Gerir o acesso aos serviços do O365 para computadores geridos pelo System Center Configuration ManagerManage access to O365 services for PCs managed by System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Configure o acesso condicional para serviços do Office 365 para PC geridos pelo Configuration Manager.Configure conditional access to Office 365 services for PCs managed by Configuration Manager.

Nota

O Configuration Manager não ativar esta funcionalidade opcional por predefinição.Configuration Manager doesn't enable this optional feature by default. Tem de ativar esta funcionalidade antes de o utilizar.You must enable this feature before using it. Para obter mais informações, consulte ativar funcionalidades opcionais de atualizações.For more information, see Enable optional features from updates.

Para informações sobre como configurar o acesso condicional para dispositivos inscritos e geridos pelo Microsoft Intune, consulte gerir o acesso a serviços no System Center Configuration Manager.For information on configuring conditional access for devices enrolled and managed by Microsoft Intune, see Manage access to services in System Center Configuration Manager. Esse artigo também inclui dispositivos que têm um domínio associado e não avaliado relativamente à compatibilidade.That article also covers devices that are domain joined and not evaluated for compliance.

Serviços SuportadosSupported Services

  • Exchange OnlineExchange Online
  • SharePoint OnlineSharePoint Online

PC SuportadosSupported PCs

  • Windows 7Windows 7
  • Windows 8,1Windows 8.1
  • Windows 10Windows 10

Servidores de Windows suportadosSupported Windows Servers

  • Windows Server 2008 R2Windows Server 2008 R2
  • Windows Server 2012Windows Server 2012
  • Windows Server 2012 R2Windows Server 2012 R2
  • Windows Server 2016Windows Server 2016

    Importante

    Para servidores de Windows que pode ter vários utilizadores com sessão iniciados em simultâneo, implemente as mesmas políticas de acesso condicional em todos estes utilizadores.For Windows Servers that may have multiple users signed in simultaneously, deploy the same conditional access policies to all of these users.

Configurar o acesso condicionalConfigure conditional access

Para configurar o acesso condicional, tem primeiro de criar uma política de conformidade e configurar a política de acesso condicional.To set up conditional access, you must first create a compliance policy and configure conditional access policy. Quando configurar políticas de acesso condicional para PCs, pode exigir que os computadores estejam em conformidade para poder aceder aos serviços Exchange Online e SharePoint Online.When you configure conditional access policies for PCs, you can require that the PCs be compliant in order to access Exchange Online and SharePoint Online services.

Pré-requisitosPrerequisites

  • Sincronização de ADFS e uma subscrição do O365.ADFS Sync, and an O365 subscription. A subscrição do O365 serve para configurar o Exchange Online e o SharePoint Online.The O365 subscription is for setting up Exchange Online and SharePoint Online.

  • Uma Subscrição do Microsoft Intune.A Microsoft Intune Subscription. A Subscrição do Microsoft Intune deve ser configurada na Consola do Gestor de Configuração.The Microsoft Intune Subscription should be configured in Configuration Manager Console. A subscrição do Intune é utilizada para Estado de conformidade do dispositivo ao Azure Active Directory e para licenciamento de utilizador de reencaminhamento.The Intune subscription is used to relay device compliance state to Azure Active Directory and for user licensing.

    Os PC devem satisfazer os seguintes requisitos:The PCs must meet the following requirements:

  • Pré-requisitos para o registo automático de dispositivos no Azure Active DirectoryPrerequisites for automatic device registration with Azure Active Directory

    Pode registar PCs no Azure AD através da política de conformidade.You can register PCs with Azure AD through the compliance policy.

    • Para PCs Windows 8.1 e Windows 10, pode utilizar uma Política de Grupo do Active Directory para configurar os dispositivos para serem registados automaticamente no Azure AD.For Windows 8.1 and Windows 10 PCs, you can use an Active Directory Group Policy to configure your devices to register automatically with Azure AD.

    • o Para PCs Windows 7, tem de implementar o pacote de software de registo de dispositivos no seu PC Windows 7 através do System Center Configuration Manager.o For Windows 7 PCs, you must deploy the device registration software package to your Windows 7 PC through System Center Configuration Manager. O registo automático de dispositivos com dispositivos associados a domínio artigo inclui mais detalhes.The Automatic device registration with Azure Active Directory for Windows Domain-Joined Devices article has more details.

  • Tem de utilizar o Office 2013 ou o Office 2016 com a autenticação moderna ativada.Must use Office 2013 or Office 2016 with modern authentication enabled.

    Os seguintes passos aplicam-se ao Exchange Online e SharePoint OnlineThe following steps apply to both Exchange Online and SharePoint Online

Passo 1.Step 1. Configurar a política de compatibilidadeConfigure compliance policy

Na consola do Configuration Manager, crie uma política de conformidade com as seguintes regras:In the Configuration Manager Console, create a compliance policy with the following rules:

  • Exigir registo no Azure Active Directory: Esta regra verifica se o dispositivo do utilizador local de trabalho associado para o Azure AD, e se não, o dispositivo é automaticamente registado no Azure AD.Require registration in Azure Active Directory: This rule checks if the user's device is work-place joined to Azure AD, and if not, the device is automatically registered in Azure AD. O registo automático é suportado apenas no Windows 8.1.Automatic registration is only supported on Windows 8.1. Para PCs Windows 7, implemente um MSI para efetuar o registo automático.For Windows 7 PCs, deploy an MSI to perform the auto registration. Para obter mais informações, consulte registo automático de dispositivos com o Azure Active DirectoryFor more information, see Automatic device registration with Azure Active Directory

  • Todas as atualizações necessárias instaladas com um prazo mais antigo do que um determinado número de dias: Especifique o valor para o período de tolerância do prazo de implementação para as atualizações necessárias no dispositivo do utilizador.All required updates installed with a deadline older than a certain number of days: Specify the value for the grace period from the deployment deadline for required updates on the user's device. Adicionar esta regra automaticamente também instala quaisquer atualizações necessárias pendentes.Adding this rule also automatically installs any pending required updates. Especificar as atualizações necessárias no atualizações automáticas necessárias regra.Specify the required updates in the Required automatic updates rule.

  • Exigir encriptação de unidade BitLocker: Esta regra verifica se a unidade principal (por exemplo, c:\) no dispositivo é BitLocker encriptado.Require BitLocker drive encryption: This rule checks if the primary drive (for example, C:\) on the device is BitLocker encrypted. Se o Bitlocker não está ativada a encriptação no dispositivo primário, o acesso ao e-mail e aos SharePoint services é bloqueado.If Bitlocker encryption is not enabled on the primary device, access to email and SharePoint services is blocked.

  • Exigir Antimalware: Esta regra verifica se o System Center Endpoint Protection ou o Windows Defender está ativado e em execução.Require Antimalware: This rule checks if System Center Endpoint Protection or Windows Defender is enabled and running. Se não estiver ativado, o acesso ao e-mail e aos SharePoint Services é bloqueado.If it is not enabled, access to email and SharePoint services is blocked.

  • Comunicado como bom estado de funcionamento pelo serviço de atestado de estado de funcionamento: Esta condição inclui quatro subrules para verificar a conformidade do dispositivo contra o serviço de atestado de estado de funcionamento do dispositivo.Reported as healthy by Health Attestation Service: This condition includes four subrules to check the device compliance against the device health attestation service. Para obter mais informações, consulte atestado de estado de funcionamento.For more information, see Health attestation.

    • Exigir BitLocker ser ativado no dispositivoRequire BitLocker to be enabled on the device
    • Exigir o arranque seguro esteja ativada no dispositivoRequire Secure Boot to be enabled on the device
    • Exigir a integridade do código ser ativada no dispositivoRequire Code Integrity to be enabled on the device
    • Exigir antecipado iniciar anti-software maligno para ser ativada no dispositivoRequire Early Launch Anti-Malware to be enabled on the device

    Dica

    Os critérios de acesso condicional para fins de atestado de estado de funcionamento de dispositivo foi introduzida pela primeira vez na versão 1710 como um funcionalidade de pré-lançamento.The conditional access criteria for device health attestation was first introduced in version 1710 as a pre-release feature. A partir da versão 1802, esta funcionalidade já não é uma funcionalidade de pré-lançamento.Beginning with version 1802, this feature is no longer a pre-release feature.

    Nota

    O Configuration Manager não ativar esta funcionalidade opcional por predefinição.Configuration Manager doesn't enable this optional feature by default. Tem de ativar esta funcionalidade antes de o utilizar.You must enable this feature before using it. Para obter mais informações, consulte ativar funcionalidades opcionais de atualizações.For more information, see Enable optional features from updates.

Passo 2.Step 2. Avaliar o efeito do acesso condicionalEvaluate the effect of conditional access

Execute o relatório de conformidade de acesso condicional.Run the Conditional Access Compliance Report. Pode ser encontrado na monitorização área de trabalho na relatórios > gestão de definições de compatibilidade e.It can be found in Monitoring workspace under Reports > Compliance and Settings Management. Este relatório apresenta o estado de compatibilidade para todos os dispositivos.This report displays the compliance status for all devices. Dispositivos que reportem como não compatíveis são impedidos de aceder ao Exchange Online e SharePoint Online.Devices reporting as not compliant are blocked from accessing Exchange Online and SharePoint Online.

Consola do Configuration Manager, área de trabalho de monitorização, relatórios, relatórios, gestão de compatibilidade e definições: Relatório de conformidade de acesso condicional

Configurar Grupos de Segurança do Active DirectoryConfigure Active Directory Security Groups

O direcionamento de políticas de acesso condicional para grupos de utilizadores depende dos tipos de política.You target conditional access policies to groups of users depending on the policy types. Estes grupos contêm os utilizadores que os destinos de política ou excluídos da política.These groups contain the users that the policy targets, or exempt from the policy. Quando uma política destina-se um utilizador, cada dispositivo que utiliza tem de estar em conformidade para poder aceder ao serviço.When a policy targets a user, each device they use must be compliant in order to access the service.

Grupos de utilizadores de segurança do Active Directory.Active Directory security user groups. Estes grupos de utilizadores devem ser sincronizados com o Azure Active Directory.These user groups should be synchronized to Azure Active Directory. Pode também configurar estes grupos no centro de administração do Office 365 ou no portal de contas do Intune.You can also configure these groups in the Office 365 admin center, or the Intune account portal.

Pode especificar dois tipos de grupos em cada política.You can specify two group types in each policy. ::

  • Grupos direcionados -grupos de utilizadores aos quais é aplicada a política.Targeted groups - User groups to which the policy is applied. O mesmo grupo deve ser utilizado para a política de acesso condicional e de conformidade.The same group should be used both for compliance and conditional access policy.

  • Grupos excluídos -grupos de utilizadores excluídos da política (opcional).Exempted groups - User groups that are exempt from the policy (optional).
    Se um utilizador estiver em ambos, são excluídos da política.If a user is in both, they are exempt from the policy.

    Apenas os grupos visados pela política de acesso condicional são avaliados.Only the groups, which are targeted by the conditional access policy, are evaluated.

Passo 3.Step 3. Crie uma política de acesso condicional para o Exchange Online e o SharePoint OnlineCreate a conditional access policy, for Exchange Online and SharePoint Online

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.In the Configuration Manager console, click Assets and Compliance.

  2. Selecione Ativar política de acesso condicional para o Exchange Onlinepara criar uma política para o Exchange Online.To create a policy for Exchange Online, select Enable conditional access policy for Exchange Online.

    Selecione Ativar política de acesso condicional para o Exchange Onlinepara criar uma política para o SharePoint Online.To create a policy for SharePoint Online, select Enable conditional access policy for Exchange Online.

  3. No separador Início , no grupo Ligações , clique em Configurar Política de Acesso Condicional na Consola do Intune.On the Home tab, in the Links group, click Configure Conditional Access Policy in the Intune Console. Poderá ter de fornecer o nome de utilizador e a palavra-passe da conta utilizada para ligar o Gestor de Configuração ao Intune.You might need to supply the user name and password of the account used to connect Configuration Manager with Intune.

    Abre a consola de administração do Intune.The Intune admin console opens.

  4. Para o Exchange Online, na consola de administração do Microsoft Intune, clique em política > acesso condicional > política do Exchange Online.For Exchange Online, in the Microsoft Intune administration console, click Policy > Conditional Access > Exchange Online Policy.

    Para o SharePoint Online, na consola de administração do Microsoft Intune, clique em política > acesso condicional > política do SharePoint Online.For SharePoint Online, in the Microsoft Intune administration console, click Policy > Conditional Access > SharePoint Online Policy.

  5. Defina o requisito do PC Windows como Os dispositivos têm de estar em conformidade.Set the Windows PC requirement toDevices must be compliant option.

  6. Em grupos Direcionados, clique em modificar para selecionar os grupos de segurança do Azure Active Directory aos quais se aplica a política.Under Targeted Groups, click Modify to select the Azure Active Directory security groups to which the policy applies.

    Nota

    O mesmo grupo de utilizadores de segurança deve ser utilizado para implementar a política de conformidade era e o grupo de destino para a política de acesso condicional.The same security user group should be used for deploying compliancy policy and the Targeted Group for conditional access policy.

    Como opção, em Grupos Excluídos, clique em Modificar para selecionar os grupos de segurança do Azure Active Directory que estão excluídos desta política.Under Exempted Groups, optionally, click Modify to select the Azure Active Directory security groups that are exempt from this policy.

  7. Clique em Guardar para criar e guardar a políticaClick Save to create and save the policy

Os utilizadores ver informações de conformidade no Centro de Software.Users view compliance information in Software Center. Quando bloqueado devido a não conformidade, inicie uma nova avaliação de política após a remediação problemas de conformidade.When blocked due to noncompliance, initiate a new policy evaluation after remediating compliance issues.

Consulte tambémSee also