Gerir o acesso ao e-mail no System Center Configuration ManagerManage email access in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Utilização do System Center Configuration Manager o acesso condicional para gerir o acesso ao e-mail do Exchange com base em condições que especificar.Use System Center Configuration Manager conditional access to manage access to Exchange email based on conditions you specify.

Pode gerir o acesso ao:You can manage access to:

  • Microsoft Exchange No LocalMicrosoft Exchange On-premises

  • Microsoft Exchange OnlineMicrosoft Exchange Online

  • Exchange Online DedicadoExchange Online Dedicated

Pode controlar o acesso ao Exchange Online e ao Exchange No Local a partir do cliente de e-mail incorporado nas seguintes plataformas:You can control access to Exchange Online and Exchange On-premises from the built-in email client on the following platforms:

  • Android 4.0 e posterior, Samsung KNOX Standard 4.0 e posteriorAndroid 4.0 and later, Samsung KNOX Standard 4.0 and later

  • iOS 7.1 e posterioriOS 7.1 and later

  • Windows Phone 8.1 e posteriorWindows Phone 8.1 and later

  • Aplicação de correio no Windows 8.1 e posteriorMail application on Windows 8.1 and later

Aplicações de ambiente de trabalho do Office podem aceder ao Exchange Online em PCs a executar:Office desktop applications can access Exchange Online on PCs running:

Nota

PCs devem ser domínio associado ou ser conformidade com as políticas definidas no Intune.PCs should be domain joined or be complaint with the policies set in Intune.

Requisitos de dispositivoDevice requirements

Se configurar o acesso condicional, antes de um utilizador se poder ligar ao respetivo e-mail, o dispositivo que ele utiliza deve:If you configure conditional access, before a user can connect to their email, the device they use must:

  • Inscrito com o Intune ou PC associado a um domínio.Be enrolled with Intune or a domain joined PC.

  • Registar o dispositivo no Azure Active Directory (isto ocorre automaticamente quando o dispositivo é inscrito com o Intune (apenas para Exchange Online).Register the device in Azure Active Directory (this happens automatically when the device is enrolled with Intune (for Exchange Online only). Além disso, o ID do Exchange ActiveSync cliente tem de estar registado no Azure Active Directory (não se aplica a dispositivos Windows e Windows Phone que se liguem ao Exchange No Local).Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory (does not apply to Windows and Windows Phone devices connecting to Exchange On-premises).

    Para um PC associado a um domínio, tem de defini-lo para ser registado automaticamente no Azure Active Directory.For a domain joined PC, you must set it to automatically register with Azure Active Directory. A secção Acesso Condicional para PCs do tópico Gerir o acesso a serviços no System Center Configuration Manager apresenta uma lista do conjunto completo de requisitos para ativar o acesso condicional em PCs.Conditional Access for PCs section in the Manage access to services in System Center Configuration Manager topic lists the full set of requirements to enable conditional access for PCs.

  • Ser compatível com as políticas de conformidade do Configuration Manager implementadas nesse dispositivoBe compliant with any Configuration Manager compliance policies deployed to that device

    Se não for cumprida uma condição de acesso condicional, é apresentada ao utilizador uma das duas mensagens seguintes quando iniciar sessão:If a conditional access condition is not met, the user is presented with one of the following messages when they log in:

  • Se o dispositivo não estiver inscrito com o Intune ou não está registado no Azure Active Directory, será apresentada uma mensagem com instruções sobre como instalar a aplicação do portal da empresa, inscrever o dispositivo e (para dispositivos Android e iOS), ativar o e-mail, o qual associa o ID do Exchange ActiveSync ao registo do dispositivo no Azure Active Directory.If the device is not enrolled with Intune, or is not registered in Azure Active Directory, a message is displayed with instructions about how to install the company portal app, enroll the device, and (for Android and iOS devices), activate email, which associates the device's Exchange ActiveSync ID with the device record in Azure Active Directory.

  • Se o dispositivo não for conforme, será apresentada uma mensagem que direciona o utilizador para o portal web do Intune onde pode encontrar informações sobre o problema e como resolvê-lo.If the device is not compliant, a message is displayed that directs the user to the Intune web portal where they can find information about the problem and how to remediate it.

Para dispositivos móveis:For mobile devices:

Pode restringir o acesso ao Outlook Web Access (OWA) no Exchange Online quando o acesso for feito a partir de um browser em dispositivos iOS e Android .You can restrict access to Outlook Web Access (OWA) on Exchange Online when accessed from a browser on iOS and Android devices. O acesso só será permitido a partir de browsers suportados em dispositivos conformes:Access will only be allowed from only supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Managed Browser (iOS e Android)Managed Browser (iOS and Android)

Os browsers não suportados serão bloqueados. As aplicações do OWA para iOS e Android não são suportadas.Unsupported browsers will be blocked.The OWA apps for iOS and Android are not supported. Devem ser bloqueadas através de regras de afirmações do ADFS:They should be blocked through ADFS claims rules:

  • Configure regras de afirmações do ADFS para bloquear protocolos de autenticação não moderna.Setup ADFS claims rules to block non-modern authentication protocols. O cenário 3 - bloquear todos os acessos ao O365 exceto aplicações baseadas no browserfornece instruções detalhadas.Detailed instructions are provided in scenario 3 - block all access to O365 except browser based applications.

    Para PCs:For PCs:

  • Se o requisito de política de acesso condicional permitir a associação a um domínio ou a conformidade, será apresentada uma mensagem com instruções sobre como inscrever o dispositivo.If the conditional access policy requirement is to allow domain joined or compliant, a message with instructions about how to enroll the device is displayed. Se o PC não cumprir nenhum dos requisitos, será pedido ao utilizador para inscrever o dispositivo no Intune.If the PC does not meet either of the requirements, the user will be asked to enroll the device with Intune.

  • Se o requisito da política de acesso condicional estiver definido para permitir apenas dispositivos Windows associados a um domínio, o dispositivo será bloqueado e será apresentada uma mensagem para contactar o administrador de TI.If the conditional access policy requirement is set to allow only domain joined windows devices, the device is blocked and a message to contact the IT admin is displayed.

    Pode bloquear o acesso ao e-mail do Exchange no cliente de e-mail Exchange ActiveSync incorporado no dispositivo nas seguintes plataformas:You can block access to Exchange email from the devices built-in Exchange ActiveSync email client on the following platforms:

  • Android 4.0 e posterior, Samsung KNOX Standard 4.0 e posteriorAndroid 4.0 and later, Samsung KNOX Standard 4.0 and later

  • iOS 7.1 e posterioriOS 7.1 and later

  • Windows Phone 8.1 e posteriorWindows Phone 8.1 and later

  • A aplicação Correio no Windows 8.1 e posteriorThe Mail application on Windows 8.1 and later

    A aplicação Outlook para iOS e Android, e o Outlook Desktop 2013 e posterior é suportada apenas para o Exchange Online.Outlook app for iOS and Android, and Outlook desktop 2013 and above is supported for only Exchange Online.

    O conector do Exchange no local entre o Configuration Manager e o Exchange é necessário para o acesso condicional para o seu trabalho.The on-premises Exchange connector between Configuration Manager and Exchange is required for conditional access to work.

    Pode configurar uma política de acesso condicional para Exchange no local a partir da consola do Configuration Manager.You can configure a conditional access policy for Exchange On-premises from the Configuration Manager console. Quando configura uma política de acesso condicional para o Exchange Online, pode começar o processo na consola do Configuration Manager, que inicia a consola do Intune onde pode concluir o processo.When you configure a conditional access policy for Exchange Online, you can begin the process in the Configuration Manager console, which launches the Intune console where you can complete the process.

Configurar o acesso condicionalConfigure conditional access

Passo 1: Avaliar o efeito da política de acesso condicionalStep 1: Evaluate the effect of the conditional access policy

Assim que tiver configurado o conector do Exchange no local, pode utilizar o Gestor de configuraçãolista de dispositivos por Estado de acesso condicional relatório para identificar os dispositivos que serão impedidos de aceder ao Exchange após configurar a política de acesso condicional.Once you have configured the on-premises Exchange connector, you can use the Configuration ManagerList of devices by Conditional Access State report to identify devices that will be blocked from accessing Exchange after you configure the conditional access policy. Este relatório também requer:This report also requires:

  • Uma subscrição do IntuneA subscription to Intune

  • O ponto de ligação de serviço deve ser configurado e implementadoThe service connection point should be configured and deployed

    Nos parâmetros do relatório, selecione o grupo do Intune que pretende avaliar e, se necessário, as plataformas de dispositivos às quais será aplicada a política.In the report parameters, select the Intune group you want to evaluate and, if required, the device platforms to which the policy will apply.

    Para obter mais informações sobre como executar relatórios, veja Os relatórios do System Center Configuration Manager.For more information about how to run reports, see Reporting in System Center Configuration Manager.

    Depois de executar o relatório, examine estas quatro colunas para determinar se um utilizador será bloqueado:After you run the report, examine these four columns to determine whether a user will be blocked:

  • Canal de gestão -indica se o dispositivo é gerido pelo Intune, o Exchange ActiveSync ou ambos.Management Channel - Indicates whether the device is managed by Intune, Exchange ActiveSync, or both.

  • Registado no AAD -indica se o dispositivo está registado no Azure Active Directory (conhecido como associação).Registered with AAD - Indicates whether the device is registered with Azure Active Directory (known as Workplace Join).

  • Conformidade -indica se o dispositivo está em conformidade com as políticas de conformidade implementadas.Compliant - Indicates whether the device is compliant with any compliance policies you deployed.

  • Ativado EAS -dispositivos iOS e Android são necessários para que os respetivos ID do Exchange ActiveSync associado ao registo de registo do dispositivo no Azure Active Directory.EAS Activated - iOS and Android devices are required to have their Exchange ActiveSync ID associated with the device registration record in Azure Active Directory. Isto acontece quando o utilizador clica na ligação Ativar E-mail no e-mail de quarentena.This happens when the user clicks the Activate Email link in the quarantine email.

    Nota

    Os dispositivos Windows Phone apresentam sempre um valor nesta coluna.Windows Phone devices always display a value in this column.

    Os dispositivos que fazem parte de uma coleção ou grupo de destino serão impedidos de aceder ao Exchange, exceto se os valores da coluna corresponderem aos listados na seguinte tabela:Devices that are part of a targeted group or collection will be blocked from accessing Exchange unless the column values match those listed in the following table:

Canal de GestãoManagement channel Registado no AADAAD registered conformidadeCompliant EAS AtivadoEAS Activated Ação resultanteResulting action
Gerido pelo Microsoft Intune e pelo Exchange ActiveSyncManaged by Microsoft Intune and Exchange ActiveSync SimYes SimYes É apresentadoSim ou Não Yes or No is displayed Acesso ao e-mail permitidoEmail access allowed
Qualquer outro valorAny other value NãoNo NãoNo Não é apresentado nenhum valorNo value is displayed Acesso ao e-mail bloqueadoEmail access blocked

Pode exportar os conteúdos do relatório e utilizar a coluna Endereço de E-mail para ajudar a informar os utilizadores de que serão bloqueados.You can export the contents of the report and use the Email Address column to help you inform users that they will be blocked.

Passo 2: Configurar grupos de utilizadores ou de coleções para a política de acesso condicionalStep 2: Configure user groups or collections for the conditional access policy

O direcionamento de políticas de acesso condicional para diferentes coleções ou grupos de utilizadores depende dos tipos de políticas.You target conditional access policies to different groups or collections of users depending on the policy types. Estes grupos contêm os utilizadores que serão direcionados ou que estarão excluídos da política.These groups contain the users that will be targeted, or exempt from the policy. Quando um utilizador é direcionado por uma política, cada dispositivo que utiliza tem de estar em conformidade para poder aceder ao e-mail.When a user is targeted by a policy, each device they use must be compliant in order to access email.

  • Para a política do Exchange Online – para grupos de utilizadores de segurança do Azure Active Directory.For the Exchange Online policy - to Azure Active Directory security user groups. Pode configurar estes grupos no centro de administração do Office 365ou no portal de contas do Intune.You can configure these groups in the Office 365 admin center, or the Intune account portal.

  • Para a política do Exchange no local - Configuration Manager em coleções de utilizadores.For the Exchange On-premises policy - to Configuration Manager user collections. Pode configurá-los na área de trabalho Ativos e Compatibilidade .You can configure these in the Assets and Compliance workspace.

    Pode especificar dois tipos de grupos em cada política:You can specify two group types in each policy:

  • Grupos direcionados -grupos de utilizadores ou coleções para os quais é aplicada a políticaTargeted groups - User groups or collections to which the policy is applied

  • Grupos excluídos -grupos de utilizadores ou as coleções que estão excluídas da política (opcional)Exempted groups - User groups or collections that are exempt from the policy (optional)

    Se um utilizador estiver em ambos, estará excluído da política.If a user is in both, they will be exempt from the policy.

    Apenas os grupos ou coleções direcionados pela política de acesso condicional são avaliados para acesso ao Exchange.Only the groups or collections which are targeted by the conditional access policy are evaluated for Exchange access.

Passo 3: Configure e implemente uma política de conformidadeStep 3: Configure and deploy a compliance policy

Certifique-se de que criou e implementou uma política de conformidade em todos os dispositivos para os quais será direcionada a política de acesso condicional do Exchange.Ensure that you have created and deployed a compliance policy to all devices that the Exchange conditional access policy will be targeted to.

Para obter detalhes sobre como configurar a política de conformidade, veja Gerir políticas de conformidade no System Center Configuration Manager.For details about how to configure the compliance policy, see Manage device compliance policies in System Center Configuration Manager.

Importante

Se não tiver implementado uma política de conformidade e, em seguida, ativar uma política de acesso condicional do Exchange, todos os dispositivos direcionados terão permissão de acesso.If you have not deployed a compliance policy and then enable an Exchange conditional access policy, all targeted devices will be allowed access.

Quando estiver pronto, avance para o Passo 4.When you are ready, continue to Step 4.

Passo 4: Configurar a política de acesso condicionalStep 4: Configure the conditional access policy

Para o Exchange Online (e inquilinos no novo ambiente do Exchange Online Dedicado)For Exchange Online (and tenants in the new Exchange Online Dedicated environment)

Nota

Também pode criar a política de acesso condicional na consola de gestão do Azure AD.You can also create conditional access policy in the Azure AD management console. Consola de gestão do Azure AD permite-lhe criar políticas de acesso condicional (referidas como a política de acesso condicional baseada no dispositivo no Azure AD), além de outras políticas de acesso condicional, como a autenticação multifator de dispositivo do Intune.Azure AD management console allows you to create the Intune device conditional access policies (referred to as the device-based conditional access policy in Azure AD) in addition to other conditional access policies like multi-factor authentication. Também pode configurar políticas de acesso condicional para aplicações de empresa de terceiros como Salesforce e suporta a caixa que o Azure AD.You can also set conditional access policies for third-party Enterprise apps like Salesforce and Box that Azure AD supports. Para obter mais detalhes, consulte o artigo como definir a política de acesso condicional baseada no dispositivo do Azure Active Directory para controlo de acesso ao Azure Active Directory ligado aplicações.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory connected applications.

As políticas de acesso condicional para o Exchange Online utilizam o fluxo seguinte para avaliar se os dispositivos devem ser permitidos ou bloqueados.The following flow is used by conditional access policies for Exchange Online to evaluate whether to allow or block devices.

ConditionalAccess8-1

Para aceder ao e-mail, o dispositivo tem de:To access email, the device must:

  • Inscrever-se com o IntuneEnroll with Intune

  • PCs têm de estar associados a um domínio ou a ser inscritos e em conformidade com as políticas definidas no Intune.PCs must either be domain joined or be enrolled and compliant with the policies set in Intune.

  • Registar o dispositivo no Azure Active Directory (isto ocorre automaticamente quando o dispositivo é inscrito com o Intune.Register the device in Azure Active Directory (this happens automatically when the device is enrolled with Intune.

    Para um PC associado a um domínio, tem de defini-lo para registar automaticamente o dispositivo no Azure Active Directory.For domain joined PCs, you must set it up to automatically register the device with Azure Active Directory.

  • Ter o e-mail ativado, que associa o ID do Exchange ActiveSync ao registo do dispositivo no Azure Active Directory (aplica-se a dispositivos iOS e Android apenas).Have activated email, which associates the device's Exchange ActiveSync ID with the device record in Azure Active Directory (applies to iOS and Android devices only).

  • Ser compatível com todas as políticas de conformidade implementadasBe compliant with any deployed compliance policies

    O estado do dispositivo é armazenado no Azure Active Directory, o qual concede ou bloqueia o acesso ao e-mail, com base nas condições avaliadas.The device state is stored in Azure Active Directory which grants or blocks access to email, based on the evaluated conditions.

    Se não for cumprida uma condição, será apresentada ao utilizador uma das duas mensagens seguintes quando iniciar sessão:If a condition is not met, the user will be presented with one of the following messages when they log in:

  • Se o dispositivo não estiver inscrito ou registado no Azure Active Directory, será apresentada uma mensagem com instruções sobre como instalar a aplicação do portal da empresa e inscrevê-laIf the device is not enrolled, or registered in Azure Active Directory, a message is displayed with instructions about how to install the company portal app and enroll

  • Se o dispositivo não for conforme, será apresentada uma mensagem que direciona o utilizador para o site do Portal de empresa do Intune ou a aplicação de Portal da empresa onde é possível localizar informações sobre o problema e como resolvê-lo.If the device is not compliant, a message is displayed that directs the user to the Intune Company Portal website or the Company Portal app where they can find information about the problem and how to remediate it.

  • Num PC:For a PC:

    • Se a política estiver definida para exigir a associação a um domínio e o PC não estiver associado a qualquer domínio, será apresentada uma mensagem para contactar o administrador de TI.If the policy is set to require domain join, and the PC is not domain joined, a message is displayed to contact the IT admin.

    • Se a política estiver definida para exigir a associação a um domínio ou estar em conformidade, o PC não cumpre nenhum dos requisitos e será apresentada uma mensagem com instruções sobre como instalar o portal da empresa e inscrevê-lo.If the policy is set to require domain join or compliant, then the PC does not meet either requirement, a message is displayed with instructions about how to install the company portal app and enroll.

    A mensagem é apresentada no dispositivo para os utilizadores do Exchange Online e os inquilinos no novo ambiente do Exchange Online Dedicado e é enviada para a caixa de entrada de e-mail dos utilizadores do Exchange No Local e dos dispositivos legados do Exchange Online Dedicado.The message is displayed on the device for Exchange Online users and tenants in the new Exchange Online Dedicated environment, and is delivered to the users email inbox for Exchange On-premises and legacy Exchange Online Dedicated devices.

Nota

Substituição de regras de acesso condicional, o Configuration Manager permitem, bloqueiam e colocam em quarentena regras que são definidas na consola de administração do Exchange Online.Configuration Manager conditional access rules override, allow, block and quarantine rules that are defined in the Exchange Online admin console.

Nota

A política de acesso condicional deve ser configurada na consola do Intune.Conditional access policy must be configured in the Intune console. Os seguintes passos começam por aceder à consola do Intune através do Configuration Manager.The following steps begin by accessing the Intune console through Configuration Manager. Se lhe for solicitado, inicie sessão com as mesmas credenciais que foram utilizadas para configurar o ponto de ligação do serviço entre o Configuration Manager e o Intune.If prompted, log in using the same credentials that were used to set up the service connection point between Configuration Manager and Intune.

Para ativar a política do Exchange OnlineTo enable the Exchange Online policy
  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.In the Configuration Manager console, click Assets and Compliance.

  2. Expanda Definições de Compatibilidade, expanda Acesso Condicionale, em seguida, clique em Exchange Online.Expand Compliance Settings, expand Conditional Access, and then click Exchange Online.

  3. No separador Início , no grupo Ligações , clique em Configurar Política de Acesso Condicional na Consola do Intune.On the Home tab, in the Links group, click Configure Conditional Access Policy in the Intune Console. Poderá ter de fornecer o nome de utilizador e palavra-passe da conta utilizada para ligar o Configuration Manager com qualquer administrador global para o serviço Intune.You might need to provide the user name and password of the account used to connect Configuration Manager with any global administrator for the Intune service.

    Abre a consola de administração do Intune.The Intune admin console opens.

  4. Na consola de administração do Microsoft Intune, clique em Política > Acesso Condicional > Política do Exchange Online.In the Microsoft Intune administration console, click Policy > Conditional Access > Exchange Online Policy.

    HybridOnlineSetupIntune

  5. Na página Política do Exchange Online , selecione Ativar política de acesso condicional no Exchange Online.On the Exchange Online Policy page, select Enable conditional access policy for Exchange Online. Se selecionar esta opção, o dispositivo tem de estar em conformidade.If you check this, the device must be compliant. Se não estiver selecionada, o acesso condicional não é aplicado.If this is not checked then conditional access is not applied.

    Nota

    Se não tiver implementado uma política de conformidade e, em seguida, ativar a política do Exchange Online, todos os dispositivos direcionados serão comunicados como estando em conformidade.If you have not deployed a compliance policy and then enable the Exchange Online policy, all targeted devices are reported as compliant.

    Independentemente do Estado de conformidade, será exigido a todos os utilizadores direcionados pela política de inscrever os respetivos dispositivos com o Intune.Regardless of the compliance state, all users who are targeted by the policy will be required to enroll their devices with Intune.

  6. Em Acesso da aplicação, para o Outlook e outras aplicações com autenticação moderna, pode optar por restringir o acesso apenas a dispositivos em conformidade com cada plataforma.Under Application access, for outlook and other apps using modern authentication, you can choose to restrict access only to devices that are compliant for each platform. Os dispositivos Windows têm de estar associados a um domínio ou inscritos no Intune e em conformidade.Windows devices must either be domain joined, or be enrolled in Intune and compliant.

    Dica

    A Autenticação moderna fornece um início de sessão baseado na ADAL (Active Directory Authentication Library) aos clientes do Office.Modern authentication brings Active Directory Authentication Library (ADAL)-based sign in to Office clients.

    • A autenticação baseada na ADAL permite que os clientes do Office participem na autenticação baseada no browser (também conhecido como autenticação passiva).The ADAL based authentication enables Office clients to engage in browser-based authentication (also known as passive authentication). Para autenticar, o utilizador é direcionado para uma página Web de início de sessão.To authenticate, the user is directed to a sign-in web page.

      • Este novo método de início de sessão permite novos cenários, como o acesso condicional, com base na conformidade do dispositivo e no facto de a autenticação multifator ter sido ou não executada.This new sign-in method enables new scenarios such as, conditional access, based on device compliance and whether multi-factor authentication was performed.

      Este artigo tem informações mais detalhadas sobre como funciona a autenticação moderna.This article has more detailed information on how modern authentication works.

    Utilizar o Exchange Online com o Configuration Manager e o Intune não só pode gerir dispositivos móveis com acesso condicional, mas também com computadores de secretária.Using Exchange Online with Configuration Manager and Intune, you can not only manage mobile devices with conditional access, but also desktop computers as well. Os PCs têm de estar associados a um domínio ou inscritos no Intune e em conformidade.PCs must either be domain joined, or be enrolled in Intune and compliant. Pode definir os seguintes requisitos:You can set the following requirements:

    • Os dispositivos têm de estar associados a um domínio ou em conformidade.Devices must be domain joined or compliant. Os PC têm de estar associados a um domínio ou em conformidade com as políticas.PCs must either be domain joined or compliant with the policies. Se o PC não cumprir nenhum destes requisitos, solicitadas ao utilizador para inscrever o dispositivo no Intune.If a PC does not meet either of these requirements, the user is prompted to enroll the device with Intune.

    • Os dispositivos têm de estar associados a um domínio.Devices must be domain joined. Os PC têm de estar associados a um domínio para acederem ao Exchange Online.PCs must be domain joined to access Exchange Online. Se o PC não estiver associado a um domínio, o acesso ao e-mail é bloqueado e é pedido ao utilizador para contactar o administrador de TI.If a PC is not domain joined, access to email is blocked and the user is prompted to contact the IT admin.

    • Os dispositivos têm de estar em conformidade.Devices must be compliant. PCs têm de estar inscritos no Intune e em conformidade.PCs must be enrolled in Intune and compliant. Se um PC não estiver inscrito, será apresentada uma mensagem com instruções sobre como inscrevê-lo.If a PC is not enrolled, a message with instructions on how to enroll is displayed.

  7. Em acesso web do Outlook (OWA), pode optar por permitir acesso ao Exchange Online apenas através de browsers suportados: Safari (iOS) e no Chrome (Android).Under Outlook web access (OWA), you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS), and Chrome (Android). O acesso a partir de outros browsers será bloqueado.Access from other browsers will be blocked. As mesmas restrições de plataforma que selecionou para Acesso da aplicação para o Outlook também se aplicam aqui.The same platform restrictions you selected for Application access for Outlook also apply here.

    Em dispositivos Android , os utilizadores têm de ativar o acesso ao browser.On Android devices, users must enable the browser access. Para efetuar esta ação do utilizador final tem de ativar a opção "Ativar o acesso ao Browser" nos dispositivos da seguinte forma:To do this the end-user must enable the "Enable Browser Access" option on the enrolled device as follows:

    1. Inicie a aplicação Portal da Empresa.Launch the Company Portal app.
    2. Aceda ao definições página a partir de pontos triplo (…) ou o botão do menu de hardware.Go to the Settings page from the triple dots (...) or the hardware menu button.

      1. Prima o botão Ativar acesso ao browser .Press the Enable Browser Access button.
      2. No browser Chrome, termine sessão no Office 365 e reinicie o Chrome.In the Chrome browser, sign out of Office 365 and restart Chrome.

      Nas plataformas iOS e Android , para identificar o dispositivo que é utilizado para aceder ao serviço, o Azure Active Directory emitirá um certificado Transport Layer Security (TLS) para o dispositivo.On iOS and Android platforms, To identify the device that is used to access the service, Azure Active Directory will issue a Transport layer security ( TLS) certificate to the device. O dispositivo apresenta o certificado com uma linha de comandos ao utilizador final para selecionar o certificado, tal como mostram as capturas de ecrã abaixo.The device displays the certificate with a prompt to the end-user to select the certificate as seen in the screenshots below. O utilizador final tem de selecionar este certificado para poder continuar a utilizar o browser.The end-user must select this certificate before they can continue to use the browser.

      iOSiOS

      captura de ecrã da linha de comandos do certificado num ipad

    AndroidAndroid

    captura de ecrã da linha de comandos do certificado num dispositivo Android

  8. Emaplicações de correio do Exchange ActiveSync, pode optar por bloquear o acesso do e-mail ao Exchange Online se o dispositivo não estiver em conformidade e selecionar se pretende permitir ou bloquear o acesso ao e-mail quando não for possível ao Intune gerir o dispositivo.ForExchange ActiveSync mail apps, you can choose to block email from accessing Exchange Online if the device is noncompliant, and select whether to allow or block access to email when Intune cannot manage the device.

  9. Em Grupos Visados, selecione os grupos de segurança do Active Directory dos utilizadores aos quais será aplicada a política.Under Targeted Groups, select the Active Directory security groups of users to which the policy will apply.

    Nota

    Para utilizadores que estão nos grupos de Destino, as políticas do Intune irão substituir as regras e as políticas do Exchange.For users that are in the Targeted groups, the Intune polices will replace Exchange rules and policies.

    O Exchange só irá impor permissões, bloqueios, regras de quarentena e políticas do Exchange se:Exchange will only enforce Exchange allow, block and quarantine rules, and Exchange policies if:

    • O utilizador não estiver licenciado para o Intune.The user is not licensed for Intune.
      • O utilizador estiver licenciado para o Intune, mas não pertencer a quaisquer grupos de segurança direcionados na política de acesso condicional.The user is licensed for Intune, but the user does not belong to any security groups targeted in the conditional access policy.
  10. Em Grupos Excluídos, selecione os grupos de segurança do Active Directory dos utilizadores que estão excluídos desta política.Under Exempted Groups, select the Active Directory security groups of users that are exempt from this policy. Se um utilizador estiver em ambos os grupos, estará excluído da política e terá acesso ao respetivo e-mail.If a user is in both the targeted and exempted groups, they will be exempt from the policy and will have access to their email.

  11. Quando terminar, clique em Guardar.When you are finished, click Save.

  • Não tem de implementar a política de acesso condicional, pois esta entra em vigor imediatamente.You do not have to deploy the conditional access policy; it takes effect immediately.

  • Depois de um utilizador criar uma conta de e-mail, o dispositivo é bloqueado de imediato.After a user creates an email account, the device is blocked immediately.

  • Se um utilizador bloqueado inscreve o dispositivo no Intune (ou corrigir a não conformidade), acesso ao e-mail é desbloqueado em dois minutos.If a blocked user enrolls the device with Intune (or remediates noncompliance), email access is unblocked within 2 minutes.

  • Se o utilizador anular a inscrição do respetivo dispositivo, o e-mail é bloqueado após aproximadamente 6 horas.If the user un-enrolls their device, email is blocked after about 6 hours.

Para o Exchange no local (e inquilinos no ambiente legado do Exchange Online Dedicado)For Exchange on-premises (and tenants in the legacy Exchange Online Dedicated environment)

As políticas de acesso condicional para o Exchange no local e os inquilinos no ambiente legado do Exchange Online Dedicado utilizam o fluxo seguinte para avaliar se os dispositivos devem ser permitidos ou bloqueados.The following flow is used by conditional access policies for Exchange on-premises and tenants in the legacy Exchange Online Dedicated environment to evaluate whether to allow or block devices.

ConditionalAccess8-2

Para ativar a política do Exchange No LocalTo enable the Exchange On-premises policy
  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.In the Configuration Manager console, click Assets and Compliance.

  2. Expanda Definições de Compatibilidade, expanda Acesso Condicionale, em seguida, clique em Exchange no Local.Expand Compliance Settings, expand Conditional Access, and then click On-Premises Exchange.

  3. No separador Home Page , no grupo Exchange no Local , clique em Configurar Política de Acesso Condicional.On the Home tab, in the On-Premises Exchange group, click Configure Conditional Access Policy.

  4. A partir da versão 1602 do Configuration Manager, na página Geral do Assistente para Configurar Política de Acesso Condicional, especifique se pretende substituir a regra predefinida do Exchange Active Sync.Beginning in version 1602 of Configuration Manager, On the General page of the Configure Conditional Access Policy Wizard, specify whether you want to override the Exchange Active Sync default rule. Clique nesta opção se pretender que os dispositivos inscritos e compatíveis tenham sempre acesso ao e-mail, mesmo quando a regra predefinida está definida para colocar em quarentena ou bloquear o acesso.Click this option if you want enrolled and compliant devices to always have access to email, even when the default rule is set to quarantine or block access.

    Nota

    Ocorreu um problema com a substituição predefinida de dispositivos Android.There is an issue with the default override for Android devices. Se a regra de acesso predefinida do Exchange Server estiver definida como Bloquear e a política de acesso condicional do Exchange estiver ativada com a opção de substituição de regras predefinida, os dispositivos Android dos utilizadores visados podem não ficar desbloqueados, mesmo depois de os dispositivos estarem inscritos no Intune e estarem em conformidade.If the default access rule of the Exchange server is set to Block and the Exchange conditional access policy is enabled with the default rule override option, then the Android devices of the targeted users may not get unblocked even after the devices are Intune enrolled and compliant. Para resolver este problema, defina a regra de acesso predefinida do Exchange como Quarentena.To workaround this issue, set the Exchange default access rule to Quarantine. O dispositivo não consegue aceder ao Exchange por predefinição e o administrador pode obter um relatório do servidor do Exchange na lista dos dispositivos que estão a ser colocados em quarentena.The device does not get access to Exchange by default, and the administrator can get a report from the Exchange server on the list of devices that are being quarantined.

    Se não tiver configurado uma conta de e-mail de notificação quando configurar o Exchange Connector, será apresentado um aviso nesta página e o botão Seguinte é desativado.If you have not setup a notification email account when you set up the Exchange connector, you will see a warning on this page, and the Next button is disabled. Para poder continuar, tem primeiro de configurar as definições de e-mail de notificação no Exchange Connector e, em seguida, voltar ao Assistente para Configurar Política de Acesso Condicional para concluir o processo.Before you can proceed, you must first configure the notification email settings in the Exchange Connector and then come back to the Configure Conditional Access Policy Wizard to complete the process.

    HybridCondAccessWiz1

    Clique em Seguinte.Click Next.

  5. Na página Coleções Direcionadas , adicione uma ou mais coleções de utilizadores.On the Targeted Collections page, add one or more user collections. Para aceder ao Exchange, os utilizadores nestas coleções tem de inscrever os respetivos dispositivos com o Intune e também estar em conformidade com as políticas de conformidade implementadas.In order to access Exchange, users in these collections must enroll their devices with Intune and also be compliant with any compliance policies you deployed.

    HybridCondAccessWiz2

    Clique em Seguinte.Click Next.

  6. Na página Coleções Isentas , adicione as coleções de utilizadores que pretende isentar da política de acesso condicional.On the Exempted Collections page, add any user collections that you want to be exempt from the conditional access policy. Utilizadores estes grupos, não precisa de inscrever os respetivos dispositivos com o Intune não precisam de estar em conformidade com as políticas de conformidade implementadas para aceder ao Exchange.Users in these groups, do not need to enroll their devices with Intune and do not need to be compliant with any deployed compliance policies in order to access Exchange.

    HybridCondAccessWiz3

    Se um utilizador aparecer em ambos os grupos, estará excluído da política de acesso condicional.If a user appears in both the targeted and exempted lists, they will be exempt from the conditional access policy.

    Clique em Seguinte.Click Next.

  7. No notificação do utilizador editar página, configure o e-mail que o Intune envia aos utilizadores com instruções sobre como desbloquear o dispositivo (além de mensagem de correio eletrónico enviada pelo Exchange).On the Edit User Notification page, configure the email that Intune sends to users with instructions about how to unblock their device (in addition to the email that Exchange sends).

    Pode editar a mensagem predefinida e utilizar tags de HTML para formatar a apresentação do texto.You can edit the default message and use HTML tags to format how the text appears. Também pode enviar uma mensagem de e-mail antecipadamente aos seus funcionários para notificá-los sobre alterações futuras e fornecer-lhes instruções sobre como inscrever os respetivos dispositivos.You can also send an email in advance to your employees notifying them of the upcoming changes and providing them with instructions about enrolling their devices.

    HybridCondAccessWiz4

    Nota

    Como o e-mail de notificação do Intune com as instruções de correção é enviado para a caixa de correio do Exchange do utilizador, no caso do dispositivo do utilizador ficar bloqueado antes de receber a mensagem de correio eletrónico, estes podem utilizar um dispositivo desbloqueado ou outro método para aceder ao Exchange e ver a mensagem.Because the Intune notification email containing remediation instructions is delivered to the user's Exchange mailbox, in the event that the user's device gets blocked before they receive the email message, they can use an unblocked device or other method to access Exchange and view the message.

    Nota

    Para o Exchange poder enviar o e-mail de notificação, tem de configurar a conta que será utilizada para enviá-lo.In order for Exchange to be able to send the notification email, you must configure the account that will be used to send the notification email. Pode efetuar esta ação quando configurar as propriedades do conector do Exchange Server.You do this when you configure the properties of the Exchange Server connector.

    Para obter detalhes, veja Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange.For details, see Manage mobile devices with System Center Configuration Manager and Exchange.

    Clique em Seguinte.Click Next.

  8. Na página Resumo , verifique as definições e, em seguida, feche o assistente.On the Summary page, review your settings, and then complete the wizard.

  • Não tem de implementar a política de acesso condicional, pois esta entra em vigor imediatamente.You do not have to deploy the conditional access policy, it takes effect immediately.

  • Depois de um utilizador configura um perfil do Exchange ActiveSync, pode demorar entre 1 a 3 horas até o dispositivo ser bloqueado (se não for gerido pelo Intune).After a user sets up an Exchange ActiveSync profile, it might take from 1-3 hours for the device to be blocked (if it is not managed by Intune).

  • Se um utilizador bloqueado, em seguida, inscreve o dispositivo no Intune (ou corrigir a não conformidade), acesso ao e-mail será desbloqueado em dois minutos.If a blocked user then enrolls the device with Intune (or remediates noncompliance), email access will be unblocked within 2 minutes.

  • Se o utilizador anular-inscrição do Intune, pode demorar entre 1 a 3 horas até o dispositivo ser bloqueado.If the user un-enrolls from Intune it might take from 1-3 hours for the device to be blocked.

Consulte tambémSee also

Gerir o acesso aos serviços no System Center Configuration ManagerManage access to services in System Center Configuration Manager