Gerir o acesso ao SharePoint Online no System Center Configuration ManagerManage SharePoint Online access in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

A política de acesso condicional do Configuration Manager para SharePoint Online gere o acesso ao OneDrive para ficheiros de negócio, que são armazenados no SharePoint Online.The Configuration Manager conditional access policy for SharePoint Online manages access to OneDrive for Business files, which are stored on SharePoint Online. Acesso é com base nas condições que especificar.Access is based on conditions you specify. Pode controlar o acesso ao SharePoint Online a partir das seguintes aplicações para as plataformas indicadas:You can control access to SharePoint Online from the following apps for the listed platforms:

  • Microsoft Office Mobile (Android)Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)Microsoft OneDrive (Android and iOS)

  • Microsoft Word (Android e iOS)Microsoft Word (Android and iOS)

  • Microsoft Excel (Android e iOS)Microsoft Excel (Android and iOS)

  • Microsoft PowerPoint (Android e iOS)Microsoft PowerPoint (Android and iOS)

  • Microsoft OneNote (Android e iOS)Microsoft OneNote (Android and iOS)

Aplicações de ambiente de trabalho do Office podem aceder ao SharePoint Online em computadores que executam:Office desktop applications can access SharePoint Online on PCs running:

Nota

Os computadores devem estar associados a um domínio ou em conformidade com as políticas definidas no Intune.PCs should be domain joined or be complaint with the policies set in Intune.

Quando um utilizador direcionado se tentar ligar a um ficheiro através de uma aplicação suportada, como o OneDrive no respetivo dispositivo, ocorre a seguinte avaliação:When a targeted user tries to connect to a file using a supported app such as OneDrive on their device, the following evaluation occurs:

ConditionalAccess8-6

Para ligar aos ficheiros necessários, o dispositivo com o OneDrive tem de:To connect to the required files, the device running OneDrive must:

  • Estar inscrito no Microsoft Intune ou PC associado a um domínio.Be enrolled with Microsoft Intune or a domain joined PC.

  • Registe o dispositivo no Azure Active Directory (Azure AD).Register the device in Azure Active Directory (Azure AD). Este registo ocorre automaticamente quando o dispositivo é inscrito no Intune.This registration happens automatically when the device is enrolled with Intune.

    Para PCs associados a um domínio, tem de defini-lo até registar automaticamente com o Azure AD.For domain joined PCs, you must set it up to automatically register with Azure AD.

  • Ser compatível com todas políticas de conformidade implementadas do Configuration ManagerBe compliant with any deployed Configuration Manager compliance policies

    Azure AD armazena o estado do dispositivo.Azure AD stores the device state. -Concede ou bloqueia o acesso aos ficheiros, com base nas condições que especificar.It grants or blocks access to the files, based on the conditions you specify.

    Se não está cumprida uma condição, o utilizador é apresentado uma das seguintes mensagens quando iniciar sessão:If a condition isn't met, the user is presented with one of the following messages when they log in:

  • Se o dispositivo não estiver inscrito no Intune ou não está registado no Azure AD, é apresentada uma mensagem com instruções sobre como instalar a aplicação Portal da empresa e inscrevê-lo.If the device isn't enrolled with Intune, or isn't registered in Azure AD, a message is displayed with instructions about how to install the Company Portal app and enroll.

  • Se o dispositivo não estiver em conformidade, é apresentada uma mensagem que direciona o utilizador para o portal web do Intune.If the device isn't compliant, a message is displayed that directs the user to the Intune web portal. Não existe é possível localizar informações sobre o problema e como resolvê-lo.There they can find information about the problem, and how to remediate it.

  • Para dispositivos móveis:For mobile devices:

    Pode restringir o acesso ao SharePoint Online quando acede a partir de um browser no iOS e Android dispositivos.You can restrict access to SharePoint Online when accessed from a browser on iOS and Android devices. Acesso só é permitido aos browsers suportados em dispositivos compatíveis:Access is only allowed from supported browsers on compliant devices:

    • Safari (iOS)Safari (iOS)
    • Chrome (Android)Chrome (Android)
    • Managed Browser (iOS e Android)Managed Browser (iOS and Android)

      Os browsers não suportados estão bloqueados.Unsupported browsers are blocked.

  • Num PC:For a PC:

    • Se a política estiver definida para exigir a associação de domínio e o PC não estiver associado a um domínio, será apresentada uma mensagem para contactar o administrador de TI.If the policy is set to require domain join, and the PC isn't domain joined, a message is displayed to contact the IT admin.

    • Se a política estiver definida para exigir a associação de domínio ou em conformidade e o PC não cumpre nenhum dos requisitos, será apresentada uma mensagem com instruções sobre como instalar a aplicação Portal da empresa e inscrevê-lo.If the policy is set to require domain join or compliant, and the PC doesn't meet either requirement, a message is displayed with instructions about how to install the Company Portal app and enroll.

Pode bloquear o acesso ao SharePoint Online a partir das seguintes aplicações:You can block access to SharePoint Online from the following apps:

  • Microsoft Office Mobile (Android)Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)Microsoft OneDrive (Android and iOS)

  • Microsoft Word (Android e iOS)Microsoft Word (Android and iOS)

  • Microsoft Excel (Android e iOS)Microsoft Excel (Android and iOS)

  • Microsoft PowerPoint (Android e iOS)Microsoft PowerPoint (Android and iOS)

  • Microsoft OneNote (Android e iOS)Microsoft OneNote (Android and iOS)

Configurar o acesso condicional do SharePoint OnlineConfigure conditional access for SharePoint Online

Passo 1: Configurar grupos de segurança do Active DirectoryStep 1: Configure Active Directory security groups

Antes de começar, configure grupos de segurança do Azure AD para a política de acesso condicional.Before you start, configure Azure AD security groups for the conditional access policy. Pode configurar estes grupos no centro de administração do Office 365ou no portal de contas do Intune.You can configure these groups in the Office 365 admin center, or the Intune account portal. Estes grupos incluem os utilizadores que são direcionados ou excluídos da política.These groups include the users that are targeted, or exempt from the policy. Quando um utilizador é direcionado por uma política, cada dispositivo que utiliza tem de estar em conformidade para aceder a recursos.When a user is targeted by a policy, each device they use must be compliant to access resources.

Pode especificar dois tipos de grupos numa política do SharePoint Online:You can specify two group types in a SharePoint Online policy:

  • Grupos direcionados: Contém os grupos de utilizadores aos quais se aplica a políticaTargeted groups: Contains groups of users to which the policy applies

  • Grupos excluídos: Contém os grupos de utilizadores excluídos da política (opcional)Exempted groups: Contains groups of users that are exempt from the policy (optional)

    Se um utilizador estiver em ambos os grupos, está excluídos da política.If a user is in both groups, they're exempt from the policy.

Passo 2: Configurar e implementar uma política de conformidadeStep 2: Configure and deploy a compliance policy

Criar e implementar uma política de conformidade em todos os dispositivos nos quais a política do SharePoint Online de destino.Create and deploy a compliance policy to all devices to which you target the SharePoint Online policy.

Nota

Enquanto as políticas de conformidade são implementadas nos grupos do Intune ou coleções do Configuration Manager, as políticas de acesso condicional são direcionadas para grupos de segurança do Azure AD.While compliance policies are deployed to Intune groups, or Configuration Manager collections, conditional access policies are targeted to Azure AD security groups.

Para obter detalhes sobre como configurar a política de conformidade, veja Gerir políticas de conformidade no System Center Configuration Manager.For details about how to configure the compliance policy, see Manage device compliance policies in System Center Configuration Manager.

Importante

Se ainda não implementado uma política de conformidade e, em seguida, ative a política do SharePoint Online, todos os dispositivos visados são permissão de acesso.If you haven't deployed a compliance policy, and then enable the SharePoint Online policy, all targeted devices are allowed access.

Passo 3: Configurar a política do SharePoint OnlineStep 3: Configure the SharePoint Online policy

Em seguida, configure a política para exigir que apenas os dispositivos geridos e em conformidade podem aceder ao SharePoint Online.Next, configure the policy to require that only managed and compliant devices can access SharePoint Online. Esta política é armazenada no Azure AD.This policy is stored in Azure AD.

Nota

Também pode criar política de acesso condicional na consola de gestão do Azure AD.You can also create conditional access policy in the Azure AD management console. A consola de gestão do Azure AD permite-lhe criar as políticas de acesso condicional de dispositivos do Intune.The Azure AD management console allows you to create the Intune device conditional access policies. Azure AD se refere a estas políticas como a política de acesso condicional baseado no dispositivo.Azure AD refers to these policies as the device-based conditional access policy. Também pode criar outras políticas de acesso condicional, como a autenticação multifator.You can also create other conditional access policies, like multi-factor authentication. No portal, pode definir políticas de acesso condicional para aplicações da empresa de terceiros que suporte do Azure AD, como o Salesforce e caixa.In the portal, you can set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. Para obter mais informações, consulte como definir a política de acesso condicional baseado no dispositivo do Azure AD para o controlo de acesso para o Azure AD ligado aplicações.For more information, see How to set Azure AD device-based conditional access policy for access control to Azure AD connected applications.

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.In the Configuration Manager console, click Assets and Compliance.

  2. Selecione ativar política de acesso condicional do SharePoint Online.Select Enable conditional access policy for SharePoint Online.

    IntuneSASharePointOnlineCAPolicy

  3. Em Acesso de aplicação, para o Outlook e aplicações que utilizam a autenticação moderna, pode optar por restringir o acesso apenas a dispositivos que estejam em conformidade em cada plataforma.Under Application access for Outlook and apps that use modern authentication, you can choose to restrict access to only devices that are compliant for each platform.

    Dica

    A autenticação moderna coloca baseada no Active Directory Authentication Library ADAL início de sessão para os clientes do Office.Modern authentication brings Active Directory Authentication Library (ADAL)-based sign-in to Office clients.

    • A autenticação baseada na ADAL permite que os clientes do Office participem na autenticação baseada no browser (também conhecido como autenticação passiva).The ADAL-based authentication enables Office clients to engage in browser-based authentication (also known as passive authentication). Para autenticar, o utilizador é direcionado para uma página Web de início de sessão.To authenticate, the user is directed to a sign-in web page.

      • Este novo método de início de sessão permite novos cenários, como o acesso condicional baseado num conformidade do dispositivoe se autenticação multifator foi efetuada.This new sign-in method enables new scenarios like conditional access based on device compliance, and whether multi-factor authentication was performed.

      Para obter mais informações, consulte como a autenticação moderna funciona para aplicações de cliente do Office 2013 e Office 2016.For more information, see How modern authentication works for Office 2013 and Office 2016 client apps.

    Para windows PCs, o PC tem de ser um domínio associado ou inscritos no Intune e em conformidade.For windows PCs, the PC must either be domain joined, or enrolled with Intune and compliant. Pode definir os seguintes requisitos:You can set the following requirements:

    • Dispositivos têm de ser um domínio associado ou em conformidade: O PC tem de ser um domínio associado ou em conformidade com as políticas definidas no Intune.Devices must be domain joined or compliant: The PCs must either be domain joined or compliant with the policies set in Intune. Se o PC não cumprir nenhum destes requisitos, é pedido ao utilizador para inscrever o dispositivo no Intune.If the PC doesn't meet either of these requirements, the user is prompted to enroll the device with Intune.

    • Os dispositivos têm de estar associado a um domínio: Os PCs têm de estar domínio associado ao aceder ao Exchange Online.Devices must be domain joined: The PCs must be domain joined to access Exchange Online. Se o PC não estiver associado a um domínio, o acesso ao e-mail é bloqueado e é pedido ao utilizador para contactar o administrador de TI.If the PC is not domain joined, access to email is blocked, and the user is prompted to contact the IT admin.

    • Os dispositivos têm de estar em conformidade: Os PCs têm de estar inscritos no Intune e conformes.Devices must be compliant: The PCs must be enrolled in Intune and compliant. Se o PC não estiver inscrito, será apresentada uma mensagem com instruções sobre como inscrever.If the PC isn't enrolled, a message with instructions on how to enroll is displayed.

  4. Em acesso ao Browser ao SharePoint Online e OneDrive para empresas, pode optar por permitir o acesso ao Exchange Online apenas através de browsers suportados: Safari (iOS) e o Chrome (Android).Under Browser access to SharePoint Online and OneDrive for Business, you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS), and Chrome (Android). Acesso a partir de outros browsers é bloqueado.Access from other browsers is blocked. As mesmas restrições de plataforma que selecionou para Acesso da aplicação para o OneDrive também se aplicam aqui.The same platform restrictions you selected for Application access for OneDrive also apply here.

    No Android dispositivos, os utilizadores tem de ativar o ativar o acesso ao Browser opção no dispositivo inscrito da seguinte forma:On Android devices, users must enable the Enable Browser Access option on the enrolled device as follows:

    1. Inicie a aplicação Portal da Empresa.Launch the Company Portal app.
    2. Vá para o definições página a partir das reticências (…) ou no botão do menu de hardware.Go to the Settings page from the triple dots (...) or the hardware menu button.
    3. Prima o botão Ativar acesso ao browser .Press the Enable Browser Access button.
    4. No browser Chrome, termine sessão no Office 365 e reinicie o Chrome.In the Chrome browser, sign out of Office 365 and restart Chrome.

    No iOS e Android plataformas, para identificar o dispositivo que é utilizado para aceder ao serviço, do Azure AD emite um certificado TLS para o dispositivo.On iOS and Android platforms, To identify the device that is used to access the service, Azure AD issues a TLS certificate to the device. O dispositivo apresenta o certificado com uma linha de comandos para o utilizador final para selecionar o certificado como visto nas capturas de ecrã seguintes: Podem continuar a utilizar o browser, o utilizador final tem de selecionar este certificado.The device displays the certificate with a prompt to the end user to select the certificate as seen in the following screenshots: The end user must select this certificate before they can continue to use the browser.

    iOSiOS

    captura de ecrã da linha de comandos da certificado num iPad

    AndroidAndroid

    captura de ecrã da linha de comandos do certificado num dispositivo Android

  5. No separador Início , no grupo Ligações , clique em Configurar Política de Acesso Condicional na Consola do Intune.On the Home tab, in the Links group, click Configure Conditional Access Policy in the Intune Console. Poderá ter de fornecer o nome de utilizador e a palavra-passe da conta utilizada para ligar o Gestor de Configuração ao Intune.You might need to supply the user name and password of the account used to connect Configuration Manager with Intune.

    Abre a consola de administração do Intune.The Intune admin console opens.

  6. Na consola de administração do Microsoft Intune, clique em Política > Acesso Condicional > Política do SharePoint Online.In the Microsoft Intune administration console, click Policy > Conditional Access > SharePoint Online Policy.

  7. Selecione Bloquear aplicações para impedir acesso ao SharePoint Online se o dispositivo não for compatível.Select Block apps from accessing SharePoint Online if the device is noncompliant.

  8. Em grupos Direcionados, clique em modificar para selecionar os grupos de segurança do Azure AD para o qual a política se aplica.Under Targeted Groups, click Modify to select the Azure AD security groups to which the policy applies.

  9. Em grupos excluídos, opcionalmente, clique em modificar para selecionar os grupos de segurança do Azure AD que estão excluídos desta política.Under Exempted Groups, optionally, click Modify to select the Azure AD security groups that are exempt from this policy.

  10. Quando tiver terminado, clique em Guardar.When you are done, click Save.

    Não tem de implementar a política de acesso condicional, pois esta entra em vigor imediatamente.You don't have to deploy the conditional access policy, it takes effect immediately.

    Consulte acesso gerir o SharePoint Online com o Microsoft Intune para obter informações sobre como pode monitorizar a política a partir da consola do Intune.See Manage SharePoint Online access with Microsoft Intune for information about how you can monitor the policy from the Intune console.

Consulte tambémSee also

Gerir o acesso a serviços no System Center Configuration ManagerManage access to services in System Center Configuration Manager