Gerir o acesso ao SharePoint Online no System Center Configuration ManagerManage SharePoint Online access in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Utilizar o System Center Configuration Manager SharePoint Online política de acesso condicional para gerir o acesso para o OneDrive para os ficheiros de empresas localizados no SharePoint online, com base em condições que especificar.Use the System Center Configuration Manager SharePoint Online conditional access policy to manage access to OneDrive for Business files located on SharePoint online, based on conditions you specify. Pode controlar o acesso ao SharePoint Online a partir das seguintes aplicações para as plataformas indicadas:You can control access to SharePoint Online from the following apps for the listed platforms:

  • Microsoft Office Mobile (Android)Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)Microsoft OneDrive (Android and iOS)

  • Microsoft Word (Android e iOS)Microsoft Word (Android and iOS)

  • Microsoft Excel (Android e iOS)Microsoft Excel (Android and iOS)

  • Microsoft PowerPoint (Android e iOS)Microsoft PowerPoint (Android and iOS)

  • Microsoft OneNote (Android e iOS)Microsoft OneNote (Android and iOS)

Aplicações de ambiente de trabalho do Office podem aceder ao SharePoint Online em PCs a executar:Office desktop applications can access SharePoint Online on PCs running:

Nota

PCs devem ser domínio associado ou ser conformidade com as políticas definidas no Intune.PCs should be domain joined or be complaint with the policies set in Intune.

Quando um utilizador direcionado se tentar ligar a um ficheiro através de uma aplicação suportada, como o OneDrive, no respetivo dispositivo, ocorre a seguinte avaliação:When a targeted user attempts to connect to a file using a supported app such as OneDrive on their device, the following evaluation occurs:

ConditionalAccess8-6

Para ligar aos ficheiros necessários, o dispositivo com o OneDrive tem de:To connect to the required files, the device running OneDrive must:

  • Estar inscrito no Microsoft Intune ou PC associado a um domínio.Be enrolled with Microsoft Intune or a domain joined PC.

  • Registar o dispositivo no Azure Active Directory (isto ocorre automaticamente quando o dispositivo é inscrito com o Intune.Register the device in Azure Active Directory (this happens automatically when the device is enrolled with Intune.

    Para PCs associados a um domínio, tem de configurá-los para serem registados automaticamente no Azure Active Directory.For domain joined PCs, you must set it up to automatically register with Azure Active Directory.

  • Ser compatível com as políticas de conformidade do Configuration Manager implementadoBe compliant with any deployed Configuration Manager compliance policies

    O estado do dispositivo é armazenado no Azure Active Directory, o qual concede ou bloqueia o acesso aos ficheiros, com base nas condições que especificar.The device state is stored in Azure Active Directory which grants or blocks access to the files, based on the conditions you specify.

    Se não for cumprida uma condição, é apresentada ao utilizador uma das duas mensagens seguintes quando iniciar sessão:If a condition is not met, the user is presented with one of the following messages when they log in:

  • Se o dispositivo não estiver inscrito no Intune ou registado no Azure Active Directory, será apresentada uma mensagem com instruções sobre como instalar a aplicação do portal da empresa e inscrevê-la.If the device is not enrolled with Intune, or is not registered in Azure Active Directory, a message is displayed with instructions about how to install the company portal app and enroll.

  • Se o dispositivo não for conforme, será apresentada uma mensagem que direciona o utilizador para o portal web do Intune onde é possível localizar informações sobre o problema e como resolvê-lo.If the device is not compliant, a message is displayed that directs the user to the Intune web portal where they can find information about the problem, and how to remediate it.

  • Para dispositivos móveis:For mobile devices:

    Pode restringir o acesso ao SharePoint Online quando o acesso é feito a partir de um browser de dispositivos iOS e Android.You can restrict access to SharePoint Online when accessed from a browser from iOS and Android devices. O acesso só será permitido a partir de browsers suportados em dispositivos conformes:Access will only be allowed from only supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Managed Browser (iOS e Android)Managed Browser (iOS and Android)

    Os browsers não suportados serão bloqueados.Unsupported browsers will be blocked.

  • Num PC:For a PC:

    • Se a política estiver definida para exigir a associação a um domínio e o PC não estiver associado a qualquer domínio, será apresentada uma mensagem para contactar o administrador de TI.If the policy is set to require domain join, and the PC is not domain joined, a message is displayed to contact the IT admin.

    • Se a política estiver definida para exigir a associação a um domínio ou estar em conformidade, o PC não cumpre nenhum dos requisitos e será apresentada uma mensagem com instruções sobre como instalar o portal da empresa e inscrevê-lo.If the policy is set to require domain join or compliant, then the PC does not meet either requirement, a message is displayed with instructions about how to install the company portal app and enroll.

    Pode bloquear o acesso ao SharePoint Online a partir das seguintes aplicações:You can block access to SharePoint Online from the following apps:

  • Microsoft Office Mobile (Android)Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)Microsoft OneDrive (Android and iOS)

  • Microsoft Word (Android e iOS)Microsoft Word (Android and iOS)

  • Microsoft Excel (Android e iOS)Microsoft Excel (Android and iOS)

  • Microsoft PowerPoint (Android e iOS)Microsoft PowerPoint (Android and iOS)

  • Microsoft OneNote (Android e iOS)Microsoft OneNote (Android and iOS)

Configurar o acesso condicional para o SharePoint OnlineConfigure conditional access for SharePoint Online

Passo 1: Configurar grupos de segurança do Active DirectoryStep 1: Configure Active Directory security groups

Antes de começar, configure grupos de segurança do Azure Active Directory para a política de acesso condicional.Before you start, configure Azure Active Directory security groups for the conditional access policy. Pode configurar estes grupos no centro de administração do Office 365 ou no portal de contas do Intune.You can configure these groups in the Office 365 admin center, or the Intune account portal. Estes grupos contêm os utilizadores que serão direcionados ou que estarão excluídos da política.These groups contain the users that will be targeted, or exempt from the policy. Quando um utilizador é direcionado por uma política, cada dispositivo que utiliza tem de estar em conformidade para poder aceder aos recursos.When a user is targeted by a policy, each device they use must be compliant in order to access resources.

Pode especificar dois tipos de grupos numa política do SharePoint Online:You can specify two group types in a SharePoint Online policy:

  • Grupos direcionados â €"contém grupos de utilizadores aos quais será aplicada a políticaTargeted groups – Contains groups of users to which the policy will apply

  • Grupos excluídos â €"contém os grupos de utilizadores que são excluídos da política (opcional)Exempted groups – Contains groups of users that are exempt from the policy (optional)

    Se um utilizador estiver em ambos os grupos, estará excluído da política.If a user is in both groups, they will be exempt from the policy.

Passo 2: Configure e implemente uma política de conformidadeStep 2: Configure and deploy a compliance policy

Certifique-se de que cria e implementa uma política de conformidade em todos os dispositivos para os quais será direcionada a política do SharePoint Online.Ensure that you create and deploy a compliance policy to all devices that the SharePoint Online policy will be targeted to.

Nota

Enquanto as políticas de conformidade são implementadas para grupos do Intune ou de coleções do Configuration Manager, políticas de acesso condicional são direcionadas para grupos de segurança do Azure Active Directory.While compliance policies are deployed to Intune groups, or Configuration Manager collections, conditional access policies are targeted to Azure Active Directory security groups.

Para obter detalhes sobre como configurar a política de conformidade, veja Gerir políticas de conformidade no System Center Configuration Manager.For details about how to configure the compliance policy, see Manage device compliance policies in System Center Configuration Manager.

Importante

Se não tiver implementado uma política de conformidade e, em seguida, ativar uma política do SharePoint Online, todos os dispositivos direcionados terão permissão de acesso.If you have not deployed a compliance policy and then enable the SharePoint Online policy, all targeted devices will be allowed access.

Quando estiver pronto, avance para o Passo 3.When you are ready, continue to Step 3.

Passo 3: Configurar a política do SharePoint Online Step 3: Configure the SharePoint Online policy

Em seguida, configure a política para exigir que apenas os dispositivos geridos e em conformidade podem aceder ao SharePoint Online.Next, configure the policy to require that only managed and compliant devices can access SharePoint Online. Esta política será armazenada no Azure Active Directory.This policy will be will be stored in Azure Active Directory.

Nota

Também pode criar a política de acesso condicional na consola de gestão do Azure AD.You can also create conditional access policy in the Azure AD management console. Consola de gestão do Azure AD permite-lhe criar políticas de acesso condicional (referidas como a política de acesso condicional baseada no dispositivo no Azure AD), além de outras políticas de acesso condicional, como a autenticação multifator de dispositivo do Intune.Azure AD management console allows you to create the Intune device conditional access policies (referred to as the device-based conditional access policy in Azure AD) in addition to other conditional access policies like multi-factor authentication. Também pode configurar políticas de acesso condicional para aplicações de empresa de terceiros como Salesforce e suporta a caixa que o Azure AD.You can also set conditional access policies for third-party Enterprise apps like Salesforce and Box that Azure AD supports. Para obter mais detalhes, consulte o artigo como definir a política de acesso condicional baseada no dispositivo do Azure Active Directory para controlo de acesso ao Azure Active Directory ligado aplicações.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory connected applications.

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.In the Configuration Manager console, click Assets and Compliance.

  2. Selecione Ativar política de acesso condicional do SharePoint Online.Select Enable conditional access policy for SharePoint Online..

    IntuneSASharePointOnlineCAPolicy

  3. Em Acesso de aplicação, para o Outlook e aplicações que utilizam a autenticação moderna, pode optar por restringir o acesso apenas a dispositivos que estejam em conformidade em cada plataforma.Under Application access for Outlook and apps that use modern authentication, you can choose to restrict access to only devices that are compliant for each platform.

    Dica

    A Autenticação moderna fornece um início de sessão baseado na ADAL (Active Directory Authentication Library) aos clientes do Office.Modern authentication brings Active Directory Authentication Library (ADAL)-based sign in to Office clients.

    • A autenticação baseada na ADAL permite que os clientes do Office participem na autenticação baseada no browser (também conhecido como autenticação passiva).The ADAL based authentication enables Office clients to engage in browser-based authentication (also known as passive authentication). Para autenticar, o utilizador é direcionado para uma página Web de início de sessão.To authenticate, the user is directed to a sign-in web page.

      • Este novo método de início de sessão permite novos cenários, como o acesso condicional, com base na conformidade do dispositivo e no facto de a autenticação multifator ter sido ou não executada.This new sign-in method enables new scenarios such as, conditional access, based on device compliance and whether multi-factor authentication was performed.

      Este artigo tem informações mais detalhadas sobre como funciona a autenticação moderna.This article has more detailed information on how modern authentication works.

    Para windows PCs, o PC tem ser domínio associado ou inscritos com o Intune e em conformidade.For windows PCs, the PC must either be domain joined, or enrolled with Intune and compliant. Pode definir os seguintes requisitos:You can set the following requirements:

    • Os dispositivos têm de estar associados a um domínio ou em conformidade.Devices must be domain joined or compliant. Isto significa que os PCs têm de estar domínio associado ou em conformidade com as políticas definidas no Intune.This means that the PCs must either be domain joined or compliant with the policies set in Intune. Se o PC não cumprir nenhum destes requisitos, é pedido ao utilizador para inscrever o dispositivo no Intune.If the PC does not meet either of these requirements, the user is prompted to enroll the device with Intune.

    • Os dispositivos têm de estar associados a um domínio.Devices must be domain joined. Isto significa que os PCs têm de estar associados a um domínio para acederem ao Exchange Online.This means that the PCs must be domain joined to access Exchange Online. Se o PC não estiver associado a um domínio, o acesso ao e-mail é bloqueado e é pedido ao utilizador para contactar o administrador de TI.If the PC is not domain joined access to email is blocked and the user is prompted to contact the IT admin.

    • Os dispositivos têm de estar em conformidade.Devices must be compliant. Isto significa que os PCs têm de estar inscritos no Intune e em conformidade.This means that the PCs must be enrolled in Intune and compliant. Se o PC não estiver inscrito, será apresentada uma mensagem com instruções sobre como inscrevê-lo.If the PC is not enrolled, a message with instructions on how to enroll is displayed.

  4. Em acesso pelo Browser ao SharePoint Online e OneDrive para empresas, pode optar por permitir acesso ao Exchange Online apenas através de browsers suportados: Safari (iOS) e no Chrome (Android).Under Browser access to SharePoint Online and OneDrive for Business, you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS), and Chrome (Android). O acesso a partir de outros browsers será bloqueado.Access from other browsers will be blocked. As mesmas restrições de plataforma que selecionou para Acesso da aplicação para o OneDrive também se aplicam aqui.The same platform restrictions you selected for Application access for OneDrive also apply here.

    Em dispositivos Android , os utilizadores têm de ativar o acesso ao browser.On Android devices, users must enable the browser access. Para efetuar esta ação do utilizador final tem de ativar a Distributed de € opção de Browser Access†nos dispositivos da seguinte forma:To do this the end-user must enable the “Enable Browser Access” option on the enrolled device as follows:

    1. Inicie a aplicação Portal da Empresa.Launch the Company Portal app.
    2. Aceda ao definições página a partir de pontos triplo (â €¦) ou o botão do menu de hardware.Go to the Settings page from the triple dots (…) or the hardware menu button.
    3. Prima o botão Ativar acesso ao browser .Press the Enable Browser Access button.
    4. No browser Chrome, termine sessão no Office 365 e reinicie o Chrome.In the Chrome browser, sign out of Office 365 and restart Chrome.

    Nas plataformas iOS e Android , para identificar o dispositivo que é utilizado para aceder ao serviço, o Azure Active Directory emitirá um certificado Transport Layer Security (TLS) para o dispositivo.On iOS and Android platforms, To identify the device that is used to access the service, Azure Active Directory will issue a Transport layer security ( TLS) certificate to the device. O dispositivo apresenta o certificado com uma linha de comandos ao utilizador final para selecionar o certificado, tal como mostram as capturas de ecrã abaixo.The device displays the certificate with a prompt to the end-user to select the certificate as seen in the screenshots below. O utilizador final tem de selecionar este certificado para poder continuar a utilizar o browser.The end-user must select this certificate before they can continue to use the browser.

    iOSiOS

    captura de ecrã da linha de comandos do certificado num ipad

    AndroidAndroid

    captura de ecrã da linha de comandos do certificado num dispositivo Android

  5. No separador Início , no grupo Ligações , clique em Configurar Política de Acesso Condicional na Consola do Intune.On the Home tab, in the Links group, click Configure Conditional Access Policy in the Intune Console. Poderá ter de fornecer o nome de utilizador e a palavra-passe da conta utilizada para ligar o Gestor de Configuração ao Intune.You might need to supply the user name and password of the account used to connect Configuration Manager with Intune.

    A consola de administração do Intune irá abrir.The Intune admin console will open.

  6. Na consola de administração do Microsoft Intune, clique em Política > Acesso Condicional > Política do SharePoint Online.In the Microsoft Intune administration console, click Policy > Conditional Access > SharePoint Online Policy.

  7. Selecione Bloquear aplicações para impedir acesso ao SharePoint Online se o dispositivo não for compatível.Select Block apps from accessing SharePoint Online if the device is noncompliant.

  8. Em Grupos Direcionados, clique em Modificar para selecionar os grupos de segurança do Azure Active Directory aos quais será aplicada a política.Under Targeted Groups, click Modify to select the Azure Active Directory security groups to which the policy will apply.

  9. Como opção, em Grupos Excluídos, clique em Modificar para selecionar os grupos de segurança do Azure Active Directory que estão excluídos desta política.Under Exempted Groups, optionally, click Modify to select the Azure Active Directory security groups that are exempt from this policy.

  10. Quando tiver terminado, clique em Guardar.When you are done, click Save.

    Não tem de implementar a política de acesso condicional, pois esta entra em vigor imediatamente.You do not have to deploy the conditional access policy, it takes effect immediately.

    Consulte o artigo acesso gerir o SharePoint Online com o Microsoft Intune para obter informações sobre como pode monitorizar a política a partir da consola do Intune.See Manage SharePoint Online access with Microsoft Intune for information about how you can monitor the policy from the Intune console.

Consulte tambémSee also

Gerir o acesso aos serviços no System Center Configuration ManagerManage access to services in System Center Configuration Manager