkie urządzenia, za pomocą których jest uzyskiwany dostęp do usługi Exchange Online, muszą być zarejestrowane w usłudze Intune i zgodne z zasadami.This requires that any device that is used to access Exchange Online is enrolled in Intune and compliant with the policies. Każda aplikacja kliencka korzystająca z nowoczesnego uwierzytelniania będzie podlegała zasadom dostępu warunkowego.Any client application that uses modern authentication is subject to the conditional access policy. Jeśli dana platforma nie jest aktualnie obsługiwana w usłudze Intune, dostęp do usługi Exchange Online jest blokowany.If the platform is currently not supported by Intune, access to Exchange Online is blocked.

      Wybranie opcji Wszystkie platformy oznacza, że usługa Azure Active Directory będzie stosować te zasady do wszystkich żądań uwierzytelniania zgłoszonych przez aplikację klienta, niezależnie od platformy.Selecting the All platforms option means that Azure Active Directory applies this policy to all authentication requests, regardless of the platform that is reported by the client application. W przypadku wszystkich platform jest wymagana rejestracja w usłudze Intune oraz zgodność, istnieją jednak wyjątki:All platforms are required to enroll and become compliant, except for:

      • Urządzenia z systemem Windows, które są objęte wymogiem rejestracji i zgodności, przyłączone do domeny przy użyciu lokalnej usługi Active Directory lub spełniające oba te wymogi.Windows devices, which are required to be enrolled and compliant, domain joined with on-premises Active Directory, or both.
      • Nieobsługiwane platformy takie jak system Mac OS.Unsupported platforms like Mac OS. Jednak aplikacje korzystające z nowoczesnego uwierzytelniania i pochodzące z tych platform nadal są zablokowane.However, apps that use modern authentication coming from these platforms is still blocked.
    • Określone platformySpecific platforms

      Zasady dostępu warunkowego są stosowane do wszystkich aplikacji klienckich korzystających z nowoczesnego uwierzytelniania na określonych platformach urządzeń.The conditional access policy applies to any client app that is using modern authentication on the device platforms that you specify.

  4. W obszarze Outlook Web Access (OWA) można zezwolić na dostęp do usługi Exchange Online tylko za pośrednictwem obsługiwanych przeglądarek: Safari (iOS) i Chrome (Android).Under Outlook Web Access (OWA), you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS) and Chrome (Android). Dostęp z innych przeglądarek będzie zablokowany.Access from other browsers is blocked. Ograniczenia platformy wybrane dla dostępu aplikacji dla programu Outlook mają zastosowanie również w tym miejscu.The same platform restrictions that you selected for Application access for Outlook also apply here.

    Na urządzeniach z systemem Android użytkownicy muszą włączyć dostęp za pomocą przeglądarki.On Android devices, users must enable browser access. W tym celu użytkownik musi włączyć opcję Włącz dostęp za pomocą przeglądarki na zarejestrowanym urządzeniu w następujący sposób:To do this, the user must enable the Enable Browser Access option on the enrolled device as follows:

    1. Otworzyć aplikację Portal firmy.Open the Company Portal app.
    2. Przejść do strony Ustawienia za pomocą przycisku oznaczonego wielokropkiem (…) lub przycisku menu urządzenia.Go to the Settings page from the ellipsis (…) or the hardware menu button.
    3. Nacisnąć przycisk Włącz dostęp za pomocą przeglądarki.Press the Enable Browser Access button.
    4. W przeglądarce Chrome wylogować się z usługi Office 365 i ponownie uruchomić przeglądarkę Chrome.In the Chrome browser, sign out of Office 365 and restart Chrome.

    Na platformach iOS i Android w celu zidentyfikowania urządzenia używanego do uzyskania dostępu do usługi usługa Azure Active Directory wystawi certyfikat TLS (Transport Layer Security) dla urządzenia.On iOS and Android platforms, to identify the device that is used to access the service, Azure Active Directory issues a Transport Layer Security (TLS) certificate to the device. Urządzenie wyświetli użytkownikowi certyfikat wraz z monitem o wybranie certyfikatu, jak przedstawiono na zrzutach ekranu poniżej.The device displays the certificate with a prompt to the user to select the certificate, as shown in the following screenshots. Użytkownik musi wybrać ten certyfikat przed kontynuowaniem pracy z przeglądarką.The user must select this certificate before they can continue to use the browser.

    iOSiOS

    Zrzut ekranu przedstawiający monit dotyczący certyfikatu na urządzeniu iPad

    AndroidAndroid

    Zrzut ekranu przedstawiający monit certyfikatu na urządzeniu z systemem Android

  5. W obszarze Aplikacje programu Exchange ActiveSync można zablokować niezgodnym urządzeniom dostęp do usługi Exchange Online.Under Exchange ActiveSync apps, you can choose to block noncompliant devices from accessing Exchange Online. Można również wybrać, czy dostęp do poczty e-mail ma być blokowany, czy nie, gdy na urządzeniu nie działa obsługiwana platforma.You can also select whether to allow or block access to email when the device isn't running a supported platform. Obsługiwane platformy to Android, iOS, Windows i Windows Phone.Supported platforms include Android, iOS, Windows, and Windows Phone.

    Aplikacje programu Exchange Active Sync na urządzeniach z programem Android for Work:Exchange Active Sync apps on Android for Work devices:

    • Na urządzeniach z programem Android for Work są obsługiwane tylko aplikacje Gmail i Nine Work w profilu służbowym.Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Aby dostęp warunkowy działał na urządzeniach z programem Android for Work, należy wdrożyć profil poczty e-mail dla aplikacji Gmail lub Nine Work, a także wdrożyć go jako wymaganą instalację.For conditional access to work on Android for Work devices, you must deploy an email profile for the Gmail or Nine Work app, and also deploy it as a required installation.
  6. W obszarze Grupy docelowe wybierz grupy zabezpieczeń użytkowników usługi Active Directory, których dotyczą te zasady.Under Targeted Groups, select the Active Directory security groups of users that the policy applies to. Można wybrać objęcie wszystkich użytkowników lub wybranej listy grup użytkowników.You can either choose to target all users or a selected list of user groups. Zrzut ekranu przedstawiający stronę zasad dostępu warunkowego usługi Exchange Online, na której wyświetlone są opcje Grupa docelowa i Grupa wykluczonaScreenshot of the Exchange Online conditional access policy page that shows the Targeted and Exempted group options

    Uwaga

    W przypadku użytkowników należących do grup docelowych zasady usługi Intune powodują zastąpienie reguł i zasad programu Exchange.For users that are in the Targeted groups, the Intune polices replace Exchange rules and policies.

    Program Exchange wymusza reguły zezwalania, blokowania i kwarantanny programu Exchange oraz zasady programu Exchange tylko w następujących sytuacjach:Exchange only enforces the Exchange allow, block, and quarantine rules, and Exchange policies if:

    • Użytkownik nie ma licencji na usługę Intune.A user isn't licensed for Intune.
    • Użytkownik ma licencję na usługę Intune, ale nie należy do żadnej grupy zabezpieczeń użytej w zasadach dostępu warunkowego.A user is licensed for Intune, but the user doesn't belong to any security groups that are targeted in the conditional access policy.
  7. W obszarze Grupy docelowewybierz grupy zabezpieczeń użytkowników usługi Active Directory wykluczane z tych zasad.Under Exempted Groups, select the Active Directory security groups of users that are exempt from this policy. Jeśli użytkownik należy zarówno do grupy objętej zasadami, jak i do grupy wykluczonej z zasad, jest wykluczony z zasad.If a user is in both the targeted and exempted groups, they are exempt from the policy.

  8. Po zakończeniu tych czynności wybierz pozycję Zapisz.When you're done, choose Save.

  • Nie musisz wdrażać zasad dostępu warunkowego, ponieważ zostają one natychmiast zastosowane.You don't have to deploy the conditional access policy—it takes effect immediately.

  • Gdy użytkownik utworzy konto e-mail, urządzenie zostanie od razu zablokowane.After a user creates an email account, the device is blocked immediately.

  • Jeśli zablokowany użytkownik zarejestruje urządzenia w usłudze Intune i rozwiąże wszystkie problemy z niezgodnością, dostęp do poczty e-mail zostanie odblokowany w ciągu dwóch minut.If a blocked user enrolls the device with Intune and fixes any noncompliance issues, email access is unblocked within two minutes.

  • Jeśli użytkownik wyrejestruje swoje urządzenie, poczta e-mail zostanie zablokowana po około sześciu godzinach.If the user unenrolls their device, email is blocked after around six hours.

Aby wyświetlić niektóre przykładowe scenariusze dotyczące sposobu konfigurowania zasad dostępu warunkowego w celu ochrony dostępu urządzeń, zobacz Przykładowe scenariusze ochrony dostępu do poczty e-mail.To see some example scenarios of how you would configure a conditional access policy to protect device access, see Protect email access example scenarios.

Monitorowanie zgodności i zasad dostępu warunkowegoMonitor the compliance and conditional access policies

Wyświetlanie urządzeń z zablokowanym dostępem do programu ExchangeTo view devices that are blocked from Exchange

Na pulpicie nawigacyjnym usługi Intune wybierz kafelek Urządzenia z zablokowanym dostępem do programu Exchange, aby wyświetlić liczbę zablokowanych urządzeń i linki do szczegółowych informacji.On the Intune dashboard, choose the Blocked Devices from Exchange tile to show the number of blocked devices and links to more information. Zrzut ekranu przedstawiający pulpit nawigacyjny usługi Intune, na którym wyświetlana jest liczba urządzeń z zablokowanym dostępem do programu ExchangeScreenshot of the Intune dashboard showing the number of devices that are blocked from accessing Exchange

Następne krokiNext steps