Ochrona dostępu do usługi Skype dla firm Online przy użyciu usługi Microsoft IntuneProtect access to Skype for Business Online with Microsoft Intune

Dotyczy: usługa Intune w konsoli klasycznejApplies to: Intune in the classic console
Szukasz dokumentacji dotyczącej usługi Intune na platformie Azure?Looking for documentation about Intune on Azure? Przejdź tutaj.Go here.

Możesz użyć zasad dostępu warunkowego dla usługi Skype dla firm Online w celu kontroli dostępu do usługi Skype dla firm Online.You can use a conditional access policy for Skype for Business Online to control access to Skype for Business Online. Dostęp warunkowy ma dwa składniki:Conditional access has two components:

  • Zasady zgodności urządzenia, które urządzenie musi spełniać, aby zostało uznane za zgodne.A device compliance policy that the device must comply with in order to be considered compliant.
  • Zasady dostępu warunkowego, w ramach których określane są warunki, które urządzenie musi spełniać w celu uzyskania dostępu do usługi.A conditional access policy where you specify the conditions that the device must meet in order for you to access the service. Aby dowiedzieć się więcej o sposobie działania dostępu warunkowego, przeczytaj artykuł Ochrona dostępu do poczty e-mail i usług O365.To learn more about how conditional access works, read the Protect access to email and O365 services article.

Jeśli wybrany użytkownik próbuje użyć usługi Skype dla firm Online na swoim urządzeniu, sprawdzane są następujące kwestie:When a targeted user attempts to use Skype for Business Online on their device, the following evaluation occurs:

Diagram przedstawiający punkty decyzyjne służące do określenia, czy urządzenie ma mieć dostęp do usługi Skype dla firm Online, czy ma być blokowane

Przed skonfigurowaniem zasad dostępu warunkowego dla usługi Skype fla firm Online, konieczne jest:Before configuring a conditional access policy for Skype for Business Online, you must:

  • Posiadanie subskrypcji usługi Skype dla firm Online i przypisanie licencji usługi Skype dla firm Online użytkownikom.Have a Skype for Business Online subscription and assign the Skype for Business Online license to users.
  • Posiadanie subskrypcji pakietu Enterprise Mobility + Security (EMS) lub subskrypcji usługi Azure Active Directory (Azure AD) Premium oraz posiadanie licencji użytkowników na usługi EMS lub Azure AD.Have an Enterprise Mobility + Security (EMS) subscription or an Azure Active Directory (Azure AD) Premium subscription, and have users be licensed for EMS or Azure AD. Aby uzyskać więcej szczegółowych informacji, zobacz Cennik pakietu Enterprise Mobility lub Cennik usługi Azure Active Directory.For more details, see Enterprise Mobility pricing or Azure Active Directory pricing.

  • Włączenie nowoczesnego uwierzytelniania dla usługi Skype dla firm Online.Enable modern authentication for Skype for Business Online.

  • Wszyscy użytkownicy powinni używać usługi Skype dla firm Online.Have all your users using Skype for Business Online. Jeśli wdrożenie obejmuje zarówno usługę Skype dla firm Online, jak i lokalną aplikację Skype dla firm, zasady dostępu warunkowego nie będą stosowane do użytkowników.If you have a deployment with both Skype for Business Online and Skype for Business on-premises, the conditional access policy will not be applied to users.

Urządzenie, dla którego wymagany jest dostęp do usługi Skype dla firm Online, powinno:The device that needs access to Skype for Business Online must:

  • Być urządzeniem z system Android lub iOS.Be an Android or iOS device.

  • Być zarejestrowane w usłudze Intune.Be enrolled with Intune.

  • Być zgodne z wdrożonymi zasadami zgodności usługi Intune.Be compliant with any deployed Intune compliance policies.

Stan urządzenia jest przechowywany w usłudze Azure Active Directory, która na podstawie wybranych warunków przydziela prawo dostępu lub je blokuje.The device state is stored in Azure Active Directory, which grants or blocks access based on the conditions that you specify.

Jeśli warunek nie jest spełniony, użytkownik zobaczy podczas logowania jeden z następujących komunikatów:If a condition is not met, the user is presented with one of the following messages when they sign in:

  • Jeśli urządzenie nie zostało zarejestrowane w usłudze Intune lub Azure Active Directory, zostanie wyświetlony komunikat z instrukcjami dotyczącymi sposobu instalowania aplikacji portalu firmy i rejestrowania.If the device is not enrolled with Intune or is not registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app and enroll.

  • Jeśli urządzenie nie jest zgodne, zostanie wyświetlony komunikat kierujący użytkownika do witryny Portal firmy usługi Intune lub aplikacji Portal firmy, gdzie można znaleźć informacje o problemie i sposobie jego rozwiązania.If the device is not compliant, a message is displayed that directs the user to the Intune Company Portal website or Company Portal app, where they can find information about the problem and how to fix it.

Konfigurowanie dostępu warunkowego dla usługi Skype dla firm OnlineConfigure conditional access for Skype for Business Online

Krok 1. Konfigurowanie grup zabezpieczeń usługi Azure Active DirectoryStep 1: Configure Azure Active Directory security groups

Przed rozpoczęciem skonfiguruj grupy zabezpieczeń usługi Azure Active Directory dla zasad dostępu warunkowego.Before you start, configure Azure Active Directory security groups for the conditional access policy. Możesz skonfigurować te grupy w centrum administracyjnym usługi Office 365.You can configure these groups in the Office 365 admin center. Grupy te zostaną użyte do objęcia użytkowników zasadami lub wykluczenia użytkowników z zasad.These groups will be used to target or exempt users from the policy. Jeśli zasady obejmują użytkownika, każde używane przez niego urządzenie musi być zgodne, aby mógł uzyskać dostęp do zasobów.When a user is targeted by the policy, each device they use must be compliant in order to access resources.

Można określić dwa typy grup dla zasad programu Skype dla firm:You can specify two group types to use for the Skype for Business policy:

  • Grupy docelowe: grupy użytkowników, do których zasady mają zastosowanie.Targeted groups: Contains groups of users that the policy applies to.

  • Wykluczone grupy: grupy użytkowników, którzy są wykluczeni z zasad.Exempted groups: Contains groups of users that are exempt from the policy.

Jeśli użytkownik należy do obu grup, będzie wykluczony z zasad.If a user is in both groups, they will be exempt from the policy.

Krok 2. Konfigurowanie i wdrażanie zasad zgodnościStep 2: Configure and deploy a compliance policy

Utwórz i wdróż zasady zgodności na wszystkich urządzeniach, które będą objęte zasadami.Create and deploy a compliance policy to all devices that will be affected by the policy. Będą to wszystkie urządzenia, które są używane przez użytkowników z grup docelowych.These will be all the devices that are used by the users in the Targeted groups.

Uwaga

Podczas gdy zasady zgodności są wdrażane w grupach usługi Intune, zasady dostępu warunkowego są stosowane dla grup zabezpieczeń usługi Azure Active Directory.While compliance policies are deployed to Intune groups, conditional access policies are targeted to Azure Active Directory security groups.

Ważne

Jeśli zasady zgodności nie zostały wdrożone, urządzenia będą traktowane jako zgodne.If you haven't deployed a compliance policy, the devices will be treated as compliant.

Gdy wszystko będzie gotowe, przejdź do kroku 3.When you're ready, continue to Step 3.

Krok 3. Konfigurowanie zasad usługi Skype dla firm OnlineStep 3: Configure the Skype for Business Online policy

Skonfiguruj zasady wymagające, aby tylko urządzenia zarządzane i zgodne miały dostęp do usługi Skype dla firm Online.Next, configure the policy to require that only managed and compliant devices can access Skype for Business Online. Te zasady będą przechowywane w usłudze Azure Active Directory.This policy will be stored in Azure Active Directory.

  1. W konsoli administratora usługi Microsoft Intune wybierz pozycje Zasady > Dostęp warunkowy > Skype dla firm Online — zasady.In the Microsoft Intune administration console, choose Policy > Conditional Access > Skype for Business Online Policy.

    Zrzut ekranu przedstawiający stronę zasad dostępu warunkowego usługi Skype dla firm Online

  2. Wybierz pozycję Włącz zasady dostępu warunkowego.Choose Enable conditional access policy.

  3. W obszarze Dostęp do aplikacji możesz wybrać platformy, do których zostaną zastosowane zasady dostępu warunkowego:Under Application access, you can choose to apply conditional access policy to:

    • iOSiOS

    • AndroidAndroid

  4. W obszarze Grupy docelowe wybierz pozycję Modyfikuj, aby wybrać grupy zabezpieczeń usługi Azure Active Directory, do których zostaną zastosowane zasady.Under Targeted Groups, choose Modify to select the Azure Active Directory security groups that the policy will apply to. Możesz objąć zasadami wszystkich użytkowników lub ich wybrane grupy.You can choose to target this to all users or just a select group of users.

  5. W obszarze Wykluczone grupy możesz wybrać pozycję Modyfikuj, jeśli chcesz, aby zasady nie były stosowane dla wskazanych grup zabezpieczeń usługi Azure Active Directory.Under Exempted Groups, optionally, choose Modify to select the Azure Active Directory security groups that are exempt from this policy.

  6. Po zakończeniu tych czynności wybierz pozycję Zapisz.When you're done, choose Save.

Dostęp warunkowy dla usługi Skype dla firm Online został skonfigurowany.You have now configured conditional access for Skype for Business Online. Nie musisz wdrażać zasad dostępu warunkowego, ponieważ zostają one natychmiast zastosowane.You don't have to deploy the conditional access policy—it takes effect immediately.

Monitorowanie zgodności i zasad dostępu warunkowegoMonitor the compliance and conditional access policies

W obszarze roboczym Grupy można przeglądać informacje o stanie warunkowego dostępu do urządzeń.In the Groups workspace, you can view the conditional access status of your devices.

Wybierz dowolną grupę urządzeń przenośnych.Select any mobile device group. Następnie na karcie Urządzenia, w obszarze Filtry wybierz jedną z następujących opcji:Then, on the Devices tab, choose one of the following Filters:

  • Urządzenia, które nie są zarejestrowane w usłudze AAD: dostęp tych urządzeń do usługi Skype dla firm Online jest zablokowany.Devices that are not registered with AAD: These devices are blocked from Skype for Business Online.

  • Urządzenia, które nie są zgodne: dostęp tych urządzeń do usługi Skype dla firm Online jest zablokowany.Devices that are not compliant: These devices are blocked from Skype for Business Online.

  • Urządzenia, które są zarejestrowane w usłudze AAD i są zgodne: te urządzenia mogą uzyskiwać dostęp do usługi Skype dla firm Online.Devices that are registered with AAD and compliant: These devices can access Skype for Business Online.

Aby przesłać opinię na temat produktu, przejdź na stronę Intune Feedback