Share via

  • Artigo

Acesso condicional para Email do Exchange no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObservação

As informações neste tópico se aplicam somente ao System Center 2012 Configuration Manager SP1 ou posterior, e ao System Center 2012 R2 Configuration Manager ou posterior.

Use as políticas de acesso condicional do Gerenciador de Configurações para gerenciar o acesso a email do Exchange com base nas condições especificadas.

Você pode gerenciar o acesso a:

  • Microsoft Exchange Local

  • Microsoft Exchange Online

  • Exchange Online dedicado

Se você configurar o acesso condicional, antes que um usuário possa se conectar ao seu email, o dispositivo que ele usa deve:

  • Estar registrado no Intune ou em um PC ingressado no domínio.

  • Registre o dispositivo no Active Directory do Azure (isso ocorrerá automaticamente quando o dispositivo for registrado com Intune - somente para o Exchange Online). Além disso, a ID do cliente do Exchange ActiveSync deve estar registrada no Azure Active Directory (não se aplica a dispositivos Windows e Windows Phone conectados ao Exchange local).

    Para um PC integrado ao domínio, você deve configurá-lo para se registrar automaticamente ao Active Directory do Azure. A seção Acesso condicional para PCs no tópico Acesso condicional no Configuration Manager lista o conjunto completo de requisitos para habilitar o acesso condicional para PCs.

  • Ser compatível com todas as políticas de conformidade do Gerenciador de Configurações implantadas nesse dispositivo

Se uma condição para o acesso condicional não for atendida, o usuário receberá uma das seguintes mensagens ao fazer logon:

  • Se o dispositivo não estiver registrado no Intune ou no Active Directory do Azure, será exibida uma mensagem com instruções sobre como instalar o aplicativo do portal da empresa, registrar o dispositivo e (para dispositivos Android e iOS), ativar o email, que associa a ID do Exchange ActiveSync do dispositivo ao registro do dispositivo no Active Directory do Azure.

  • Se o dispositivo não for compatível, será exibida uma mensagem que direciona o usuário para o portal da Web Intune, onde ele pode encontrar informações sobre o problema e como corrigi-lo.

Para PCs:

  • Se o requisito de política de acesso condicional for permitir qualquer dispositivo ingressado no domínio ou compatível, será exibida uma mensagem com instruções sobre como registrá-lo. Se o PC não atender a qualquer dos requisitos, será solicitado que o usuário registre o dispositivo com Intune.

  • Se o requisito de política de acesso condicional for configurado para permitir apenas dispositivos Windows ingressados no domínio, o dispositivo será bloqueado e será exibida uma mensagem para o usuário entrar em contato com o administrador de TI.

Você pode bloquear o acesso ao email do Exchange a partir do cliente de email Exchange ActiveSync interno aos dispositivos das seguintes plataformas:

  • Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior

  • iOS 7.1 e posterior

  • Windows Phone 8.1 e posterior

  • O aplicativo Mail no Windows 8.1 e posterior

O aplicativo do Outlook para iOS e Android e o Outlook Desktop 2013 tem suporte apenas do Exchange Online.

O conector do Exchange no Local entre o Gerenciador de Configurações e o Exchange é necessário para que o acesso condicional funcione.

É possível configurar uma política de acesso condicional para o Exchange no Local no console do Gerenciador de Configurações. Ao configurar uma política de acesso condicional para o Exchange Online, é possível começar o processo no console do Gerenciador de Configurações, que inicia o console do Microsoft Intune no qual você pode concluir o processo.

Etapa 1: Avaliar o efeito da política de acesso condicional

Depois de configurar o conector do Exchange no Local, você pode usar o relatório Gerenciador de Configurações Lista de dispositivos por Estado de Acesso Condicional para identificar os dispositivos que serão impedidos de acessar o Exchange após a configuração da política de acesso condicional. Este relatório também exige:

  • Uma assinatura do Intune

  • O Conector do Intune deve ser configurado e implantado

Nos parâmetros do relatório, selecione o grupo Intune que você deseja avaliar e, se necessário, as plataformas de dispositivo às quais a política se aplicará.

Para obter mais informações sobre como executar relatórios, consulte Relatórios no Configuration Manager.

Depois de executar o relatório, examine essas quatro colunas para determinar se um usuário será bloqueado:

  • Canal de gerenciamento – indica se o dispositivo é gerenciado pelo Intune, pelo Exchange ActiveSync ou por ambos.

  • Registrado no AAD – Indica se o dispositivo está registrado no Active Directory do Azure (conhecido como Ingresso no Local de Trabalho).

  • Em conformidade – indica se o dispositivo é compatível com as políticas de conformidade que você implantou.

  • EAS ativado – Os dispositivos iOS e Android precisam ter sua ID do Exchange ActiveSync associada ao registro do registro de dispositivo no Active Directory do Azure. Isso acontece quando o usuário clica no link Ativar Email no email de quarentena.

    System_CAPS_noteObservação

    Dispositivos Windows Phone sempre exibem um valor nesta coluna.

Os dispositivos que fazem parte de um grupo de destino serão impedidos de acessar o Exchange, a menos que os valores na coluna correspondam aos valores listados na seguinte tabela:

Canal de gerenciamento

Registrado no AAD

Compatível

EAS ativado

Ação resultante

Gerenciado pelo Microsoft Intune e pelo Exchange ActiveSync

Sim

Sim

Sim ou Não é exibido

Acesso ao email permitido

Qualquer outro valor

Não

Não

Nenhum valor é exibido

Acesso ao email bloqueado

Você pode exportar o conteúdo do relatório e usar a coluna Endereço de email para ajudar a informar os usuários de que eles serão bloqueados.

Etapa 2: Configurar grupos de usuários ou coleções para a política de acesso condicional

Direcione as políticas de acesso condicional a diferentes grupos ou coleções de usuários de acordo com os tipos de política. Esses grupos contêm os usuários que serão afetados ou que ficarão isentos da política. Quando um usuário é afetado por uma política, cada dispositivo que ele usa deve ser compatível para que possa acessar o email.

  • Para a política do Exchange Online – destinada a grupos de usuários de segurança do Active Directory Você pode configurar esses grupos no Centro de administração do Office 365 ou no Portal de conta do Intune.

  • Para a política do Exchange no Local – para coleções de usuários do Gerenciador de Configurações. É possível configurá-las no espaço de trabalho Ativos e Conformidade.

Você pode especificar dois tipos de grupo em cada política:

  • Grupos destinados – Grupos ou coleções de usuários aos quais a política é aplicada

  • Grupos isentos – Grupos de usuários isentos da política (opcional)

Se um usuário estiver nas duas, ele ficará isento da política.

Somente os grupos ou coleções que são destinados pela política de acesso condicional são avaliados para o acesso ao Exchange.

Etapa 3: Configurar e implantar uma política de conformidade

Certifique-se de que você criou e implantou uma política de conformidade para todos os dispositivos aos quais a política de acesso condicional do Exchange será direcionada.

Para obter detalhes sobre como configurar a política de conformidade, veja Políticas de Conformidade no Configuration Manager.

System_CAPS_importantImportante

Se você habilitar a política de acesso condicional do Exchange sem ter antes implantado uma política de conformidade, todos os dispositivos de destino terão o acesso permitido.

Quando estiver pronto, continue para a Etapa 4.

Etapa 4: Configurar a política de acesso condicional

Para p Exchange Online (e locatários no novo ambiente do Exchange Online dedicado)

As políticas de acesso condicional usam o seguinte fluxo para o Exchange Online para decidir se devem permitir ou bloquear os dispositivos.

Flow for Exchange Online Conditional Access

Para acessar o email, o dispositivo deve:

  • Estar registrado no Intune

  • Os PCs devem estar ingressados no domínio ou serem registrados e compatíveis com as políticas definidas em Intune.

  • Registre o dispositivo no Active Directory do Azure (isso ocorre automaticamente quando o dispositivo for registrado no Intune).

    Para PCs ingressados no domínio, você deve configurá-lo para registrar o dispositivo automaticamente com o Active Directory do Azure.

  • Ter ativado o email, que associa a ID do Exchange ActiveSync do dispositivo ao registro do dispositivo no Azure Active Directory (aplica-se somente a dispositivos iOS e Android).

  • Ser compatível com todas as políticas de conformidade implantadas

O estado do dispositivo é armazenado no Azure Active Directory, que concede ou bloqueia o acesso ao email, com base nas condições avaliadas.

Se uma condição não for atendida, o usuário receberá uma das seguintes mensagens de erro ao fazer logon:

  • Se o dispositivo não estiver registrado no Azure Active Directory, será exibida uma mensagem com instruções sobre como instalar o aplicativo do portal da empresa e registrar

  • Se o dispositivo não for compatível, será exibida uma mensagem que direciona o usuário para o portal da Web Intune, onde ele pode encontrar informações sobre o problema e como corrigi-lo.

  • Para um PC:

    • Se a política estiver definida para exigir o ingresso no domínio e o PC não tiver ingressado no domínio, uma mensagem será exibida para que o usuário entre em contato com o administrador de TI.

    • Se a política estiver definida para exigir ingresso no domínio ou compatibilidade e o PC não atender a nenhum dos dois requisitos, será exibida uma mensagem com instruções sobre como instalar o aplicativo do portal da empresa e realizar o registro.

A mensagem é exibida no dispositivo para usuários e locatários do Exchange Online no novo ambiente dedicado do Exchange Online, e é entregue à caixa de entrada de email dos usuários para dispositivos Exchange locais e dispositivos herdados do Exchange Online dedicado.

System_CAPS_noteObservação

As regras de acesso condicional do Gerenciador de Configurações substituem, permitem, bloqueiam e colocam em quarentena as regras que são definidas no console de administração do Exchange Online.
System_CAPS_noteObservação

A política de acesso condicional deve ser configurada no console do Intune. As etapas a seguir começam pelo acesso do console do Intune por meio do Configuration Manager. Se solicitado, faça logon usando as mesmas credenciais que foram usadas para configurar o conector entre o Intune e o Configuration Manager.

Para habilitar a política do Exchange Online

  1. No console do Gerenciador de Configurações, clique em Ativos e Conformidade.

  2. Expanda Configurações de conformidade, expanda Acesso condicional e clique em Exchange Online.

  3. Na guia Início, no grupo Links, clique em Configurar Política de Acesso Condicional no Console do Intune. Talvez seja necessário fornecer o nome de usuário e a senha da conta usada para conectar o Gerenciador de Configurações a qualquer administrador global para o serviço do Intune.

    O console de administração do Intune é aberto.

  4. No Console de administração do Microsoft Intune, clique em Política > Acesso Condicional > Política do Exchange Local.

    HybridOnlineSetupInIntune

  5. Na página Política do Exchange Online, selecione Habilitar política de acesso condicional para o Exchange Online. Se você marcar essa opção, o dispositivo deverá ser compatível. Se essa opção não estiver marcada, o acesso condicional não será aplicado.

    System_CAPS_noteObservação

    Se você habilitar a política do Exchange Online sem ter antes implantado uma política de conformidade, todos os dispositivos de destino serão relatados como compatíveis.

    Independentemente do estado de conformidade, todos os usuários aos quais a política se destina precisarão registrar seus dispositivos com o Intune.

  6. Em Aplicativos que usam autenticação moderna, você pode optar por restringir o acesso a apenas os dispositivos compatíveis para cada plataforma. Os dispositivos Windows devem estar ingressados no domínio ou então devem ser compatíveis e estar registrados no Intune.

    System_CAPS_tipDica

    Autenticação moderna traz a entrada baseada no ADAL (Active Directory Authentication Library) para clientes Office.

    • A autenticação com base em ADAL permite que os clientes Office participem de autenticação baseada em navegador (também conhecida como autenticação passiva). Para autenticar, o usuário é direcionado a uma página da Web de entrada.

    • Esse novo método de entrada permite novos cenários, como acesso condicional, com base em conformidade do dispositivo e se a autenticação multifator foi executada.

    Esse artigo tem informações mais detalhadas sobre como a autenticação moderna funciona.

    Usando o Exchange Online com o Configuration Manager e o Intune, você pode gerenciar dispositivos móveis com acesso condicional e computadores desktop. Os PCs devem estar ingressados no domínio ou então devem ser compatíveis e estar registrados no Intune. Você pode definir os seguintes requisitos:

    - **Os dispositivos devem estar ingressados no domínio ou ser compatíveis.** Os PCs devem estar ingressados no domínio ou ser compatíveis com as políticas definidas no Intune. Se um PC não atender a esses requisitos, será solicitado que o usuário registre o dispositivo no Intune.

- **Os dispositivos devem estar ingressados no domínio.** Os PCs devem estar ingressados no domínio para acessar o Exchange Online. Se um PC não estiver ingressado no domínio, o acesso ao email será bloqueado e será solicitado que o usuário entre em contato com o administrador de TI.

- **Os dispositivos devem ser compatíveis.** Os PCs devem ser compatíveis e estar registrados no Intune. Se um PC não estiver registrado, será exibida uma mensagem com instruções sobre como registrá-lo.

  7. Em Aplicativos de email do Exchange ActiveSync, você pode optar por bloquear o acesso de email ao Exchange Online se o dispositivo não for compatível e selecionar se deseja permitir ou bloquear o acesso ao email quando o Intune não puder gerenciar o dispositivo.

  8. Em Grupos de destino, selecione os grupos de segurança de usuários do Active Directory aos quais a política será aplicada.

    System_CAPS_noteObservação

    Para usuários que estão nos grupos de destino, as políticas do Intune substituirão as regras e políticas do Exchange.

    Só serão impostas pelo Exchange as regras de permissão, bloqueio e quarentena e as políticas do Exchange se:

    • O usuário não estiver licenciado para o Intune.

    • O usuário estiver licenciado para o Intune, mas ele não pertencer a nenhum grupo de segurança direcionado na política de acesso condicional.

  9. Em Grupos isentos, selecione os grupos de segurança de usuários do Active Directory que serão isentos desta política. Se um usuário estiver nos grupos afetados e nos grupos isentos, ele ficará isento da política e terá acesso ao email dele.

  10. Ao terminar, clique em Salvar.

  • Você não precisa implantar a política de acesso condicional; ela entra em vigor imediatamente.

  • Depois que um usuário cria uma conta de email, o dispositivo é bloqueado imediatamente.

  • Se um usuário bloqueado registrar o dispositivo no Intune (ou solucionar a incompatibilidade), o acesso ao email será desbloqueado em 2 minutos.

  • Se o usuário cancelar o registro de seu dispositivo, o email será bloqueado após cerca de 6 horas.

Para o Exchange local (e locatários no ambiente herdado do Exchange Online dedicado)

O seguinte fluxo é usado pelas políticas de acesso condicional para o Exchange local e locatários no ambiente herdado do Exchange Online dedicado para decidir entre permitir ou bloquear dispositivos.

Conditional Access flow for Exchange On-Premises

Para habilitar a política do Exchange no Local

  1. No console do Gerenciador de Configurações, clique em Ativos e Conformidade.

  2. Expanda Configurações de conformidade, expanda Acesso condicional e clique em Exchange no Local.

  3. Na guia Início, no grupo Exchange no Local, clique em Configurar Política de Acesso Condicional.

  4. Na página Geral do Assistente para Configurar a Política de Acesso Condicional, especifique o nome de domínio do locatário do Intune. Esse é o sufixo da ID do locatário usada para configurar o conector do Intune. Por exemplo, se a ID de locatário usada for admin@corpemail.contoso.com, o nome de domínio que você inserirá nesta página do assistente será corpemail.contoso.com.

    HybridCondAccessWiz1

    Clique em Avançar.

  5. Na página Coleções de Destino, adicione uma ou mais coleções de usuários. Para acessar o Exchange, os usuários nessas coleções devem registrar seus dispositivos no Intune e também estar em conformidade com as políticas de conformidade implantadas.

    HybridCondAccessWiz2

    Clique em Avançar.

  6. Na página Coleções Isentas, adicione todas as coleções de usuário que deseja isentar da política de acesso condicional. Os usuários nesses grupos não precisam registrar seus dispositivos no Intune e não precisam estar em conformidade com as políticas de conformidade implantadas para acessar o Exchange.

    HybridCondAccessWiz3

    Se um usuário aparecer nas listas de destino e isenta, ele ficará isento da política de acesso condicional.

    Clique em Avançar.

  7. Na página Editar Notificação do Usuário, configure o email enviado aos usuários pelo Intune com instruções sobre como desbloquear seus dispositivos (além do email enviado pelo Exchange).

    Você pode editar a mensagem padrão e usar marcas HTML para formatar como o texto é exibido. Você também pode enviar um email com antecedência para seus funcionários, notificando sobre as alterações futuras e fornecendo instruções sobre como registrar seus dispositivos.

    HybridCondAccessWiz4

    System_CAPS_noteObservação

    Como o email de notificação do Intune que contém instruções de correção é entregue à caixa de correio do Exchange do usuário, se o dispositivo do usuário for bloqueado antes dele receber a mensagem de email, ele podem usar um dispositivo desbloqueado ou outro método para acessar o Exchange e exibir a mensagem.
    System_CAPS_noteObservação

    Para que o Exchange possa enviar o email de notificação, você deve configurar a conta que será usada para enviar o email de notificação. Faça isso ao configurar as propriedades do conector do Exchange Server.

    Para obter detalhes, consulte Como gerenciar dispositivos móveis usando o Configuration Manager e o Exchange.

    Clique em Avançar.

  8. Na página Resumo, examine as configurações e conclua o assistente.

  • Você não precisa implantar a política de acesso condicional, ele entra em vigor imediatamente.

  • Depois que um usuário configura um perfil do Exchange ActiveSync, pode levar de 1 a 3 horas para o dispositivo ser bloqueado (se ele não for gerenciado pelo Intune).

  • Se um usuário bloqueado registrar o dispositivo no Intune (ou solucionar a incompatibilidade), o acesso ao email será desbloqueado em 2 minutos.

  • Se o usuário cancelar o registro do Intune, pode levar de 1 a 3 horas para o dispositivo ser bloqueado.