Ochrona dostępu do usługi SharePoint Online przy użyciu usługi Microsoft IntuneProtect access to SharePoint Online with Microsoft Intune

Dotyczy: usługa Intune w konsoli klasycznejApplies to: Intune in the classic console
Szukasz dokumentacji dotyczącej usługi Intune na platformie Azure?Looking for documentation about Intune on Azure? Przejdź tutaj.Go here.

Za pomocą dostępu warunkowego usługi Microsoft Intune możesz kontrolować dostęp do plików znajdujących się w usłudze SharePoint Online.Use Microsoft Intune conditional access to control access to files that are located on SharePoint Online. Dostęp warunkowy ma dwa składniki:Conditional access has two components:

  • Zasady zgodności urządzenia, które urządzenie musi spełniać, aby zostało uznane za zgodne.A device compliance policy that the device must comply with in order to be considered compliant.
  • Zasady dostępu warunkowego, w ramach których określane są warunki, które urządzenie musi spełniać w celu uzyskania dostępu do usługi.A conditional access policy where you specify the conditions that the device must meet in order to access the service. Aby dowiedzieć się więcej o sposobie działania dostępu warunkowego, przeczytaj temat Ochrona dostępu do poczty e-mail, usługi O365 i innych usług.To learn more about how conditional access works, read the Protect access to email, O365, and other services topic.

Zasady zgodności i dostępu warunkowego są wdrażane dla użytkowników.You deploy the compliance and conditional access policies to users. Wszystkie urządzenia, za pomocą których użytkownik uzyskuje dostęp do usług, są sprawdzane pod kątem zgodności z zasadami.Any device that a user uses to access the services is checked for compliance with the policies.

Gdy użytkownik próbuje połączyć się z plikiem za pomocą obsługiwanej aplikacji na swoim urządzeniu, takiej jak OneDrive, sprawdzane są następujące kwestie:When a user attempts to connect to a file by using a supported app such as OneDrive on their device, the following evaluation occurs:

Diagram przedstawiający punkty decyzyjne, które określają, czy urządzenie może uzyskać dostęp do usługi SharePoint, czy ma być blokowane

Przed skonfigurowaniem zasad dostępu warunkowego dla usługi SharePoint Online konieczne jest:Before configuring a conditional access policy for SharePoint Online, you must:

  • Posiadanie subskrypcji usługi SharePoint Online oraz posiadanie licencji użytkowników na usługę SharePoint Online.Have a SharePoint Online subscription, and users must be licensed for SharePoint Online.
  • Posiadanie subskrypcji pakietu Enterprise Mobility + Security (EMS) lub subskrypcji usługi Azure Active Directory (Azure AD) Premium oraz posiadanie licencji użytkowników na usługi EMS lub Azure AD.Have an Enterprise Mobility + Security (EMS) subscription or an Azure Active Directory (Azure AD) Premium subscription, and users must be licensed for EMS or Azure AD. Aby uzyskać więcej szczegółowych informacji, zobacz Cennik pakietu Enterprise Mobility lub Cennik usługi Azure Active Directory.For more details, see the Enterprise Mobility pricing page or the Azure Active Directory pricing page.

Aby nawiązać połączenie z wymaganymi plikami, urządzenie musi być:To connect to the required files, a device must be:

  • Zarejestrowane w usłudze Intune lub być komputerem przyłączonym do domeny.Enrolled with Intune or a domain-joined PC.

  • Zarejestrowane w usłudze Azure Active Directory (jest to wykonywane automatycznie podczas rejestrowania urządzenia w usłudze Intune).Registered in Azure Active Directory (this happens automatically when the device is enrolled with Intune).

  • Być zgodne z wdrożonymi zasadami zgodności usługi Intune.Compliant with any deployed Intune compliance policies.

Stan urządzenia jest przechowywany w usłudze Azure Active Directory, która na podstawie określonych warunków blokuje dostęp do plików lub go przydziela.The device state is stored in Azure Active Directory, which grants or blocks access to the files, based on the conditions that you specify.

Jeśli warunek nie jest spełniony, użytkownik widzi podczas logowania jeden z następujących komunikatów:If a condition isn't met, the user sees one of the following messages when they sign in:

  • Jeśli urządzenie nie zostało zarejestrowane w usługach Intune lub Azure Active Directory, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalacji aplikacji Portal firmy oraz dokonywania rejestracji.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app and enroll.

  • Jeśli urządzenie nie jest zgodne, zostanie wyświetlony komunikat kierujący użytkownika do witryny internetowej Portal firmy usługi Intune, gdzie można znaleźć informacje na temat problemu i sposobu jego rozwiązania.If the device isn't compliant, a message is displayed that directs the user to the Intune Company Portal website, where they can find information about the problem and how to remediate it.

Dostęp warunkowy nie ma zastosowania do udostępniania zewnętrznego.Conditional access doesn't apply to external sharing. Aby dowiedzieć się, jak zapobiegać zewnętrznemu udostępnianiu w dzierżawie lub zbiorze witryn, zobacz temat Zarządzanie udostępnianiem zewnętrznym w środowisku usługi SharePoint Online.To learn how to prevent external sharing in your tenant or site collection, see Manage external sharing for your SharePoint Online environment.

Uwaga

Po włączeniu dostępu warunkowego dla usługi SharePoint Online zaleca się wyłączenie domeny na liście zgodnie z opisem w temacie Remove-SPOTenantSyncClientRestriction.If you enable conditional access for SharePoint Online, we recommend that you disable the domain on the list, as described in the Remove-SPOTenantSyncClientRestriction topic.

Obsługa urządzeń przenośnychSupport for mobile devices

Obsługiwane są następujące funkcje:The following are supported:

  • System iOS 8.0 i nowszeiOS 8.0 and later
  • System Android 4.0 lub nowszy, system Samsung Knox Standard 4.0 lub nowszyAndroid 4.0 and later, Samsung Knox Standard 4.0 or later
  • System Windows Phone 8.1 lub nowszyWindows Phone 8.1 and later

Istnieje możliwość ochrony dostępu do usługi SharePoint Online w przypadku uzyskiwania do niej dostępu za pomocą przeglądarki na urządzeniach z systemem iOS i Android.You can protect access to SharePoint Online when iOS and Android devices access it from a browser. Dostęp może być dozwolony tylko za pośrednictwem obsługiwanych przeglądarek na zgodnych urządzeniach:Access is only allowed from supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Intune Managed Browser (systemy iOS i Android 5.0 lub nowszy)Intune Managed Browser (iOS and Android 5.0 and later)

Nieobsługiwane przeglądarki są blokowane.Unsupported browsers are blocked.

Obsługa komputerówSupport for PCs

Obsługiwane są następujące funkcje:The following are supported:

  • System Windows 8.1 lub nowszy (jeśli komputery są zarejestrowane w usłudze Intune)Windows 8.1 and later (when PCs are enrolled with Intune)
  • System Windows 7.0, Windows 8.1 lub Windows 10 (jeśli komputery są przyłączone do domeny)Windows 7.0, Windows 8.1, or Windows 10 (when PCs are domain joined),

    Uwaga

    Aby korzystać z dostępu warunkowego na komputerach z systemem Windows 10, trzeba na nich zainstalować Rocznicową aktualizację systemu Windows 10.To use conditional access with Windows 10 PCs, you must update those PCs with the Windows 10 Anniversary Update.

    • Komputery przyłączone do domeny muszą zostać skonfigurowane do automatycznego rejestrowania w usłudze Azure Active Directory.You must set up domain-joined PCs to automatically register with Azure Active Directory. Usługa rejestracji urządzeń w usłudze Azure AD zostanie aktywowana automatycznie dla klientów usług Intune i Office 365.The Azure AD Device Registration service will be activated automatically for Intune and Office 365 customers. Klienci, którzy już wdrożyli usługę rejestracji urządzeń w usługach AD FS, nie będą widzieć zarejestrowanych urządzeń w lokalnej usłudze Active Directory.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory.

    • Jeśli zasady zostały skonfigurowane w taki sposób, aby przyłączenie do domeny było wymagane, a komputer nie został przyłączony do domeny, zostanie wyświetlony komunikat o konieczności skontaktowania się z administratorem IT.If the policy is set to require a domain join and the PC isn't domain joined, a message is displayed to contact the IT admin.

    • Jeśli zasady zostały ustawione w taki sposób, aby wymagane było przyłączenie do domeny lub zgodność, a komputer nie spełnia żadnego z tych wymagań, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalacji aplikacji Portal firmy i dokonywania rejestracji.If the policy is set to require a domain join or compliance, and the PC doesn't meet either requirement, a message is displayed with instructions about how to install the Company Portal app and enroll.

      Uwaga

      Dostęp warunkowy nie jest obsługiwany na komputerach z uruchomionym oprogramowaniem klienckim usługi Intune.Conditional access is not supported on PCs that are running the Intune computer client.

Należy włączyć nowoczesne uwierzytelnianie w usłudze Office 365 i zainstalować wszystkie najnowsze aktualizacje pakietu Office.Office 365 modern authentication must be enabled and have all the latest Office updates.

Nowoczesne uwierzytelnianie umożliwia logowanie do klientów systemu Windows z pakietem Office 2013 oparte na bibliotece Active Directory Authentication Library (ADAL), a także udostępnia lepsze zabezpieczenia, takie jak uwierzytelnianie wieloskładnikowe i uwierzytelnianie oparte na certyfikatach.Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Office 2013 Windows clients and enables better security, like multi-factor authentication and certificate-based authentication.

Konfigurowanie warunkowego dostępu do usługi SharePoint OnlineConfigure conditional access for SharePoint Online

Krok 1. Konfigurowanie grup zabezpieczeń usługi Active DirectoryStep 1: Configure Active Directory security groups

Przed rozpoczęciem skonfiguruj grupy zabezpieczeń usługi Azure Active Directory dla zasad dostępu warunkowego.Before you start, configure Azure Active Directory security groups for the conditional access policy. Możesz skonfigurować te grupy w centrum administracyjnym usługi Office 365lub w portalu konta usługi Intune.You can configure these groups in the Office 365 admin center or in the Intune account portal. Te grupy są używane do objęcia użytkowników zasadami lub wykluczenia ich z zasad.You use these groups to target or exempt users from the policy. Jeśli zasady obejmują użytkownika, każde używane przez niego urządzenie musi być z nimi zgodne, aby uzyskać dostęp do zasobów.When a user is targeted by a policy, each device that they use must be compliant in order to access resources.

Możesz określić dwa typy grup dla zasad usługi SharePoint Online:You can specify two group types in a SharePoint Online policy:

  • Grupy docelowe: grupy użytkowników, do których zasady mają zastosowanie.Targeted groups: Contains groups of users that the policy applies to.

  • Wykluczone grupy: grupy użytkowników, którzy są wykluczeni z zasad.Exempted groups: Contains groups of users that are exempt from the policy.

Jeśli użytkownik należy do obu grup, będzie wykluczony z zasad.If a user is in both groups, they are exempt from the policy.

Krok 2. Konfigurowanie i wdrażanie zasad zgodnościStep 2: Configure and deploy a compliance policy

Jeśli nie zostało zrobione to wcześniej, utwórz zasady zgodności i dokonaj ich wdrożenia dla użytkowników, którzy będą objęci zasadami usługi SharePoint Online.If you haven't already done so, create a compliance policy, and deploy it to the users that the SharePoint Online policy targets.

Uwaga

Podczas gdy zasady zgodności są wdrażane w grupach usługi Intune, zasady dostępu warunkowego są stosowane dla grup zabezpieczeń usługi Azure Active Directory.While compliance policies are deployed to Intune groups, conditional access policies are targeted to Azure Active Directory security groups.

Aby uzyskać szczegółowe informacje o sposobie konfigurowania zasad zgodności, zobacz temat Tworzenie zasad zgodności.For details about how to configure the compliance policy, see Create a compliance policy.

Ważne

Jeśli zasady zgodności nie zostały wdrożone, urządzenia są traktowane jako zgodne.If you haven't deployed a compliance policy, the devices are treated as compliant.

Gdy wszystko będzie gotowe, przejdź do kroku 3.When you're ready, continue to Step 3.

Krok 3. Konfigurowanie zasad usługi SharePoint OnlineStep 3: Configure the SharePoint Online policy

Skonfiguruj zasady wymagające, aby tylko urządzenia zarządzane i zgodne miały dostęp do usługi SharePoint Online.Next, configure the policy to require that only managed and compliant devices can access SharePoint Online. Te zasady będą przechowywane w usłudze Azure Active Directory.This policy is stored in Azure Active Directory.

Uwaga

Można też utworzyć zasady dostępu warunkowego dla urządzeń z usługą Intune w konsoli zarządzania usługi Azure AD (w usłudze Azure AD zasady są określane jako zasady dostępu warunkowego oparte na urządzeniu).You can also create a conditional access policy for Intune devices in the Azure AD management console (the policy is referred to as the device-based conditional access policy in Azure AD). Ponadto można tworzyć inne zasady dostępu warunkowego, np. dotyczące uwierzytelniania wieloskładnikowego.In addition, you can create other conditional access policies like multi-factor authentication. Można także ustawić zasady dostępu warunkowego dla aplikacji korporacyjnych innych firm obsługiwanych przez usługę Azure AD, np. Salesforce i Box.You can also set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. Aby uzyskać więcej informacji, zobacz Jak ustawić oparte na urządzeniach zasady dostępu warunkowego usługi Azure Active Directory w celu kontrolowania dostępu do aplikacji połączonych z usługą Azure Active Directory.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory connected applications.

  1. W konsoli administracyjnej usługi Microsoft Intune wybierz pozycję Zasady > Dostęp warunkowy > Zasady usługi SharePoint Online.In the Microsoft Intune administration console, choose Policy > Conditional Access > SharePoint Online Policy. Zrzut ekranu przedstawiający stronę zasad usługi SharePoint OnlineScreenshot of the SharePoint Online Policy page

  2. Wybierz pozycję Włącz zasady dostępu warunkowego dla usługi SharePoint Online.Select Enable conditional access policy for SharePoint Online.

  3. W obszarze Dostęp do aplikacji możesz wybrać platformy, do których zostaną zastosowane zasady dostępu warunkowego:Under Application access, you can choose to apply the conditional access policy to:

    • Wszystkie platformyAll platforms

      W przypadku wybrania tego ustawienia wszystkie urządzenia próbujące uzyskać dostęp do usługi SharePoint Online będą musiały być zarejestrowane w usłudze Intune i zgodne z zasadami.This requires that any device used to access SharePoint Online is enrolled in Intune and is compliant with the policies. Każda aplikacja kliencka korzystająca z nowoczesnego uwierzytelniania będzie podlegała zasadom dostępu warunkowego.Any client application that uses modern authentication is subject to the conditional access policy. Jeśli dana platforma nie jest aktualnie obsługiwana przez usługę Intune, dostęp do usługi SharePoint Online zostanie zablokowany.If the platform isn't currently supported by Intune, access to SharePoint Online is blocked.

      Wybranie opcji Wszystkie platformy oznacza, że usługa Azure Active Directory będzie stosować te zasady do wszystkich żądań uwierzytelniania zgłoszonych przez aplikację klienta, niezależnie od platformy.Selecting the All platforms option means that Azure Active Directory applies this policy to all authentication requests, regardless of the platform that is reported by the client application. W przypadku wszystkich platform będzie wymagana rejestracja w usłudze Intune oraz zgodność, z następującymi wyjątkami:All platforms are required to be enrolled and become compliant, except for:

      • Urządzenia z systemem Windows, które są objęte wymogiem rejestracji i zgodności, przyłączone do domeny przy użyciu lokalnej usługi Active Directory lub spełniające oba te wymogi.Windows devices, which are required to be enrolled and compliant, domain joined with on-premises Active Directory, or both.
      • Nieobsługiwane platformy takie jak Mac.Unsupported platforms like Mac. Aplikacje korzystające z nowoczesnego uwierzytelniania pochodzące z tych platform będą jednak nadal blokowane.However, apps using modern authentication that come from these platforms are still blocked.
    • Określone platformySpecific platforms

      Zasady dostępu warunkowego są stosowane do wszystkich aplikacji klienckich korzystających z nowoczesnego uwierzytelniania na określonych platformach.The conditional access policy applies to any client app that is using modern authentication on the platforms that you specify.

      Komputery z systemem Windows muszą zostać przyłączone do domeny lub zarejestrowane w usłudze Intune i być zgodne.For Windows PCs, a PC must either be domain joined, or enrolled with Intune and compliant. Można ustawić następujące wymagania:You can set the following requirements:

      • Urządzenia muszą zostać przyłączone do domeny lub być zgodne.Devices must be domain joined or compliant. Wybierz tę opcję, jeśli komputery mają być przyłączone do domeny lub zgodne z zasadami skonfigurowanymi w usłudze Intune.Choose this option to require that PCs must either be domain joined or compliant with the policies that are set in Intune. Jeśli komputer nie spełnia żadnego z tych wymagań, użytkownik otrzyma monit o zarejestrowanie urządzenia w usłudze Intune.If a PC doesn't meet either of these requirements, the user is prompted to enroll the device with Intune.

      • Urządzenia muszą być zgodne.Devices must be compliant. Wybierz tę opcję, jeśli komputery mają być zarejestrowane w usłudze Intune i zgodne.Choose this option to require that PCs must be enrolled in Intune and compliant. Jeśli komputer nie został zarejestrowany, zostanie wyświetlony komunikat z instrukcjami dotyczącymi rejestracji.If a PC isn't enrolled, a message with instructions on how to enroll is displayed.

  4. W obszarze dostępu za pomocą przeglądarki do usług SharePoint Online i OneDrive dla Firm można zezwolić na dostęp do usługi Exchange Online tylko za pośrednictwem obsługiwanych przeglądarek: Safari (iOS) i Chrome (Android).Under Browser access to SharePoint Online and OneDrive for Business, you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS) and Chrome (Android). Dostęp z innych przeglądarek będzie zablokowany.Access from other browsers is blocked. Ograniczenia platformy wybrane dla dostępu aplikacji do usługi OneDrive mają zastosowanie również w tym miejscu.The same platform restrictions that you selected for Application access for OneDrive also apply here.

    Na urządzeniach z systemem Android użytkownicy muszą włączyć dostęp za pomocą przeglądarki.On Android devices, users must enable browser access. W tym celu użytkownik musi wybrać opcję Włączanie dostępu za pomocą przeglądarki na zarejestrowanym urządzeniu, wykonując następujące czynności:To do this, a user must choose the Enable Browser Access option on the enrolled device as follows:

    1. Otworzyć aplikację Portal firmy.Open the Company Portal app.
    2. Przejść do strony Ustawienia za pomocą przycisku oznaczonego wielokropkiem (…) lub przycisku menu urządzenia.Go to the Settings page from the ellipsis (…) or hardware menu button.
    3. Nacisnąć przycisk Włącz dostęp za pomocą przeglądarki.Press the Enable Browser Access button.
    4. W przeglądarce Chrome wylogować się z usługi Office 365 i ponownie uruchomić przeglądarkę Chrome.In the Chrome browser, sign out of Office 365 and restart Chrome.

    Na platformach iOS i Android w celu zidentyfikowania urządzenia używanego do uzyskania dostępu do usługi usługa Azure Active Directory wystawi certyfikat TLS (Transport Layer Security) dla urządzenia.On iOS and Android platforms, to identify the device that is used to access the service, Azure Active Directory issues a Transport Layer Security (TLS) certificate to the device. Urządzenie wyświetli użytkownikowi certyfikat wraz z monitem o wybranie certyfikatu, jak przedstawiono na zrzutach ekranu poniżej.The device displays the certificate with a prompt to the user to select the certificate, as shown in the following screenshots. Użytkownik musi wybrać ten certyfikat przed rozpoczęciem korzystania z przeglądarki.The user must select this certificate before they can use the browser.

    iOSiOS

    Zrzut ekranu przedstawiający monit dotyczący certyfikatu na urządzeniu iPad

    AndroidAndroid

    Zrzut ekranu przedstawiający monit dotyczący certyfikatu na urządzeniu z systemem Android

  5. W obszarze Grupy docelowe wybierz pozycję Modyfikuj, aby wybrać grupy zabezpieczeń usługi Azure Active Directory, które zostaną objęte zasadami.Under Targeted Groups, choose Modify to select the Azure Active Directory security groups that the policy applies to. Możesz objąć zasadami wszystkich użytkowników lub ich wybrane grupy.You can choose to target this to all users or just a select group of users.

  6. W obszarze Wykluczone grupy możesz wybrać pozycję Modyfikuj, jeśli chcesz, aby zasady nie były stosowane dla wskazanych grup zabezpieczeń usługi Azure Active Directory.Under Exempted Groups, optionally, choose Modify to select the Azure Active Directory security groups that are exempt from this policy.

  7. Po zakończeniu tych czynności wybierz pozycję Zapisz.When you're done, choose Save.

Nie musisz wdrażać zasad dostępu warunkowego, ponieważ zostają one natychmiast zastosowane.You don't have to deploy the conditional access policy—it takes effect immediately.

Krok 4. Monitorowanie zgodności i zasad dostępu warunkowegoStep 4: Monitor the compliance and conditional access policies

W obszarze roboczym Grupy można przeglądać informacje o stanie urządzeń.In the Groups workspace, you can view the status of your devices.

Wybierz dowolną grupę urządzeń przenośnych.Select any mobile device group. Następnie na karcie Urządzenia, w obszarze Filtry wybierz jedną z następujących opcji:Then, on the Devices tab, choose one of the following Filters:

  • Urządzenia, które nie są zarejestrowane w usłudze AAD.Devices that are not registered with AAD. Dostęp tych urządzeń do usługi SharePoint Online jest zablokowany.These devices are blocked from SharePoint Online.

  • Urządzenia, które nie są zgodne.Devices that are not compliant. Dostęp tych urządzeń do usługi SharePoint Online jest zablokowany.These devices are blocked from SharePoint Online.

  • Urządzenia, które są zarejestrowane w usłudze AAD i są zgodne.Devices that are registered with AAD and compliant. Te urządzenia mogą uzyskiwać dostęp do usługi SharePoint Online.These devices can access SharePoint Online.

Zobacz takżeSee also

Ochrona dostępu do poczty e-mail i usług O365 przy użyciu usługi Microsoft IntuneProtect access to email and O365 services with Microsoft Intune

Aby przesłać opinię na temat produktu, przejdź na stronę Intune Feedback