Gerir o acesso a serviços no System Center Configuration ManagerManage access to services in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Acesso condicional no System Center Configuration ManagerConditional access in System Center Configuration Manager

Utilize acesso condicional para ajudar a proteger o e-mail e outros serviços em dispositivos que estão inscritos no Microsoft Intune, dependendo das condições que especifica.Use conditional access to help secure email and other services on devices that are enrolled with Microsoft Intune, depending on conditions you specify.

Para obter informações sobre acesso condicional em PCs geridos com o System Center Configuration Manager e avaliados em termos de compatibilidade, consulte gerir o acesso aos serviços do O365 para PCs geridos pelo System Center Configuration Manager.For information about conditional access on PCs that are managed with System Center Configuration Manager and evaluated for compliance, see Manage access to O365 services for PCs managed by System Center Configuration Manager.

Um fluxo típico de acesso condicional poderá ter o seguinte aspeto:A typical flow for conditional access might look as follows:

ConditionalAccess4

Utilize o acesso condicional para gerir o acesso aos seguintes serviços:Use conditional access to manage access to the following services:

  • Microsoft Exchange No LocalMicrosoft Exchange On-premises

  • Microsoft Exchange OnlineMicrosoft Exchange Online

  • Exchange Online DedicadoExchange Online Dedicated

  • SharePoint OnlineSharePoint Online

  • Skype para Empresas OnlineSkype for Business Online

  • Dynamics CRM OnlineDynamics CRM Online

    Para implementar o acesso condicional, configure dois tipos de políticas no Configuration Manager:To implement conditional access, you configure two policy types in Configuration Manager:

  • Aspolíticas de conformidade são políticas opcionais que pode implementar nas coleções de utilizadores e permitem avaliar definições como:Compliance policies are optional policies you can deploy to user collections and evaluate settings like:

    • Código de acessoPasscode

    • EncriptaçãoEncryption

    • Se o dispositivo está desbloqueado por jailbrake ou rootingWhether the device is jailbroken or rooted

    • Indica se o e-mail no dispositivo é gerido por uma política do Configuration Manager ou o IntuneWhether email on the device is managed by a Configuration Manager or Intune policy

      Se for implementada nenhuma política de conformidade num dispositivo, em seguida, as políticas de acesso condicional aplicáveis irão tratar o dispositivo como compatível.If no compliance policy is deployed to a device, then any applicable conditional access policies will treat the device as compliant.

  • Políticas de acesso condicional estão configuradas para um serviço específico e definem regras tais como o Azure Active Directory de grupos de utilizadores de segurança ou coleções de utilizadores do Configuration Manager serão visadas ou excluídos.Conditional access policies are configured for a particular service, and define rules such as which Azure Active Directory security user groups or Configuration Manager user collections will be targeted, or exempt.

    Configurar a política de acesso condicional do Exchange no local da consola do Configuration Manager.You configure the On-Premises Exchange conditional access policy from the Configuration Manager console. No entanto, quando configurar uma política de Exchange Online ou o SharePoint Online, esta ação abre a consola de administração do Intune onde pode configura a política.However, when you configure an Exchange Online or SharePoint Online policy, this opens the Intune admin console where you configure the policy.

    Ao contrário de outras políticas do Intune ou do Configuration Manager, o utilizador implementa políticas de acesso condicional.Unlike other Intune or Configuration Manager policies, you do not deploy conditional access policies. Em alternativa, configura estas políticas uma vez, e estas são aplicadas a todos os utilizadores visados.Instead, you configure these once, and they apply to all targeted users.

    Quando os dispositivos não cumprem as condições que configura, o utilizador é orientado através do processo de inscrição do dispositivo e da correção do problema que impede o dispositivo de ser compatível.When devices do not meet the conditions you configure, the user is guided though the process of enrolling the device and fixing the issue that prevents the device from being compliant.

Antes de começar a utilizar o acesso condicional, certifique-se de que tem o correto requisitos no local:Before you start using conditional access, ensure that you have the correct requirements in place:

Requisitos para o Exchange Online (utilizando o ambiente multi-inquilino partilhado)Requirements for Exchange Online (using the shared multi-tenant environment)

O acesso condicional para o Exchange Online suporta dispositivos que executam:Conditional access to Exchange Online supports devices that run:

  • Windows 8.1 e posterior (quando inscrito com o Intune)Windows 8.1 and later (when enrolled with Intune)
  • Windows 7.0 ou Windows 8.1 (quando associado a um domínio)Windows 7.0 or Windows 8.1 (when domain joined)
  • Windows Phone 8.1 e posteriorWindows Phone 8.1 and later
  • iOS 7.1 e posterioriOS 7.1 and later
  • Android 4.0 e posterior, Samsung KNOX Standard 4.0 e posteriorAndroid 4.0 and later, Samsung KNOX Standard 4.0 and later

    Além disso:Additionally:

  • Tem de ser dispositivos à área de trabalho associada, que regista o dispositivo com o serviço de registo de dispositivos de diretório Active Directory do Azure (AAD DRS).Devices must be workplace joined, which registers the device with the Azure Active Directory Device Registration Service (AAD DRS).
  • Os computadores que estiverem a um domínio têm de ser registados automaticamente no Azure Active Directory através de política de grupo ou MSI.Domain joined PCs must be automatically registered with Azure Active Directory through group policy or MSI.

    A secção Acesso condicional para computadores neste tópico descreve todos os requisitos para ativar o acesso condicional para um computador.The Conditional access for PCs section in this topic describes all the requirements for enabling conditional access for a PC.

    O AAD DRS será automaticamente ativado para os clientes do Intune e do Office 365.AAD DRS will be activated automatically for Intune and Office 365 customers. Os clientes que já implementaram o Serviço de Registos de Dispositivos do ADFS não verão dispositivos registados no respetivo Active Directory no local.Customers who have already deployed the ADFS Device Registration Service will not see registered devices in their on-premises Active Directory.

  • Tem de utilizar uma subscrição do Office 365 que inclua o Exchange Online (como o plano E3) e os utilizadores têm de estar licenciados para o Exchange Online.You must use an Office 365 subscription that includes Exchange Online (such as E3) and users must be licensed for Exchange Online.
  • O opcional conector do Exchange Server é opcional e liga o Configuration Manager ao Microsoft Exchange Online e ajuda-o a monitorizar informações de dispositivos através da consola do Configuration Manager (consulte gerir dispositivos móveis com o System Center Configuration Manager e o Exchange).The optional Exchange Server connector is optional and connects Configuration Manager to Microsoft Exchange Online and helps you monitor device information through the Configuration Manager console (see Manage mobile devices with System Center Configuration Manager and Exchange). Não tem de utilizar o conector para utilizar políticas de conformidade ou políticas de acesso condicional, mas é necessário executar relatórios que ajudam a avaliar o impacto do acesso condicional.You do not need to use the connector to use compliance policies or conditional access policies, but is required to run reports that help evaluate the impact of conditional access.

Requisitos para o Exchange Online dedicadoRequirements for Exchange Online Dedicated

O acesso condicional para o Exchange Online Dedicado suporta dispositivos que executam:Conditional access to Exchange Online Dedicated supports devices that run:

  • Windows 8 e posterior (quando inscrito com o Intune)Windows 8 and later (when enrolled with Intune)
  • Windows 7.0 ou Windows 8.1 (quando associado a um domínio)Windows 7.0 or Windows 8.1 (when domain joined)

    Acesso condicional a computadores associados a domínios apenas para inquilinos no novo ambiente dedicado do Exchange Online.Conditional access to domain joined PCs only to tenants in the new Exchange Online dedicated environment.

  • Windows Phone 8 e posteriorWindows Phone 8 and later
  • Todos os dispositivos iOS que utilizem um cliente de e-mail do Exchange ActiveSync (EAS)Any iOS device that uses an Exchange ActiveSync (EAS) email client
  • Android 4 e posterior.Android 4 and later.
  • Para inquilinos no ambiente Exchange Online dedicado legado:For tenants in the legacy Exchange Online Dedicated environment:

    Tem de utilizar o conector do Exchange Server que liga o Configuration Manager ao Microsoft Exchange no local.You must use the Exchange Server connector which connects Configuration Manager to Microsoft Exchange On-premises. Este procedimento permite-lhe gerir dispositivos móveis e ativa o acesso condicional (consulte Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange).This lets you manage mobile devices and enables conditional access (see Manage mobile devices with System Center Configuration Manager and Exchange).

  • Para inquilinos no novo ambiente Exchange Online dedicado:For tenants in the new Exchange Online Dedicated environment:
    O opcional conector do Exchange Server liga o Configuration Manager ao Microsoft Exchange Online e ajuda-o a gerir informações de dispositivos (consulte gerir dispositivos móveis com o System Center Configuration Manager e o Exchange).The optional Exchange Server connector connects Configuration Manager to Microsoft Exchange Online and helps you manage device information (see Manage mobile devices with System Center Configuration Manager and Exchange). Não tem de utilizar o conector para utilizar políticas de conformidade ou políticas de acesso condicional, mas é necessário executar relatórios que ajudam a avaliar o impacto do acesso condicional.You do not need to use the connector to use compliance policies or conditional access policies, but is required to run reports that help evaluate the impact of conditional access.

Requisitos para o Exchange no localRequirements for Exchange On-premises

O acesso condicional para o Exchange No Local suporta:Conditional access to Exchange On-premises supports:

  • Windows 8 e posterior (quando inscrito com o Intune)Windows 8 and later (when enrolled with Intune)
  • Windows Phone 8 e posteriorWindows Phone 8 and later
  • Aplicação de e-mail nativa no iOSNative email app on iOS
  • Aplicação de e-mail nativa no Android 4 ou posteriorNative email app on Android 4 or later
  • A aplicação Microsoft Outlook não é suportada (Android e iOS).Microsoft Outlook app is not supported (Android and iOS).

Além disso:Additionally:

  • Versão do Exchange tem de ser o Exchange 2010 ou posterior.Exchange version must be Exchange 2010 or later. Matriz de Servidor de Acesso de Cliente (CAS) do Exchange Server é suportada.Exchange server Client Access Server (CAS) array is supported.
Dica

Se o seu ambiente do Exchange estiver numa configuração de servidor CAS, tem de configurar o conector do Exchange no local para apontar para um dos servidores CAS.If your Exchange environment is in a CAS server configuration, then you must configure the on-premises Exchange connector to point to one of the CAS servers.

  • Tem de utilizar o conector do Exchange Server que liga o Configuration Manager ao Microsoft Exchange no local.You must use the Exchange Server connector which connects Configuration Manager to Microsoft Exchange On-premises. Este procedimento permite-lhe gerir dispositivos móveis e ativa o acesso condicional (consulte Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange).This lets you manage mobile devices and enables conditional access (see Manage mobile devices with System Center Configuration Manager and Exchange).
    • Certifique-se de que está a utilizar a versão mais recente do conector do Exchange no local.Make sure that you are using the latest version of the on-premises Exchange connector. O conector do Exchange no local deve ser configurado através da consola do Configuration Manager.The on-premises Exchange connector should be configured through the Configuration Manager console. Para obter instruções detalhadas, veja Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange.For a detailed walkthrough, see Manage mobile devices with System Center Configuration Manager and Exchange.
    • O conector tem de estar configurado apenas no Site Primário do System Center Configuration Manager.The connector must be configured only on the System Center Configuration Manager Primary Site.
    • Este conector suporta o ambiente do Exchange CAS.This connector supports Exchange CAS environment.
      Quando configurar o conector, tem de defini-lo para que comunique com um dos servidores do Exchange CAS.When configuring the connector, you must set it so it talk to the one of the Exchange CAS servers.
  • O Exchange ActiveSync pode ser configurado com a autenticação baseada em certificado ou com a entrada de credencial de utilizadorExchange ActiveSync can be configured with certificate based authentication, or user credential entry

Requisitos para o Skype para empresas OnlineRequirements for Skype for Business Online

O acesso condicional para o SharePoint Online suporta dispositivos que executam:Conditional access to SharePoint Online supports devices that run:

  • iOS 7.1 e posterioriOS 7.1 and later
  • Android 4.0 e posteriorAndroid 4.0 and later
  • Samsung KNOX Standard 4.0 ou posteriorSamsung KNOX Standard 4.0 or later

Além disso, tem de ativar a autenticação moderna do Skype para empresas Online.Additionally, you must enable modern authentication for Skype for Business Online. Preencha este formulário de ligação para ser inscrito no programa de autenticação moderna.Fill this connect form to be enrolled in the modern authentication program.

Todos os utilizadores finais devem utilizar o Skype para Empresas Online.All your end-users must be using the Skype for Business Online. Se tiver uma implementação com o Skype para Empresas Online e o Skype para Empresas no local, a política de acesso condicional não será aplicada aos utilizadores finais que estejam no âmbito da implementação no local.If you have a deployment with both Skype for Business Online and Skype for Business on-premises, conditional access policy will not be applied to end-users who are in the on-premises deployment.

Requisitos para o SharePoint OnlineRequirements for SharePoint Online

O acesso condicional para o SharePoint Online suporta dispositivos que executam:Conditional access to SharePoint Online supports devices that run:

  • Windows 8.1 e posterior (quando inscrito com o Intune)Windows 8.1 and later (when enrolled with Intune)
  • Windows 7.0 ou Windows 8.1 (quando associado a um domínio)Windows 7.0 or Windows 8.1 (when domain joined)
  • Windows Phone 8.1 e posteriorWindows Phone 8.1 and later
  • iOS 7.1 e posterioriOS 7.1 and later
  • Android 4.0 e posterior, Samsung KNOX Standard 4.0 e posteriorAndroid 4.0 and later, Samsung KNOX Standard 4.0 and later

    Além disso:Additionally:

  • Tem de ser dispositivos à área de trabalho associada, que regista o dispositivo com o serviço de registo de dispositivos de diretório Active Directory do Azure (AAD DRS).Devices must be workplace joined, which registers the device with the Azure Active Directory Device Registration Service (AAD DRS).

    Os computadores que estiverem a um domínio têm de ser registados automaticamente no Azure Active Directory através de política de grupo ou MSI.Domain joined PCs must be automatically registered with Azure Active Directory through group policy or MSI. A secção Acesso condicional para computadores neste tópico descreve todos os requisitos para ativar o acesso condicional para um computador.The Conditional access for PCs section in this topic describes all the requirements for enabling conditional access for a PC.

    O AAD DRS será automaticamente ativado para os clientes do Intune e do Office 365.AAD DRS will be activated automatically for Intune and Office 365 customers. Os clientes que já implementaram o Serviço de Registos de Dispositivos do ADFS não verão dispositivos registados no respetivo Active Directory no local.Customers who have already deployed the ADFS Device Registration Service will not see registered devices in their on-premises Active Directory.

  • É necessária uma subscrição do SharePoint Online e os utilizadores têm de estar licenciados para o SharePoint Online.A SharePoint Online subscription is required and users must be licensed for SharePoint Online.

    Acesso condicional para computadoresConditional access for PCs

    Pode configurar o acesso condicional para computadores que executem aplicações de ambiente de trabalho do Office para aceder ao Exchange Online e ao SharePoint Online para computadores que cumpram os requisitos seguintes:You can setup conditional access for PCs that run Office desktop applications to access Exchange Online and SharePoint Online for PCs that meet the following requirements:

  • O PC tem de estar em execução no Windows 7.0 ou Windows 8.1.The PC must be running Windows 7.0 or Windows 8.1.
  • O PC tem de ser um domínio associado ou em conformidade.The PC must either be domain joined or compliant.

    Para poder estar em conformidade, o PC tem de estar inscritos no Intune e cumprir as políticas.In order to be compliant, the PC must be enrolled in Intune and comply with the policies.

    Para um PC associado a um domínio, tem de defini-lo para registar automaticamente o dispositivo no Azure Active Directory.For domain joined PCs, you must set it up to automatically register the device with Azure Active Directory.

  • A Autenticação moderna do office 365 tem de estar ativada, e tem de ter instaladas todas as atualizações mais recentes do Office.Office 365 modern authentication must be enabled, and have all the latest Office updates.
    A autenticação moderna inclui o início de sessão baseado na Active Directory Authentication Library (ADAL) para clientes do Office 2013 Windows e permite uma maior segurança como multi-factor authenticatione autenticação baseada em certificado.Modern authentication brings Active Directory Authentication Library (ADAL) based sign-in to Office 2013 Windows clients and enables better security like multi-factor authentication, and certificate-based authentication.
  • Configure regras de afirmações do ADFS para bloquear protocolos de autenticação não moderna.Setup ADFS claims rules to block non-modern authentication protocols.

Passos SeguintesNext Steps

Leia os seguintes tópicos para saber como configurar as políticas de conformidade e as políticas de acesso condicional para o seu cenário necessário:Read the following topics to learn how to configure compliance policies and conditional access policies for your required scenario:

Consulte tambémSee also

Introdução às definições de compatibilidade no System Center Configuration ManagerGet started with compliance settings in System Center Configuration Manager