Gerir o acesso aos serviços do O365 para computadores geridos pelo System Center Configuration ManagerManage access to O365 services for PCs managed by System Center Configuration Manager

Aplica-se a: System Center Configuration Manager (ramificação atual)Applies to: System Center Configuration Manager (Current Branch)

A partir da versão 1602 do Configuration Manager, você pode configurar o acesso condicional para PCs gerenciados pelo System Center Configuration Manager.Beginning with version 1602 of Configuration Manager, you can configure conditional access for PCs managed by System Center Configuration Manager.

Importante

Este é um recurso de pré-lançamento disponível na atualização 1602, a atualização 1606 e atualizar 1610.This is a pre-release feature available in update 1602,update 1606, and update 1610. As funcionalidades de pré-lançamento estão incluídas no produto para um teste antecipado num ambiente de produção, mas devem não ser consideradas prontas para produção.Pre-release features are included in the product for early testing in a production environment, but should not be considered production ready. Para obter mais informações, veja Utilizar as funcionalidades da versão de pré-lançamento de atualizações.For more information, see Use pre-release features from updates.

  • Depois de instalar a atualização 1602, o tipo de recurso exibe como liberada apesar de pré-lançamento.After you install update 1602, the feature type displays as released even though it is pre-release.
  • Se você atualizar do 1602 para a 1606, as exibições de tipo de recurso como liberada até mesmo após ele permanece pré-lançamento.If you then update from 1602 to 1606, the feature type displays as released even through it remains pre-release.
  • Se você atualizar da versão 1511 diretamente para a 1606, o tipo de recurso exibe como versão de pré-lançamento.If you update from version 1511 directly to 1606, the feature type displays as pre-release.

Se estiver à procura de informações sobre como configurar o acesso condicional para dispositivos inscritos e geridos pelo Intune ou PCs que estão associados a um domínio e não foram avaliados em termos de conformidade, veja Gerir o acesso aos serviços no System Center Configuration Manager.If you are looking for information on how to configure conditional access for devices enrolled and managed by Intune, or PCs that are domain joined and are not evaluated for compliance, see Manage access to services in System Center Configuration Manager.

Serviços SuportadosSupported Services

  • Exchange OnlineExchange Online
  • SharePoint OnlineSharePoint Online

PC SuportadosSupported PCs

  • Windows 7Windows 7
  • Windows 8,1Windows 8.1
  • Windows 10Windows 10

Servidores de Windows suportadosSupported Windows Servers

  • 2008 R22008 R2
  • 20122012
  • 2012 R22012 R2
  • 20162016

    Importante

    Para servidores de Windows que pode ter vários utilizadores com sessão iniciados em simultâneo, as mesmas políticas de acesso condicional tem de ser implementadas para todos os utilizadores com sessão iniciados.For Windows Servers that may have multiple users signed in simultaneously, the same conditional access policies must be deployed to all of the users signed in.

Configurar o acesso condicionalConfigure conditional access

Para configurar o acesso condicional, tem primeiro de criar uma política de conformidade e configurar a política de acesso condicional.To setup conditional access, you must first create a compliance policy and configure conditional access policy. Quando configurar as políticas de acesso condicional para PC, pode exigir que os computadores estejam em conformidade com a política de conformidade para aceder aos serviços Exchange Online e SharePoint Online.When you configure conditional access policies for PCs you can require that the PCs be compliant with the compliance policy in order to access Exchange Online and SharePoint Online services.

Pré-requisitosPrerequisites

  • Sincronização de ADFS e uma subscrição do O365.ADFS Sync, and an O365 subscription. A subscrição do O365 serve para configurar o Exchange Online e o SharePoint Online.The O365 subscription is for setting up Exchange Online and SharePoint Online.

  • Uma Subscrição do Microsoft Intune.A Microsoft Intune Subscription. A Subscrição do Microsoft Intune deve ser configurada na Consola do Gestor de Configuração.The Microsoft Intune Subscription should be configured in Configuration Manager Console. A assinatura do Intune é usada para transmitir o estado de conformidade do dispositivo para Active Directory do Azure e para o licenciamento do usuário.The Intune subscription is used to relay device compliance state to Azure Active Directory and for user licensing.

    Os PC devem satisfazer os seguintes requisitos:The PCs must meet the following requirements:

  • Pré-requisitos para o registo automático de dispositivos no Azure Active DirectoryPrerequisites for automatic device registration with Azure Active Directory

    Pode registar PCs no Azure AD através da política de conformidade.You can register PCs with Azure AD through the compliance policy.

    • Para PCs Windows 8.1 e Windows 10, pode utilizar uma Política de Grupo do Active Directory para configurar os dispositivos para serem registados automaticamente no Azure AD.For Windows 8.1 and Windows 10 PCs, you can use an Active Directory Group Policy to configure your devices to register automatically with Azure AD.

    • o Para PCs Windows 7, tem de implementar o pacote de software de registo de dispositivos no seu PC Windows 7 através do System Center Configuration Manager.o For Windows 7 PCs, you must deploy the device registration software package to your Windows 7 PC through System Center Configuration Manager. O registro de dispositivo automático com dispositivos de ingressados tópico tem mais detalhes.The Automatic device registration with Azure Active Directory for Windows Domain-Joined Devices topic has more details.

  • Tem de utilizar o Office 2013 ou o Office 2016 com a autenticação moderna ativada.Must use Office 2013 or Office 2016 with modern authentication enabled.

    Os passos descritos abaixo aplicam-se ao Exchange Online e ao SharePoint OnlineThe steps described below apply to both Exchange Online and SharePoint Online

Passo 1.Step 1. Configurar a política de compatibilidadeConfigure compliance policy

Na consola do Configuration Manager, crie uma política de conformidade com as seguintes regras:In the Configuration Manager Console, create a compliance policy with the following rules:

  • Requer registro no Active Directory do Azure: Esta regra verifica se o dispositivo do usuário é o local de trabalho associado ao AD do Azure, e se não, o dispositivo é registrado automaticamente no AD do Azure.Require registration in Azure Active Directory: This rule checks if the user's device is work-place joined to Azure AD, and if not, the device is automatically registered in Azure AD. O registo automático é suportado apenas no Windows 8.1.Automatic registration is only supported on Windows 8.1. Para PCs Windows 7, implemente um MSI para efetuar o registo automático.For Windows 7 PCs, deploy an MSI to perform the auto registration. Para obter mais detalhes, veja Registo automático do dispositivo com o Azure Active DirectoryFor more details, see Automatic device registration with Azure Active Directory

  • Todas as atualizações necessárias instaladas com um prazo superior a determinado número de dias: Esta regra verifica para ver se o dispositivo do usuário tem todas as atualizações necessárias (especificadas na regra atualizações automáticas necessárias) dentro do prazo e período de carência especificado por você e instala automaticamente quaisquer atualizações necessárias.All required updates installed with a deadline older than a certain number of days: This rule checks to see if the user's device has all required updates (specified in the Required automatic updates rule) within deadline and grace period specified by you, and automatically install the any pending required updates.

  • Exigir criptografia de unidade de disco BitLocker: Essa é uma verificação para ver se a unidade principal (por exemplo, c:\) no dispositivo é criptografada pelo BitLocker.Require BitLocker drive encryption: This is a check to see if the primary drive (e.g. C:\) on the device is BitLocker encrypted. Se a encriptação Bitlocker não estiver ativada no dispositivo primário, o acesso ao e-mail e aos SharePoint Services é bloqueado.If Bitlocker encryption is not enabled on the primary device access to email and SharePoint services is blocked.

  • Exigir Antimalware: Essa é uma verificação para ver se o software antimalware (System Center Endpoint Protection ou somente para o Windows Defender) está habilitado e em execução.Require Antimalware: This is a check to see if the antimalware software (System Center Endpoint Protection or Windows Defender only) is enabled and running. Se não estiver ativado, o acesso ao e-mail e aos SharePoint Services é bloqueado.If it is not enabled, access to email and SharePoint services is blocked.

Passo 2.Step 2. Avaliar o efeito do acesso condicionalEvaluate the effect of conditional access

Execute o Relatório de Compatibilidade de Acesso.Run the Conditional Access Compliance Report. Ele pode ser encontrado na seção monitoramento em relatórios > Gerenciamento de conformidade e configurações.It can be found in Monitoring section under Reports >Compliance and Settings Management . Isto apresenta o estado de conformidade de todos os dispositivos.This displays the compliance status for all devices. Os dispositivos comunicados como não compatíveis serão impedidos de aceder ao Exchange Online e ao SharePoint Online.Devices that are reported as not compliant will be blocked from accessing Exchange Online and SharePoint Online.

CA_relatório de_compatibilidade

Configurar Grupos de Segurança do Active DirectoryConfigure Active Directory Security Groups

O direcionamento de políticas de acesso condicional para grupos de utilizadores depende dos tipos de política.You target conditional access policies to groups of users depending on the policy types. Estes grupos contêm os utilizadores que serão direcionados ou que estarão excluídos da política.These groups contain the users that will be targeted, or exempt from the policy. Quando um utilizador é direcionado por uma política, cada dispositivo que utiliza tem de estar em conformidade para poder aceder ao serviço.When a user is targeted by a policy, each device they use must be compliant in order to be able to access the service.

Grupos de utilizadores de segurança do Active Directory.Active Directory security user groups. Estes grupos de utilizadores devem ser sincronizados com o Azure Active Directory.These user groups should be synchronized to Azure Active Directory. Pode também configurar estes grupos no centro de administração do Office 365 ou no portal de contas do Intune.You can also configure these groups in the Office 365 admin center, or the Intune account portal.

Você pode especificar dois tipos de grupo em cada política.You can specify two group types in each policy. ::

  • Grupos de destino -grupos de usuários aos quais a política é aplicada.Targeted groups - User groups to which the policy is applied. O mesmo grupo deve ser usado para obter conformidade e política de acesso condicional.The same group should be used both for compliance and conditional access policy.

  • Grupos isentos -grupos de usuários isentos da política (opcional)Exempted groups - User groups that are exempt from the policy (optional)
    Se um utilizador estiver em ambos, estará excluído da política.If a user is in both, they will be exempt from the policy.

    Apenas os grupos visados pela política de acesso condicional são avaliados.Only the groups, which are targeted by the conditional access policy, are evaluated.

Passo 3.Step 3. Crie uma política de acesso condicional para o Exchange Online e o SharePoint OnlineCreate a conditional access policy, for Exchange Online and SharePoint Online

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.In the Configuration Manager console, click Assets and Compliance.

  2. Selecione Ativar política de acesso condicional para o Exchange Onlinepara criar uma política para o Exchange Online.To create a policy for Exchange Online, select Enable conditional access policy for Exchange Online.

    Selecione Ativar política de acesso condicional para o Exchange Onlinepara criar uma política para o SharePoint Online.To create a policy for SharePoint Online, select Enable conditional access policy for Exchange Online.

  3. No separador Início , no grupo Ligações , clique em Configurar Política de Acesso Condicional na Consola do Intune.On the Home tab, in the Links group, click Configure Conditional Access Policy in the Intune Console. Poderá ter de fornecer o nome de utilizador e a palavra-passe da conta utilizada para ligar o Gestor de Configuração ao Intune.You might need to supply the user name and password of the account used to connect Configuration Manager with Intune.

    A consola de administração do Intune irá abrir.The Intune admin console will open.

  4. Para o Exchange Online, no console de administração do Microsoft Intune, clique em política > acesso condicional > política do Exchange Online.For Exchange Online, in the Microsoft Intune administration console, click Policy > Conditional Access > Exchange Online Policy.

    Para o SharePoint Online, no console de administração do Microsoft Intune, clique em política > acesso condicional > política do SharePoint Online.For SharePoint Online, in the Microsoft Intune administration console, click Policy > Conditional Access > SharePoint Online Policy.

  5. Defina o requisito do PC Windows como Os dispositivos têm de estar em conformidade.Set the Windows PC requirement toDevices must be compliant option.

  6. Em Grupos Direcionados, clique em Modificar para selecionar os grupos de segurança do Azure Active Directory aos quais será aplicada a política.Under Targeted Groups, click Modify to select the Azure Active Directory security groups to which the policy will apply.

    Nota

    O mesmo grupo de usuários de segurança deve ser usado para implantar a política de conformidade e o grupo de destino para a política de acesso condicional.The same security user group should be used for deploying compliancy policy and the Targeted Group for conditional access policy.

    Como opção, em Grupos Excluídos, clique em Modificar para selecionar os grupos de segurança do Azure Active Directory que estão excluídos desta política.Under Exempted Groups, optionally, click Modify to select the Azure Active Directory security groups that are exempt from this policy.

  7. Clique em Guardar para criar e guardar a políticaClick Save to create and save the policy

    Usuários finais bloqueados por falta de conformidade verão informações de conformidade no Centro de Software do System Center Configuration Manager e iniciarão uma nova avaliação de política quando problemas de conformidade forem corrigidos.End-users who are blocked due to noncompliance will view compliance information in the System Center Configuration Manager Software Center and will initiate a new policy evaluation when compliance issues are remediated.

Consulte tambémSee also