Quais são maneiras comuns de usar o acesso condicional com o Intune?What are common ways to use conditional access with Intune?

Esta página é útil?

Há dois tipos de acesso condicional com o Intune: acesso condicional baseado em dispositivo e acesso condicional baseado em aplicativo.There are two types of conditional access with Intune: device-based conditional access and app-based conditional access. Você precisa configurar as políticas de conformidade relacionadas para orientar a conformidade de acesso condicional em sua organização.You need to configure the related compliance policies to drive conditional access compliance at your organization. O acesso condicional geralmente é usado para realizar ações como permitir ou bloquear o acesso ao Exchange local, controlar o acesso à rede ou integrar a uma solução de Defesa contra Ameaças Móveis.Conditional access is commonly used to do things like allow or block access to Exchange on-premises, control access to the network, or integrate with a Mobile Threat Defense solution.

As informações abaixo ajudam a entender como usar os recursos de conformidade de dispositivo móvel do Intune e os recursos de MAM (gerenciamento de aplicativo móvel) do Intune.The below information helps you understand how to use the Intune mobile device compliance capabilities and the Intune mobile application management (MAM) capabilities.

Observação

O acesso condicional é um recurso do Azure Active Directory incluído com uma licença do Azure Active Directory Premium.Conditional access is an Azure Active Directory capability that is included with an Azure Active Directory Premium license. O Intune aprimora esse recurso, adicionando a conformidade de dispositivo móvel e o gerenciamento de aplicativo móvel à solução.Intune enhances this capability by adding mobile device compliance and mobile app management to the solution. O nó Acesso Condicional acessado no Intune é o mesmo nó que o acessado no Azure AD.The Conditional Access node accessed from Intune is the same node as accessed from Azure AD.

Acesso condicional baseado no dispositivoDevice-based conditional access

O Intune e o Azure Active Directory trabalham juntos para garantir que somente dispositivos gerenciados e em conformidade têm permissão para acessar o email, os serviços do Office 365, aplicativos SaaS (Software como serviço) e aplicativos locais.Intune and Azure Active Directory work together to make sure only managed and compliant devices are allowed access to email, Office 365 services, Software as a service (SaaS) apps, and on-premises apps. Além disso, você pode definir uma política no Azure Active Directory para permitir que somente os computadores que ingressaram no domínio ou os dispositivos móveis que foram registrados no Intune acessem os serviços do Office 365.Additionally, you can set a policy in Azure Active Directory to only enable computers that are domain-joined, or mobile devices that are enrolled in Intune to access Office 365 services.

O Intune fornece funcionalidades de política de conformidade do dispositivo que avaliam o status de conformidade dos dispositivos.Intune provides device compliance policy capabilities that evaluate the compliance status of the devices. O status da conformidade é relatado ao Azure Active Directory, que usa isso para impor a política de acesso condicional criada no Azure Active Directory quando o usuário tenta acessar os recursos da empresa.The compliance status is reported to Azure Active Directory that uses it to enforce the conditional access policy created in Azure Active Directory when the user tries to access company resources.

As políticas de acesso condicional baseado no dispositivo para o Exchange Online e outros produtos do Office 365 são configuradas por meio do Portal do Azure.Device-based conditional access policies for Exchange online and other Office 365 products are configured through the Azure portal.

Observação

Em dispositivos Android, quando você habilita o Acesso Baseado em Dispositivo para o SharePoint Online ou para acesso baseado em Navegador ao Exchange Online, os usuários precisam habilitar a opção Habilitar o Acesso do Navegador no dispositivo registrado, da seguinte maneira:On Android devices, when you enable Device Based Access for Sharepoint Online or Browser based access to Exchange Online, users must enable the Enable Browser Access option on the enrolled device as follows:

  1. Inicie o aplicativo do Portal da Empresa.Launch the Company Portal app.
  2. Vá para a página Configurações por meio dos três pontos (...) ou do botão de menu do hardware.Go to the Settings page from the triple dots (...) or the hardware menu button.
  3. Pressione o botão Habilitar o Acesso do Navegador .Press the Enable Browser Access button.
  4. No navegador Chrome, saia do Office 365 e reinicie o Chrome.In the Chrome browser, sign out of Office 365 and restart Chrome.

Acesso condicional para o Exchange LocalConditional access for Exchange on-premises

O acesso condicional pode ser usado para permitir ou bloquear o acesso ao Exchange Local com base no estado do registro e nas políticas de conformidade do dispositivo.Conditional access can be used to allow or block access to Exchange on-premises based on the device compliance policies and enrollment state. Quando o acesso condicional é usado em combinação com uma política de conformidade do dispositivo, somente os dispositivos em conformidade podem acessar o Exchange Local.When conditional access is used in combination with a device compliance policy, only compliant devices are allowed access to Exchange on-premises.

Defina configurações avançadas no acesso condicional para um controle mais granular, como:You can configure advanced settings in conditional access for more granular control such as:

  • Permitir ou bloquear algumas plataformas.Allow or block certain platforms.

  • Bloquear imediatamente dispositivos que não são gerenciados pelo Intune.Immediately block devices that are not managed by Intune.

Qualquer dispositivo usado para acessar o Exchange Local é verificado quanto à conformidade quando as políticas de conformidade do dispositivo e de acesso condicional são aplicadas.Any device used to access Exchange on-premises is checked for compliance when device compliance and conditional access policies are applied.

Quando os dispositivos não atendem às condições definidas, o usuário final é guiado pelo processo de registro do dispositivo para corrigir o problema que tornou o dispositivo não compatível.When devices do not meet the conditions set, the end user is guided through the process of enrolling the device to fix the issue that is making the device noncompliant.

Como funciona o acesso condicional no Exchange LocalHow conditional access for Exchange on-premises works

O Intune Exchange Connector mantém todos os registros do EAS (Exchange Active Sync) que existem no servidor Exchange, de forma que o Intune possa usar esses registros do EAS e mapeá-los para registros de dispositivo do Intune.The Intune Exchange connector pulls in all the Exchange Active Sync (EAS) records that exist at the Exchange server so Intune can take these EAS records and map them to Intune device records. Esses registros são dispositivos registrados e reconhecidos pelo Intune.These records are devices enrolled and recognized by Intune. Esse processo permite ou bloqueia o acesso a email.This process allows or blocks e-mail access.

Se o registro do EAS é novo e o Intune não o reconhece, o Intune emite um cmdlet (pronuncia-se "comand-let") que bloqueia o acesso ao email.If the EAS record is brand new, and Intune is not aware of it, Intune issues a cmdlet (pronounced "command-let") that blocks access to e-mail. Estes são mais detalhes sobre como esse processo funciona:Here are more details on how this process works:

Fluxograma do Exchange Local com AC

  1. O usuário tenta acessar o email corporativo, que está hospedado no Exchange Local 2010 SP1 ou posterior.User tries to access corporate email, which is hosted on Exchange on-premises 2010 SP1 or later.

  2. Se o dispositivo não é gerenciado pelo Intune, ele tem o acesso ao email bloqueado.If the device is not managed by Intune, access to email will be blocked. O Intune envia uma notificação de bloqueio para o cliente do EAS.Intune sends a block notification to the EAS client.

  3. O EAS recebe a notificação de bloqueio, move o dispositivo para a quarentena e envia o email de quarentena com etapas de correção que contêm links para que os usuários possam registrar seus dispositivos.EAS receives the block notification, moves the device to quarantine, and sends the quarantine email with remediation steps that contain links so the users can enroll their devices.

  4. Ocorre o processo de Ingresso no local de trabalho, que é a primeira etapa para que o dispositivo seja gerenciado pelo Intune.The Workplace join process happens, which is the first step to have the device managed by Intune.

  5. O dispositivo é registrado no Intune.The device gets enrolled into Intune.

  6. O Intune mapeia o registro do EAS para um registro de dispositivo e salva o estado de conformidade do dispositivo.Intune maps the EAS record to a device record, and saves the device compliance state.

  7. A ID do cliente do EAS é registrada pelo processo de Registro de Dispositivo do Azure AD, que cria uma relação entre o registro de dispositivo do Intune e a ID do cliente do EAS.The EAS client ID gets registered by the Azure AD Device Registration process, which creates a relationship between the Intune device record, and the EAS client ID.

  8. O Registro de Dispositivo do Azure AD salva as informações de estado do dispositivo.The Azure AD Device Registration saves the device state information.

  9. Se o usuário atender às políticas de acesso condicional, o Intune emitirá um cmdlet por meio do Intune Exchange Connector que permite a sincronização da caixa de correio.If the user meets the conditional access policies, Intune issues a cmdlet through the Intune Exchange connector that allows the mailbox to sync.

  10. O servidor Exchange envia a notificação ao cliente do EAS, de forma que o usuário possa acessar o email.Exchange server sends the notification to EAS client so the user can access e-mail.

O que é a função do Intune?What’s the Intune role?

O Intune avalia e gerencia o estado do dispositivo.Intune evaluates and manages the device state.

O que é a função de servidor Exchange?What’s the Exchange server role?

O servidor Exchange fornece a API e a infraestrutura para mover os dispositivos para a quarentena.Exchange server provides API and infrastructure to move devices to quarantine.

Importante

Lembre-se de que o usuário que está usando o dispositivo deve ter um perfil de conformidade atribuído a ele para que o dispositivo possa ser avaliado quanto à conformidade.Keep in mind that the user who’s using the device must have a compliance profile assigned to them so the device can be evaluated for compliance. Se nenhuma política de conformidade for implantada para o usuário, o dispositivo será tratado como em conformidade e nenhuma restrição de acesso será aplicada.If no compliance policy is deployed to the user, the device is treated as compliant and no access restrictions are applied.

Acesso condicional baseado em controle de acesso à redeConditional access based on network access control

O Intune integrado com parceiros, como Cisco ISE, Aruba Clear Pass e Citrix NetScaler, para fornecer controles de acesso baseados no registro do Intune e no estado de conformidade do dispositivo.Intune integrated with partners like Cisco ISE, Aruba Clear Pass, and Citrix NetScaler to provide access controls based on the Intune enrollment and the device compliance state.

Os usuários podem ter o acesso permitido ou negado ao tentar acessar os recursos corporativos de Wi-Fi ou VPN, dependendo se o dispositivo é gerenciado e está em conformidade com as políticas de conformidade do dispositivo do Intune.Users can be allowed or denied access when trying to access corporate Wi-Fi or VPN resources based on whether the device is managed and compliant with Intune device compliance policies.

Acesso condicional baseado nos riscos do dispositivoConditional access based on device risk

O Intune firma uma parceria com fornecedores de Defesa contra Ameaças Móveis, que fornecem uma solução de segurança para detectar malware, cavalos de Troia e outras ameaças em dispositivos móveis.Intune partners with Mobile Threat Defense vendors that provide a security solution to detect malware, Trojans, and other threats on mobile devices.

Como funciona a integração entre o Intune e a Defesa contra Ameaças MóveisHow the Intune and Mobile Threat Defense integration works

Quando os dispositivos móveis têm o agente de Defesa contra Ameaças Móveis instalado, o agente pode enviar mensagens sobre o estado de conformidade novamente para o Intune, relatando se uma ameaça foi encontrada no próprio dispositivo móvel.When mobile devices have the Mobile Threat Defense agent installed, the agent can send compliance state messages back to Intune reporting if a threat has been found in the mobile device itself.

A integração entre o Intune e a defesa contra ameaças móveis desempenha um fator importante nas decisões sobre o acesso condicional baseadas nos riscos do dispositivo.The Intune and mobile threat defense integration plays a factor at the conditional access decisions based on device risk.

Acesso condicional para computadores WindowsConditional access for Windows PCs

O acesso condicional para computadores fornece recursos semelhantes aos disponíveis para dispositivos móveis.Conditional access for PCs provides capabilities similar to those available for mobile devices. Vamos falar sobre as maneiras pelas quais você pode usar o acesso condicional ao gerenciar computadores com o Intune.Let’s talk about the ways you can use conditional access when managing PCs with Intune.

De propriedade corporativaCorporate-owned

  • Ingressado no domínio do AD local: essa tem sido a opção mais comum para organizações que estão razoavelmente confiantes com o fato de que já estão gerenciando seus computadores por meio de políticas de grupo do AD e/ou com o System Center Configuration Manager.On premises AD domain joined: This option is commonly used by organizations who are reasonably comfortable with how they’re already managing their PCs through AD group policies and/or System Center Configuration Manager.

  • Ingressado no domínio do Azure AD e gerenciamento do Intune: esse cenário é normalmente voltado para cenários CYOD (Escolha seu próprio dispositivo) e cenários de laptops móveis em que esses dispositivos raramente são conectados à rede corporativa.Azure AD domain joined and Intune management: This scenario is typically geared to Choose Your Own Device (CYOD), and roaming laptop scenarios where these devices are rarely connected to the corporate network. O dispositivo é ingressado no Azure AD e registrado no Intune, o que remove qualquer dependência do AD local e dos controladores de domínio.The device joins to the Azure AD and gets enrolled to Intune, which removes any dependency on on-premises AD, and domain controllers. Isso pode ser usado como um critério de acesso condicional ao acessar recursos corporativos.This can be used as a conditional access criteria when accessing corporate resources.

  • Ingressado no domínio do AD e o System Center Configuration Manager: No branch atual, o System Center Configuration Manager oferece recursos de acesso condicional que podem avaliar critérios específicos de conformidade, além de ser um computador ingressado no domínio:AD domain joined and System Center Configuration Manager: As of current branch, System Center Configuration Manager provides conditional access capabilities that can evaluate specific compliance criteria, in addition to being a domain-joined PC:

    • O computador está criptografado?Is the PC encrypted?

    • Algum malware está instalado?Is malware installed? Ele está atualizado?Is it up-to-date?

    • O dispositivo está desbloqueado ou com raiz?Is the device jailbroken or rooted?

BYOD (Traga seu próprio dispositivo)Bring your own device (BYOD)

  • Ingresso no local de trabalho e gerenciamento do Intune: o usuário pode ingressar seus dispositivos pessoais para acessar recursos e serviços corporativos.Workplace join and Intune management: Here the user can join their personal devices to access corporate resources and services. Use o Ingresso no local de trabalho e registre dispositivos no MDM do Intune para receber políticas no dispositivo, que também é outra opção para avaliar os critérios de acesso condicional.You can use Workplace join and enroll devices into Intune MDM to receive device-level policies, which is also another option to evaluate conditional access criteria.

Saiba mais sobre Gerenciamento de dispositivos no Azure Active Directory.Learn more about Device Management in Azure Active Directory.

Acesso condicional baseado no aplicativoApp-based conditional access

O Intune e o Azure Active Directory funcionam em conjunto para garantir que somente aplicativos gerenciados podem acessar o email corporativo ou outros serviços do Office 365.Intune and Azure Active Directory work together to make sure only managed apps can access corporate e-mail or other Office 365 services.

Próximas etapasNext steps

Como configurar o acesso condicional no Azure Active DirectoryHow to configure conditional access in Azure Active Directory

Como instalar o Exchange Connector local com o Intune.How to install on-premises Exchange connector with Intune.

Como criar uma política de acesso condicional para o Exchange LocalHow to create a conditional access policy for Exchange on-premises