Intune ile Exchange Online’a ve yeni Adanmış Exchange Online ortamına e-posta erişimini korumaProtect email access to Exchange Online and new Exchange Online Dedicated with Intune

Şunlar için geçerlidir: Klasik portalda IntuneApplies to: Intune in the classic portal
Azure portalında Intune hakkında belgeler mi arıyorsunuz?Looking for documentation about Intune in the Azure portal? Buraya gidin.Go here.

Microsoft Intune'u kullanarak Exchange Online veya Exchange Online Ayrılmış için koşullu erişimi yapılandırabilirsiniz.You can configure conditional access for Exchange Online or Exchange Online Dedicated by using Microsoft Intune. Koşullu erişimin nasıl çalıştığı hakkında daha fazla bilgi edinmek için E-posta, O365 ve diğer hizmetlere erişimi koruma makalesini okuyun.To learn more about how conditional access works, read the Protect access to email, O365, and other services article.

Not

Adanmış Exchange Online ortamınız varsa ve bunun yapılandırmasının yeni mi yoksa eski mi olduğunu bulmanız gerekiyorsa hesap yöneticinize başvurun.If you have an Exchange Online Dedicated environment and need to find out whether it's in the new or the legacy configuration, contact your account manager.

Başlamadan önceBefore you begin

Koşullu erişimi yapılandırma şartları şunlardır:To configure conditional access, you must:

  • Exchange Online içeren bir Office 365 aboneliğiniz (örneğin E3) olmalı ve kullanıcılar Exchange Online lisansına sahip olmalıdır.Have an Office 365 subscription that includes Exchange Online (such as E3), and users must be licensed for Exchange Online.

  • Enterprise Mobility + Security (EMS) aboneliğiniz veya bir Azure Active Directory (Azure AD) Premium aboneliğiniz olmalıdır ve kullanıcılar EMS veya Azure AD lisansına sahip olmalıdır.Have an Enterprise Mobility + Security (EMS) subscription or an Azure Active Directory (Azure AD) Premium subscription, and users must be licensed for EMS or Azure AD. Daha fazla ayrıntı için bkz. Enterprise Mobility fiyatlandırma sayfası veya Azure Active Directory fiyatlandırma sayfası.For more details, see the Enterprise Mobility pricing page or the Azure Active Directory pricing page.

  • Intune ile Exchange Online’ı bağlayan ve Intune konsolu aracılığıyla cihaz bilgilerini yönetmenize yardımcı olan isteğe bağlı Intune hizmetten hizmete bağlayıcısını yapılandırmayı göz önünde bulundurmalısınız.Consider configuring the optional Intune service-to-service connector, which connects Intune to Exchange Online and helps you manage device information through the Intune console. Uyumluluk ilkeleri veya koşullu erişim ilkelerini kullanmak için bağlayıcıyı kullanmanıza gerek yoktur ancak koşullu erişimin etkisini değerlendirmeye yardımcı olan raporları çalıştırmak için bu gereklidir.You don't need to use the connector to use compliance policies or conditional access policies—but it's required to run reports that help evaluate the impact of conditional access.

    Not

    Koşullu erişimi hem Exchange Online hem de şirket içi Exchange için kullanmak istiyorsanız, Intune hizmetten hizmete bağlayıcısını yapılandırmayın.Do not configure the Intune service-to-service connector if you intend to use conditional access for both Exchange Online and Exchange on-premises.

Cihaz uyumluluk gereksinimleriDevice compliance requirements

Koşullu biçimlendirme ilkeleri yapılandırdığınızda ve bunlarla bir kullanıcı hedeflediğinizde, kullanıcının e-postasına bağlanabilmesi için önce cihazın şu özellikleri taşıması gerekir:When you configure conditional access policies and target them to a user, before a user can connect to their email, the device they use must be:

  • Etki alanına katılmış bir bilgisayar veya Intune ile kaydedilmiş olması gerekir.A domain-joined PC or enrolled with Intune.

  • Azure Active Directory’de kayıtlı olmalıdır.Registered in Azure Active Directory. Cihaz Intune’a kaydedildiğinde bu otomatik olarak gerçekleşir.This happens automatically when the device is enrolled with Intune. Buna ek olarak, istemci Exchange ActiveSync kimliği Azure Active Directory’de kayıtlı olmalıdır.Additionally, the client Exchange ActiveSync ID must be registered with Azure Active Directory.

    Azure Active Directory Cihaz Kayıt hizmeti, Intune ve Office 365 müşterileri için otomatik olarak etkinleştirilir.The Azure Active Directory Device Registration service is activated automatically for Intune and Office 365 customers. ADFS Cihaz Kayıt hizmetini zaten dağıtan müşteriler, kayıtlı cihazlarını şirket içi Active Directory'de görmez.Customers who have already deployed the ADFS Device Registration service will not see registered devices in on-premises Active Directory.

  • Söz konusu cihaza dağıtılmış tüm Intune uyumluluk ilkeleriyle uyumlu olmalı veya şirket içi etki alanına katılmış olmalıdır.Compliant with any Intune compliance policies that are deployed to that device or domain joined to an on-premises domain.

Cihaz uyumlu olmadığındaWhen the device is not compliant

Koşullu erişim ilkesine uyulmazsa, cihaz hemen karantinaya alınır; kullanıcı bir e-posta alır ve oturum açtığında aşağıdaki karantina bildirimlerinden birini görür:If a conditional access policy isn't met, the device gets immediately quarantined, and the user receives an e-mail and sees one of the following quarantine notifications when they sign in:

  • Cihaz Intune ile kaydedilmediyse veya Azure Active Directory’de kayıtlı değilse Şirket Portalı uygulamasını yükleme, cihazı kaydetme ve e-postayı etkinleştirme yönergelerinin bulunduğu bir ileti görüntülenir.If the device isn't enrolled with Intune or isn't registered in Azure Active Directory, a message is displayed with instructions about how to install the Company Portal app, enroll the device, and activate email. Bu işlem cihazın Exchange ActiveSync kimliğini de Azure Active Directory’deki kayıtla ilişkilendirir.This process also associates the device’s Exchange ActiveSync ID with the record in Azure Active Directory.

  • Cihazın değerlendirmesinde uyumluluk ilkesi kurallarına uygun olmadığı bulunursa kullanıcı sorunla ve bu sorunu nasıl çözebileceğiyle ilgili bilgilere ulaşabileceği Intune Şirket Portalı web sitesine veya Şirket Portalı uygulamasına yönlendirilir.If the device is evaluated as not compliant with the compliance policy rules, the user is directed to the Intune Company Portal website or the Company Portal app, where they can find information about the problem and how to remediate it.

Koşullu erişimin Exchange Online'da çalışma şekliHow conditional access works with Exchange Online

Aşağıdaki diyagramda, Exchange Online için koşullu erişim ilkeleri tarafından kullanılan akış çizilmiştir.The following diagram illustrates the flow that is used by conditional access policies for Exchange Online.

Bir cihazın erişimine izin verileceğini veya engelleneceğini belirleyen karar noktalarının çizildiği diyagram

Mobil cihaz desteğiSupport for mobile devices

Outlook’tan ve modern kimlik doğrulamasının kullanıldığı diğer uygulamalardan Exchange Online e-postasına erişimi koruyabilirsiniz.You can protect access to Exchange Online email from Outlook and other apps that use modern authentication. Aşağıdakiler desteklenir:The following are supported:

  • Android 4.0 ve üzeri, Samsung Knox Standard 4.0 ve üzeri ve Android for WorkAndroid 4.0 and later, Samsung Knox Standard 4.0 and later, and Android for Work
  • iOS 8.0 ve üzeriiOS 8.0 and later

Modern kimlik doğrulaması, Active Directory Authentication Library (ADAL) tabanlı oturum açmayı Microsoft Office istemcilerine getirir.Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Microsoft Office clients.

  • ADAL tabanlı kimlik doğrulaması, Office istemcilerinin tarayıcı tabanlı kimlik doğrulaması (pasif kimlik doğrulama olarak da bilinir) gerçekleştirmesine imkan sağlar.The ADAL-based authentication enables Office clients to engage in browser-based authentication (also known as passive authentication). Bir kullanıcı, kimlik doğrulamak için bir oturum açma web sayfasına yönlendirilir.To authenticate, a user is directed to a sign-in web page.
  • Bu yeni oturum açma yöntemi, çok faktörlü kimlik doğrulaması ve sertifika tabanlı kimlik doğrulaması gibi daha iyi güvenlik önlemlerine olanak tanır.This new sign-in method enables better security like multi-factor authentication and certificate-based authentication. Daha ayrıntılı bilgiler için bkz. Modern kimlik doğrulaması nasıl çalışır?.For more detailed information, see How modern authentication works. Modern olmayan kimlik doğrulama protokollerini engellemek için ADFS talep kuralları ayarlayabilirsiniz.You can set up ADFS claim rules to block non-modern authentication protocols. Senaryo 3: O365’e tarayıcı tabanlı uygulamalar dışındaki tüm erişimi engelleme bölümünde ayrıntılı yönergeler verilmiştir.Detailed instructions are provided in Scenario 3: Block all access to O365 except browser-based applications.

Exchange Online’da bir kullanıcı, iOS ve Android cihazlardaki bir tarayıcıdan Outlook Web Access (OWA) uygulamasına eriştiğinde, bu erişimi koruyabilirsiniz.You can protect access to Outlook Web Access (OWA) on Exchange Online when a user accesses it from a browser on iOS and Android devices. Erişime yalnızca uyumlu cihazlarda, desteklenen tarayıcılardan izin verilir:Access is only allowed from supported browsers on compliant devices:

  • Safari (iOS)Safari (iOS)
  • Chrome (Android)Chrome (Android)
  • Intune Managed Browser (iOS, Android 5.0 ve üzeri)Intune Managed Browser (iOS, Android 5.0 and later)

    Önemli

    Desteklenmeyen tarayıcılar engellenir.Unsupported browsers are blocked.

iOS ve Android için OWA uygulaması, modern kimlik doğrulaması kullanmayacak şekilde değiştirilebilir ve desteklenmez. OWA uygulamasından erişimin, ADFS talep kuralları ile engellenmesi gerekir.The OWA app for iOS and Android can be modified not to use modern authentication, and it isn't supported. Access from the OWA app must be blocked through ADFS claim rules.

Aşağıdaki platformlarda yerleşik Exchange ActiveSync e-posta istemcisinden Exchange e-postasına erişimi koruyabilirsiniz:You can protect access to Exchange email from the built-in Exchange ActiveSync email client on the following platforms:

  • Android 4.0 ve üzeri, Samsung KNOX Standard 4.0 ve üzeriAndroid 4.0 and later, Samsung Knox Standard 4.0 and later

  • iOS 8.0 ve üzeriiOS 8.0 and later

  • Windows Phone 8.1 ve üzeriWindows Phone 8.1 and later

Bilgisayarlar için destekSupport for PCs

Aşağıdaki gereksinimleri karşılayan bilgisayarlar için Exchange Online ve SharePoint Online ’a erişmek amacıyla Office masaüstü uygulamalarını çalıştıran bilgisayarlara yönelik koşullu erişimi ayarlayabilirsiniz:You can set up conditional access for PCs that run Office desktop applications to access Exchange Online and SharePoint Online for PCs that meet the following requirements:

  • Bilgisayarın Windows 7.0, Windows 8.1 veya Windows 10 çalıştırıyor olması gerekir.The PC must be running Windows 7.0, Windows 8.1, or Windows 10.

    Not

    Windows 10 bilgisayarlar ile koşullu erişim kullanmak için bu bilgisayarları Windows 10 Yıldönümü Güncelleştirmesi ile güncelleştirmeniz gerekir.To use conditional access with Windows 10 PCs, you must update those PCs with the Windows 10 Anniversary Update.

    Bilgisayar etki alanına katılmalı veya uyumluluk ilkesi kurallarına uygun olmalıdır.The PC must either be domain joined or compliant with the compliance policy rules.

    Uyumlu olarak kabul edilmesi için, bilgisayarın Intune’da kayıtlı olması ve ilkelere uyması gerekir.In order to be considered compliant, the PC must be enrolled in Intune and comply with the policies.

    Etki alanına katılmış bilgisayarlarda, Azure Active Directory ile cihazı otomatik olarak kaydetmek için koşullu erişim ayarlamanız gerekir.For domain-joined PCs, you must set up conditional access to automatically register the device with Azure Active Directory.

    Not

    Intune bilgisayar istemcisi çalıştıran bilgisayarlarda koşullu erişim desteklenmez.Conditional access isn't supported on PCs that are running the Intune computer client.

  • Office 365 modern kimlik doğrulamasının etkin olması ve en son Office güncelleştirmelerine sahip olması gerekir.Office 365 modern authentication must be enabled and have all the latest Office updates.

    Modern kimlik doğrulaması, Active Directory Authentication Library (ADAL) tabanlı oturum açmayı Office 2013/Windows istemcilerine getirir.Modern authentication brings sign-in based on Active Directory Authentication Library (ADAL) to Office 2013/Windows clients. Bu, çok faktörlü kimlik doğrulaması ve sertifika tabanlı kimlik doğrulaması gibi daha iyi güvenlik önlemlerine olanak tanır.It enables better security like multi-factor authentication and certificate-based authentication.

  • Modern olmayan kimlik doğrulama protokollerini engellemek için ADFS talep kuralları ayarlanır.ADFS claim rules are set up to block non-modern authentication protocols. Senaryo 3: O365’e tarayıcı tabanlı uygulamalar dışındaki tüm erişimi engelleme bölümünde ayrıntılı yönergeler verilmiştir.Detailed instructions are provided in Scenario 3: Block all access to O365 except browser based applications.

Koşullu erişimi yapılandırmaConfigure conditional access

1. Adım: Uyumluluk ilkesi yapılandırma ve dağıtmaStep 1: Configure and deploy a compliance policy

Koşullu erişim ilkesini alacak olan kullanıcı grupları için de uyumluluk ilkesi oluşturduğunuzdan ve dağıttığınızdan emin olun.Make sure you create and deploy a compliance policy to the user groups that will also get the conditional access policy.

Önemli

Uyumluluk ilkesi dağıtmadıysanız cihazlar uyumlu kabul edilir ve Exchange’e erişim izni alırlar.If you haven't deployed a compliance policy, the devices are considered compliant and are allowed access to Exchange.

2 Adım: Koşullu erişim ilkesinin etkisini değerlendirmeStep 2: Evaluate the effect of the conditional access policy

Koşullu erişim ilkesini yapılandırdıktan sonra Exchange’e erişimi engellenebilecek cihazları belirlemek üzere Mobil Cihaz Envanter Raporları’nı kullanabilirsiniz.You can use the Mobile Device Inventory Reports to identify the devices that might be blocked from accessing Exchange after you configure the conditional access policy.

Bunu yapmak için, Microsoft Intune hizmetten hizmete bağlayıcısını kullanarak Intune ile Exchange arasında bir bağlantı yapılandırın.To do this, configure a connection between Intune and Exchange by using the Microsoft Intune service-to-service connector.

  1. Raporlar > Mobil Cihaz Envanter Raporları öğesine gidin.Navigate to Reports > Mobile Device Inventory Reports. Mobil Cihaz Envanter Raporları sayfasının ekran görüntüsüScreenshot of the Mobile Device Inventory Reports page

  2. Rapor parametrelerinde, değerlendirmek istediğiniz Intune grubunu ve gerekirse ilkenin geçerli olacağı cihaz platformlarını seçin.In the report parameters, select the Intune group that you want to evaluate and, if required, the device platforms that the policy will apply to.

  3. Kuruluşunuzun gereksinimlerini karşılayan ölçütleri seçtikten sonra Raporu Görüntüle’yi seçin.After you’ve selected the criteria that meets your organization’s needs, choose View Report. Rapor Görüntüleyicisi yeni bir pencerede açılır.The Report Viewer opens in a new window. Örnek mobil cihaz envanter raporunun ekran görüntüsüScreenshot of an sample mobile device inventory report

Raporu çalıştırdıktan sonra kullanıcının engellenip engellenmeyeceğini belirlemek için şu dört sütunu inceleyin:After you run the report, examine these four columns to determine whether a user will be blocked:

  • Yönetim Kanalı: Cihazın Intune, Exchange ActiveSync veya her ikisi tarafından yönetilip yönetilmediğini belirtir.Management Channel: Indicates whether the device is managed by Intune, Exchange ActiveSync, or both.

  • AAD Kayıtlı: Cihazın Azure Active Directory’ye kayıtlı olup olmadığını belirtir (Workplace Join olarak bilinir).AAD Registered: Indicates whether the device is registered with Azure Active Directory (known as Workplace Join).

  • Uyumlu: Cihazın dağıttığınız herhangi bir uyumluluk ilkesiyle uyumlu olup olmadığını belirtir.Compliant: Indicates whether the device is compliant with any compliance policies that you deployed.

  • Exchange ActiveSync Kimliği: iOS ve Android cihazların, Exchange ActiveSync kimliklerinin Azure Active Directory'deki cihaz kaydı ile ilişkilendirilmiş olması gerekir.Exchange ActiveSync ID: iOS and Android devices are required to have their Exchange ActiveSync ID associated with the device registration record in Azure Active Directory. Bir kullanıcı karantina e-postasında E-postayı Etkinleştir bağlantısını seçtiğinde bu durum ortaya çıkar.This happens when a user chooses the Activate Email link in the quarantine email.

    Not

    Windows Phone cihazları her zaman bu sütunda bir değer görüntüler.Windows Phone devices always display a value in this column.

Sütun değerleri aşağıdaki tabloda listelenenlerle eşleşmiyorsa hedeflenen bir grubun parçası olan cihazların Exchange’e erişmesi engellenir:Devices that are part of a targeted group are blocked from accessing Exchange unless the column values match those listed in the following table:


Yönetim KanalıManagement Channel AAD KayıtlıAAD Registered UyumluCompliant Exchange ActiveSync KimliğiExchange ActiveSync ID Sonuçtaki eylemResulting action
Microsoft Intune ve Exchange ActiveSync tarafından yönetilirManaged by Microsoft Intune and Exchange ActiveSync EvetYes EvetYes Bir değer görüntülenirA value is displayed E-posta erişimine izin verilirEmail access is allowed
Başka bir değerAny other value HayırNo HayırNo Bir değer görüntülenmezNo value is displayed E-posta erişimi engellenirEmail access is blocked

Kullanıcılarınıza engelleneceklerini bildirmek için raporun içindekileri dışarı aktarabilir ve E-posta Adresi sütununu kullanabilirsiniz.You can export the contents of the report and use the Email Address column to tell your users that they will be blocked.

3. Adım: Koşullu erişim ilkesi için kullanıcı gruplarını yapılandırmaStep 3: Configure user groups for the conditional access policy

Koşullu erişim ilkeleri farklı Azure Active Directory güvenlik kullanıcı gruplarını hedefler.Conditional access policies are targeted to different Azure Active Directory security groups of users. Ayrıca bazı kullanıcı gruplarını koşullu erişim ilkesinden muaf tutabilirsiniz.You can also exempt certain user groups from a conditional access policy. Bir kullanıcı bir ilke tarafından hedeflendiğinde, e-postaya erişmek için kullandıkları her bir cihaz uyumlu olmalıdır.When a user is targeted by a policy, each device that they use must be compliant in order to access email.

Office 365 yönetici merkezi’nde veya Intune hesap portalı’nda bu grupları yapılandırabilirsiniz.You can configure these groups in the Office 365 admin center or in the Intune account portal.

Her bir ilkede iki grup türü belirtebilirsiniz:You can specify two group types in each policy:

  • Hedeflenen gruplar: İlkenin geçerli olduğu kullanıcı grupları.Targeted groups: User groups that the policy is applied to.

  • Muaf tutulan gruplar: İlkeden muaf tutulan kullanıcı grupları (isteğe bağlı).Exempted groups: User groups that are exempt from the policy (optional).

Bir kullanıcı her iki gruptaysa ilkeden muaf tutulur.If a user is in both groups, they are exempt from the policy.

Yalnızca koşullu erişim ilkesi tarafından hedeflenen gruplar değerlendirmeye alınır.Only the groups that are targeted by the conditional access policy are evaluated.

4. Adım: Koşullu erişim ilkesini yapılandırmaStep 4: Configure the conditional access policy

Not

Azure AD yönetim konsolunda da bir koşullu erişim ilkesi oluşturabilirsiniz.You can also create a conditional access policy in the Azure AD management console. Azure AD yönetim konsolu, çok faktörlü kimlik doğrulaması gibi diğer koşullu erişim ilkelerine ek olarak, Intune cihaz koşullu erişim ilkeleri (Azure AD’de cihaz tabanlı koşullu erişim ilkesi olarak bilinir) oluşturmanıza olanak sağlar.The Azure AD management console lets you create an Intune device conditional access policy (referred to as the device-based conditional access policy in Azure AD), in addition to other conditional access policies like multi-factor authentication.

Salesforce ve Box gibi Azure AD tarafından desteklenen kurumsal üçüncü taraf uygulamaları için de koşullu erişim ilkeleri ayarlayabilirsiniz.You can also set conditional access policies for third-party enterprise apps that Azure AD supports, like Salesforce and Box. Daha fazla ayrıntı için bkz. Azure Active Directory bağlı uygulamalarda erişim denetimi için Azure Active Directory cihaz tabanlı koşullu erişim ilkesini ayarlama.For more details, see How to set Azure Active Directory device-based conditional access policy for access control to Azure Active Directory-connected applications.

  1. Microsoft Intune yönetim konsolunda İlke > Koşullu Erişim > Exchange Online İlkesi’ni seçin.In the Microsoft Intune administration console, choose Policy > Conditional Access > Exchange Online Policy.

  2. Exchange Online İlkesi sayfasında, Exchange Online için koşullu erişim ilkesini etkinleştir’i seçin.On the Exchange Online Policy page, choose Enable conditional access policy for Exchange Online.

    Not

    Uyumluluk ilkesi dağıtmadıysanız cihazlar uyumlu olarak kabul edilir.If you haven't deployed a compliance policy, devices are treated as compliant.

    Uyumluluk durumuna bakılmaksızın, ilke tarafından hedeflenen tüm kullanıcıların cihazlarını Intune hizmetine kaydetmeleri gerekir.Regardless of the compliance state, all users who are targeted by the policy are required to enroll their devices with Intune.

  3. Uygulama erişimi’nin altında, modern kimlik doğrulaması kullanan uygulamalar için ilkenin hangi platformlara uygulanacağını seçmenizin iki yolu vardır.Under Application access, for apps that use modern authentication, you have two ways of choosing which platforms the policy should apply to. Desteklenen platformlar Android, iOS, Windows ve Windows Phone’dur.Supported platforms include Android, iOS, Windows, and Windows Phone.

    • Tüm platformlarAll platforms

      Bu seçenek Exchange Online’a erişmek için kullanılan tüm cihazların Intune’a kaydedilmesini ve ilkelerle uyumlu olmasını gerektirir.This requires that any device that is used to access Exchange Online is enrolled in Intune and compliant with the policies. Modern kimlik doğrulaması kullanan tüm istemci uygulamaları, koşullu erişim ilkesine bağlıdır.Any client application that uses modern authentication is subject to the conditional access policy. Platform şu anda Intune tarafından desteklenmiyorsa Exchange Online’a erişim engellenir.If the platform is currently not supported by Intune, access to Exchange Online is blocked.

      Tüm platformlar seçeneğinin belirlenmesi, Azure Active Directory’nin bu ilkeyi, istemci uygulaması tarafından bildirilen platformdan bağımsız olarak tüm kimlik doğrulama isteklerine uygulayacağı anlamına gelir.Selecting the All platforms option means that Azure Active Directory applies this policy to all authentication requests, regardless of the platform that is reported by the client application. Aşağıdakiler dışında tüm platformların kaydedilmesi ve uyumlu hale gelmesi gerekir:All platforms are required to enroll and become compliant, except for:

      • Windows cihazların, kaydolması ve uyumlu hale gelmesi, şirket içi Active Directory ile etki alanının birleşik olması veya her ikisi gerekir.Windows devices, which are required to be enrolled and compliant, domain joined with on-premises Active Directory, or both.
      • Mac OS gibi desteklenmeyen platformlar.Unsupported platforms like Mac OS. Ancak bu platformlardan gelen, modern kimlik doğrulaması kullanan uygulamalar yine de engellenir.However, apps that use modern authentication coming from these platforms is still blocked.
    • Belirli platformlarSpecific platforms

      Koşullu erişim ilkesi, belirttiğiniz cihaz platformlarında modern kimlik doğrulaması kullanan tüm istemci uygulamaları için geçerlidir.The conditional access policy applies to any client app that is using modern authentication on the device platforms that you specify.

  4. Outlook Web Access (OWA) altında, yalnızca desteklenen tarayıcılar üzerinden Exchange Online'a erişime izin vermeyi seçebilirsiniz: Safari (iOS) ve Chrome (Android).Under Outlook Web Access (OWA), you can choose to allow access to Exchange Online only through the supported browsers: Safari (iOS) and Chrome (Android). Diğer tarayıcılardan erişim engellenir.Access from other browsers is blocked. Outlook için Uygulama erişiminde seçtiğiniz platform kısıtlamaları burada da geçerli olur.The same platform restrictions that you selected for Application access for Outlook also apply here.

    Android cihazlarda, kullanıcılar tarayıcı erişimini etkinleştirmelidir.On Android devices, users must enable browser access. Bunu yapmak için kullanıcı, kaydedilen cihazda Tarayıcı Erişimini Etkinleştir seçeneğini etkinleştirmelidir:To do this, the user must enable the Enable Browser Access option on the enrolled device as follows:

    1. Şirket Portalı uygulamasını açın.Open the Company Portal app.
    2. Üç nokta (...) veya donanım menüsü düğmesinden Ayarlar sayfasına gidin.Go to the Settings page from the ellipsis (…) or the hardware menu button.
    3. Tarayıcı Erişimi Etkinleştir düğmesine basın.Press the Enable Browser Access button.
    4. Chrome tarayıcıda, Office 365 oturumunu kapatın ve Chrome’u yeniden başlatın.In the Chrome browser, sign out of Office 365 and restart Chrome.

    iOS ve Android platformlarında, Azure Active Directory, cihazın hizmete erişmek amacıyla kullanıldığını belirlemek için cihaza bir Aktarım Katmanı Güvenliği (TLS) sertifikası yayımlar.On iOS and Android platforms, to identify the device that is used to access the service, Azure Active Directory issues a Transport Layer Security (TLS) certificate to the device. Cihaz, sertifikayı aşağıdaki ekran görüntülerinde görüleceği gibi kullanıcıya sertifikayı seçmesi için bir istemle ekrana getirir.The device displays the certificate with a prompt to the user to select the certificate, as shown in the following screenshots. Kullanıcının tarayıcıyı kullanmaya devam etmek için bu sertifikayı seçmesi gerekir.The user must select this certificate before they can continue to use the browser.

    AndroidiOS

    Bir iPad cihazda sertifika komut isteminin ekran görüntüsü

    AndroidAndroid

    Android cihazda sertifika istemi ekran görüntüsü

  5. Exchange ActiveSync uygulamaları’nın altında, uyumsuz cihazların Exchange Online’a erişmesini engellemeyi seçebilirsiniz.Under Exchange ActiveSync apps, you can choose to block noncompliant devices from accessing Exchange Online. Cihaz desteklenen bir platformda çalıştırılmadığında e-posta erişimine izin vermeyi veya bu erişimi engellemeyi de seçebilirsiniz.You can also select whether to allow or block access to email when the device isn't running a supported platform. Desteklenen platformlar Android, iOS, Windows ve Windows Phone’dur.Supported platforms include Android, iOS, Windows, and Windows Phone.

    Android for Work cihazlarındaki Exchange Active Sync uygulamaları:Exchange Active Sync apps on Android for Work devices:

    • Android for Work cihazlar için yalnızca iş profilindeki Gmail ve Nine Work uygulamaları desteklenir.Only Gmail and Nine Work apps in the work profile are supported on Android for Work devices. Android for Work cihazlarda koşullu erişimin çalışması için Gmail veya Nine Work uygulamasına yönelik bir e-posta profili dağıtmalı ve bunu ayrıca zorunlu bir yükleme olarak dağıtmanız gerekir.For conditional access to work on Android for Work devices, you must deploy an email profile for the Gmail or Nine Work app, and also deploy it as a required installation.
  6. Hedeflenen Gruplar altında, ilkenin geçerli olacağı Active Directory güvenliği kullanıcı gruplarını seçin.Under Targeted Groups, select the Active Directory security groups of users that the policy applies to. Tüm kullanıcıları veya seçili bir kullanıcı grupları listesini hedeflemeyi seçebilirsiniz.You can either choose to target all users or a selected list of user groups. Hedeflenen ve Muaf Tutulan grup seçeneklerinin gösterildiği Exchange Online koşullu erişim ilkesi sayfasının ekran görüntüsüScreenshot of the Exchange Online conditional access policy page that shows the Targeted and Exempted group options

    Not

    Hedeflenen gruplar’da bulunan kullanıcılar için Intune ilkeleri, Exchange kurallarının ve ilkelerinin yerini alır.For users that are in the Targeted groups, the Intune polices replace Exchange rules and policies.

    Exchange, yalnızca şu durumlarda Exchange izin verme, engelleme ve karantinaya alma kurallarını ve Exchange ilkelerini uygular:Exchange only enforces the Exchange allow, block, and quarantine rules, and Exchange policies if:

    • Bir kullanıcı Intune için lisanslı değilse.A user isn't licensed for Intune.
    • Bir kullanıcı Intune için lisanslıysa ancak koşullu erişim ilkesinde hedeflenen güvenlik gruplarından birinde değilse.A user is licensed for Intune, but the user doesn't belong to any security groups that are targeted in the conditional access policy.
  7. Muaf Tutulan Gruplaraltında, bu ilkeden muaf tutulan Active Directory güvenliği kullanıcı gruplarını seçin.Under Exempted Groups, select the Active Directory security groups of users that are exempt from this policy. Bir kullanıcı hem hedeflenen hem de muaf tutulan gruptaysa ilkeden muaf tutulur.If a user is in both the targeted and exempted groups, they are exempt from the policy.

  8. İşiniz bittiğinde Kaydet’i seçin.When you're done, choose Save.

  • Koşullu erişim ilkesini dağıtmanız gerekmez, hemen geçerli olur.You don't have to deploy the conditional access policy—it takes effect immediately.

  • Kullanıcı bir e-posta hesabı oluşturduktan sonra cihaz hemen engellenir.After a user creates an email account, the device is blocked immediately.

  • Engellenen bir kullanıcı, cihazı Intune ile kaydeder ve uyumsuzluk sorunlarını çözerse iki dakika içinde e-posta erişiminin engeli kaldırılır.If a blocked user enrolls the device with Intune and fixes any noncompliance issues, email access is unblocked within two minutes.

  • Kullanıcı cihazının kaydını kaldırırsa yaklaşık altı saat sonra e-posta engellenir.If the user unenrolls their device, email is blocked after around six hours.

Cihaz erişimini korumak üzere bir koşullu erişim ilkesini nasıl yapılandırabileceğinizi gösteren bazı örnek senaryoları görmek için bkz. E-posta erişimini koruma örnek senaryoları.To see some example scenarios of how you would configure a conditional access policy to protect device access, see Protect email access example scenarios.

Uyumluluk ve koşullu erişim ilkeleri izlemeMonitor the compliance and conditional access policies

Exchange’e erişimi engellenmiş cihazları görüntülemek içinTo view devices that are blocked from Exchange

Intune panosunda, engellenen cihazların sayısını ve daha fazla bilgiye ulaşmanızı sağlayan bağlantıları göstermek için Exchange’e Erişimi Engellenmiş Cihazlar kutucuğunu seçin.On the Intune dashboard, choose the Blocked Devices from Exchange tile to show the number of blocked devices and links to more information. Exchange’e erişimi engellenmiş cihazların sayısını gösteren Intune panosunun ekran görüntüsüScreenshot of the Intune dashboard showing the number of devices that are blocked from accessing Exchange

Sonraki adımlarNext steps