Configuration Manager 中的 Exchange 電子郵件條件式存取
適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") 注意事項 |
|---|
本主題資訊僅適用於 System Center 2012 Configuration Manager SP1 或更新版本,以及 System Center 2012 R2 Configuration Manager 或更新版本。 |
使用 Configuration Manager 條件式存取原則,根據您指定的條件來管理 Exchange 電子郵件的存取。
您可以管理下列項目的存取:
Microsoft Exchange 內部部署
Microsoft Exchange Online
Exchange Online Dedicated
如果您設定條件式存取,則在使用者可連接到其電子郵件之前,他們使用的裝置必須:
已使用 Intune 註冊或是已加入網域的電腦。
在 Azure Active Directory 中登錄裝置 (這會在向 Intune 註冊裝置時自動發生 (僅適用於 Exchange Online)。 此外,用戶端 Exchange ActiveSync 識別碼必須向 Azure Active Directory 登錄 (不適用於連線至 Exchange 內部部署的 Windows 和 Windows Phone 裝置)。
針對加入網域的電腦,您必須將其設為自動向 Azure Active Directory 登錄。 在 Configuration Manager 中的條件存取主題中的電腦的條件式存取一節中列出了啟用電腦條件式存取所需的完整需求。
與所有部署到該裝置的 Configuration Manager 相容性原則相容
如果不符合條件式存取條件,使用者即會在登入時看見下列兩則訊息之一:
如果裝置未向 Intune 註冊,或者未在 Azure Active Directory 中登錄,即會顯示一則訊息,其中包含如何安裝公司入口網站應用程式、註冊裝置,以及 (適用於 Android 和 iOS 裝置) 啟用電子郵件 (這會將裝置的 Exchange ActiveSync 識別碼關聯至 Azure Active Directory 中的裝置記錄) 的相關指示。
如果裝置不相容,即會顯示一則訊息,將使用者引導至 Intune Web 入口網站,讓他們能夠在該處找到問題的相關資訊,以及如何修復問題的方法。
針對電腦:
如果條件式存取原則需求為允許 已加入網域或相容,即會顯示一則訊息,提供如何註冊裝置的相關指示。 如果電腦不符合上述任一條件,即會提示使用者以 Intune 註冊裝置。
如果條件式存取原則需求設為僅允許已加入網域的 Windows 裝置,即會封鎖裝置並顯示一則用來連絡 IT 系統管理員的訊息。
您可以在下列平台上,從內建 Exchange ActiveSync 電子郵件用戶端的裝置上封鎖 Exchange 電子郵件的存取。
Android 4.0 和更新版本、Samsung Knox Standard 4.0 和更新版本
iOS 7.1 和更新版本
Windows Phone 8.1 和更新版本
Windows 8.1 和更新版本上的 [郵件] 應用程式
Exchange Online 僅支援適用於 iOS 和 Android 的 Outlook 應用程式和 Outlook 2013 桌面應用程式。
要讓條件式存取正常運作,Configuration Manager 和 Exchange 之間需具備內部部署 Exchange Connector。
您可透過 Configuration Manager 主控台設定 Exchange 內部部署的條件式存取原則。 當您為 Exchange Online 設定條件式存取原則時,請從 Configuration Manager 主控台開始程序,其會啟動 Microsoft Intune 主控台,以讓您在其中完成這項程序。
步驟 1:評估條件式存取原則的效果
設定好內部部署 Exchange Connector 之後,您可以使用 Configuration Manager [依條件式存取狀態排列的裝置清單] 報告,以識別在設定條件式存取原則之後將遭到封鎖而無法存取 Exchange 的裝置。 此報告也需要:
訂閱 Intune
應設定和部署 Intune Connector
在報表參數中,選取您要評估的 Intune 群組,以及將套用該原則的裝置平台 (如有需要)。
如需如何執行報表的詳細資訊,請參閱Configuration Manager 中的報告。
執行報表之後,請檢查下列四欄以判斷是否會封鎖使用者:
管理通道 - 指出裝置是否受到 Intune、Exchange ActiveSync 或兩者所管理。
AAD 已登錄 - 指出是否已向 Azure Active Directory 登錄裝置 (又稱為「加入工作場所」)。
相容性 - 指出裝置是否可與您部署的任何相容性原則相容。
EAS 已啟用 - iOS 和 Android 裝置必須將其 Exchange ActiveSync 識別碼關聯至 Azure Active Directory 中的裝置登錄記錄。 這會在使用者按一下隔離電子郵件中的 [啟用電子郵件] 連結時發生。
注意事項Windows Phone 裝置永遠都會在此欄中顯示值。
除非欄值符合下表所列的值,否則隸屬於目標群組或集合一部分的裝置將遭到封鎖而無法存取 Exchange:
管理通道 |
AAD 已登錄 |
相容 |
EAS 已啟用 |
產生的動作 |
|---|---|---|---|---|
受到 Microsoft Intune 和 Exchange ActiveSync 所管理 |
是 |
是 |
會顯示是或否 |
允許電子郵件存取 |
任何其他值 |
否 |
否 |
不會顯示任何值 |
封鎖電子郵件存取 |
您可以匯出報表的內容,並使用 [電子郵件地址] 欄來協助您通知使用者他們即將遭到封鎖。
步驟 2:針對條件式存取原則設定使用者群組或集合
您可以根據原則類型,將條件式存取原則的目標設為不同的使用者群組或集合。 這些群組包含將成為原則目標的使用者,或是免套用此原則的使用者。 當使用者成為原則的目標時,他們使用的每個裝置都必須相容,才能存取電子郵件。
適用於 Exchange Online 原則 - 目標為 Azure Active Directory 安全性使用者群組。 您可以在 Office 365 系統管理中心或 Intune 帳戶入口網站中設定這些群組。
適用於 Exchange 內部部署原則 - 目標為 Configuration Manager 使用者集合。 您可在 [資產與相容性] 工作區中設定這些項目。
您可以在每個原則中指定兩種群組類型:
目標群組 - 套用原則的使用者群組或集合
免套用的群組 - 免於套用原則的使用者群組或集合 (選擇性)
如果使用者隸屬於這兩個群組,他們將免套用原則。
系統只會評估條件式存取原則設定為目標的群組或集合是否可進行 Exchange 存取。
步驟 3:設定及部署相容性原則
請確定您已建立相容性原則並部署到 Exchange 條件式存取原則目標的所有裝置。
如需如何設定相容性原則的詳細資訊,請參閱 Configuration Manager 中的相容性原則。
.jpeg "System_CAPS_important") 重要事項 |
|---|
若未部署相容性原則,但卻啟用了 Exchange 條件式存取原則,則將允許所有目標裝置進行存取。 |
當您就緒時,請繼續執行步驟 4。
步驟 4:設定條件式存取原則
適用於 Exchange Online (以及新的 Exchange Online Dedicated 環境中的租用戶)
適用於 Exchange Online 的條件式存取原則會使用下列流程,來評估要允許還是封鎖裝置。
.jpeg "Flow for Exchange Online Conditional Access")
若要存取電子郵件,裝置必須:
向 Intune 註冊
電腦必須已加入網域或已註冊並符合在 Intune 中設定的原則。
在 Azure Active Directory 中登錄裝置 (當裝置向 Intune 註冊時即會自動發生)。
已加入網域的電腦必須設為向 Azure Active Directory 自動登錄裝置。
已啟用電子郵件,其會將裝置的 Exchange ActiveSync 識別碼關聯至 Azure Active Directory 中的裝置記錄 (僅適用於 iOS 和 Android 裝置)。
與所有部署的相容性原則相容
裝置狀態會根據評估的條件,儲存於授與或封鎖電子郵件存取的 Azure Active Directory 中。
如果不符合條件,使用者即會在登入時看見下列兩則訊息之一:
如果裝置未註冊,或未在 Azure Active Directory 中登錄,即會顯示一則訊息,提供如何安裝公司入口網站應用程式並加以註冊的相關指示
如果裝置不相容,即會顯示一則訊息,將使用者引導至 Intune Web 入口網站,讓他們能夠在該處找到問題的相關資訊,以及如何修復問題的方法。
針對電腦:
如果原則設定需要加入網域,而電腦未加入網域,就會顯示連絡 IT 管理員的訊息。
如果原則設為需要加入或與網域相容,但電腦不符合任一要求,即會顯示訊息指示如何安裝及註冊公司入口網站應用程式。
此訊息會顯示於適用於 Exchange Online 使用者以及新 Exchange Online Dedicated 環境中租用戶的裝置上,並傳遞至適用於 Exchange 內部部署和舊版 Exchange Online Dedicated 裝置的使用者電子郵件收件匣。
| 注意事項 |
|---|
Configuration Manager 條件式存取規則會覆寫、允許、封鎖及隔離在 Exchange Online 管理主控台中定義的規則。 |
| 注意事項 |
|---|
條件式存取原則必須在 Intune 主控台中設定。 下列步驟從透過 Configuration Manager 存取 Intune 主控台開始。 如果出現提示,請使用設定 Configuration Manager 與 Intune 之間連接器的相同認證登入。 |
啟用 Exchange Online 原則
-
在 Configuration Manager 主控台中,按一下 [資產與相容性]。
-
依序展開 [相容性設定] 和 [條件式存取],然後按一下 [Exchange Online]。
-
在 [常用] 索引標籤的 [連結] 群組中,按一下 [在 Intune 主控台中設定條件存取原則]。 您可能需要提供以 Intune 服務的任何全域管理員身分連線到 Configuration Manager 時,所使用的帳戶使用者名稱和密碼。
Intune 管理主控台隨即開啟。
-
在 Microsoft Intune 管理主控台中,按一下 [原則] > [條件式存取] > [Exchange Online 原則]。
.jpeg "HybridOnlineSetupInIntune")
-
在 Exchange Online 原則頁面上,選取啟用 Exchange Online 的條件式存取原則。 如果您檢查此情形,則裝置必為相容。 如果未檢查,則不會套用條件式存取。
注意事項若未部署相容性原則,但卻啟用了 Exchange Online 原則,則所有目標裝置都會回報為相容。
所有使用者無論其相容性狀態如何,此原則皆會要求他們向 Intune 註冊其裝置。
-
在 [使用新式驗證的應用程式] 下,您可以選擇針對各平台僅限制相容裝置的存取權。 Windows 裝置必須已加入網域,或已在 Intune 註冊且相容。
.jpeg "System_CAPS_tip")
提示新式驗證將 Active Directory 驗證程式庫 (ADAL) 登入整合到 Office 用戶端中。
ADAL 型驗證可讓 Office 用戶端進行以瀏覽器為基礎的驗證 (又稱為被動驗證)。 系統會將使用者導向登入網頁,以便進行驗證。
這個新的登入方法可根據 [裝置相容性] 以及是否執行 [Multi-Factor Authentication],來啟用條件式存取等新案例。
這篇文章包含新式驗證運作方式的詳細資訊。
使用 Exchange Online 搭配 Configuration Manager 和 Intune 時,您不僅可以管理具有條件式存取的行動裝置,也可以管理桌上型電腦。 電腦必須已加入網域,或已在 Intune 註冊且相容。 您可以設定下列需求:
- **裝置必須加入或與網域相容。**電腦必須已加入網域或符合 Intune 中設定的原則。 如果電腦不符合上述任一需求,即會提示使用者以 Intune 註冊裝置。 - **裝置必須已加入網域。**電腦必須已加入網域才能存取 Exchange Online。 如果電腦未加入網域,則會封鎖電子郵件的存取並提示使用者連絡 IT 系統管理員。 - **裝置必須相容。**電腦必須已在 Intune 註冊且相容。 如果電腦未註冊,則會顯示註冊指示訊息。 -
在 Exchange ActiveSync 郵件應用程式下,如果裝置不相容,您可以選擇封鎖電子郵件存取 Exchange Online,並選取 Intune 無法管理該裝置時,是否要允許或封鎖電子郵件的存取。
-
在 [目標群組] 下方,選取要套用原則之使用者的 Active Directory 安全性群組。
注意事項針對目標群組中的使用者,Intune 原則會取代 Exchange 規則和原則。
Exchange 只會在下列情況強制 Exchange 允許、封鎖及隔離規則以及 Exchange 原則:
使用者未取得使用 Intune 的授權。
使用者已取得使用 Intune 的授權,但不屬於條件式存取原則中的任何目標安全性群組。
-
在 [免套用的群組] 下方,選取免套用此原則之使用者的 Active Directory 安全性群組。 如果使用者同時隸屬於目標群組及免套用的群組,則他們將免套用此原則,並可存取其電子郵件。
-
完成後,請按一下 [儲存]。
您不需部署條件式存取原則,它會立即生效。
在使用者建立電子郵件帳戶之後,裝置會立即遭到封鎖。
如果封鎖的使用者向 Intune 註冊裝置 (或修復不相容性),則會在 2 分鐘內解除電子郵件存取的封鎖。
如果使用者取消註冊其裝置,大約會在 6 小時後封鎖電子郵件。
適用於 Exchange 內部部署 (以及舊版 Exchange Online Dedicated 環境中的租用戶)
適用於 Exchange 內部部署以及舊版 Exchange Online Dedicated 環境中租用戶的條件式存取原則會使用下列流程,來評估要允許還是封鎖裝置。
.jpeg "Conditional Access flow for Exchange On-Premises")
啟用 Exchange 內部部署原則
-
在 Configuration Manager 主控台中,按一下 [資產與相容性]。
-
依序展開 [相容性設定] 和 [條件式存取],然後按一下 [內部部署 Exchange]。
-
在 [常用] 索引標籤的 [內部部署 Exchange] 群組中,按一下 [設定條件存取原則]。
-
在 [設定條件存取原則精靈] 的 [一般] 頁面上,指定您的 Intune 租用戶網域名稱。 這是您用來設定 Intune 連接器的租用戶識別碼的尾碼。 例如,如果您使用的租用戶識別碼是 admin@corpemail.contoso.com,則您在這個精靈頁面上輸入的網域名稱會是 corpemail.contoso.com。
.jpeg "HybridCondAccessWiz1")
按一下 [下一步]。
-
在 [目標集合] 頁面上,加入一或多個使用者集合。 若要存取 Exchange,這些集合中的使用者必須向 Intune 註冊他們的裝置,也必須符合您部署的任何相容性原則。
.jpeg "HybridCondAccessWiz2")
按一下 [下一步]。
-
在 [豁免的集合] 頁面上,加入任何您想要豁免條件式存取原則的使用者集合。 這些群組中的使用者不需向 Intune 註冊其裝置,也不需要符合任何已部署的相容性原則,即可存取 Exchange。
.jpeg "HybridCondAccessWiz3")
若使用者同時隸屬於目標及免套用的清單,則他們將免套用條件式存取原則。
按一下 [下一步]。
-
在 [編輯使用者通知] 頁面上,設定 Intune 要傳送給使用者的電子郵件 (除了 Exchange 傳送的電子郵件之外),內含如何解除封鎖裝置的指示。
您可以編輯預設的訊息,並使用 HTML 標記來格式化文字的顯示方式。 您也可以事先傳送電子郵件給您的員工,通知他們即將進行變更,並提供有關註冊其裝置的指示。
.jpeg "HybridCondAccessWiz4")
注意事項由於包含修復指示的 Intune 通知電子郵件是傳遞到使用者的 Exchange 信箱,因此,若使用者的裝置在收到此電子郵件訊息之前已遭到封鎖,他們就能夠使用解除封鎖的裝置或其他方法來存取 Exchange 並檢視該訊息。
注意事項為了讓 Exchange 能夠傳送通知電子郵件,您必須設定將用來傳送通知電子郵件的帳戶。 請在設定 Exchange Server 連接器的內容時,進行此項作業。
按一下 [下一步]。
-
在 [摘要] 頁面上檢閱這些設定,然後完成精靈。
您不需部署條件式存取原則,它會立即生效。
使用者設定 Exchange ActiveSync 設定檔之後,可能需要 1-3 個小時才能封鎖裝置 (如果不是由 Intune 管理)。
如果封鎖的使用者之後使用 Intune 註冊裝置 (或修復不相容性),則會在 2 分鐘內解除電子郵件存取的封鎖。
如果使用者從 Intune 取消註冊,則可能需要 1-3 個小時才能封鎖裝置。