• Статья

Условный доступ в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteПримечание

Сведения, приведенные в этой статье, относятся к System Center 2012 Configuration Manager с пакетом обновления 2 (SP2) и System Center 2012 R2 Configuration Manager с пакетом обновления 1 (SP1).

Если вы используете расширение условного доступа для Microsoft Intune, учтите, что функциональные возможности этого расширения теперь включены в основной продукт и это расширение больше не отображается в узле Расширения для Microsoft Intune консоли Configuration Manager.

Однако со 2 ноября расширение условного доступа предоставляет следующую новую возможность для System Center 2012 R2 Configuration Manager с пакетом обновления 1 (SP1). Расширение будет отображаться в узле Расширения для Microsoft Intune консоли Configuration Manager.

  • Правило соответствия требованиям "Минимальная версия ОС"

  • Правило соответствия требованиям "Максимальная версия ОС"

Используйте условный доступ в Configuration Manager для защиты электронной почты и других служб на устройствах, зарегистрированных в Microsoft Intune, в зависимости от указанных вами условий.

Типовой алгоритм настройки условного доступа может выглядеть следующим образом.

Advanced conditional access flow

Использование условного доступа для управления доступом к следующим службам:

  • Microsoft Exchange (локально)

  • Microsoft Exchange Online

  • Выделенная среда Exchange Online

  • SharePoint Online

Доступом к Exchange Online и локальной среде Exchange можно управлять из встроенного почтового клиента на следующих платформах:

  • Android 4.0 и более поздние версии, Samsung KNOX Standard 4.0 и более поздние версии

  • iOS 7.1 и более поздние версии

  • Windows Phone 8.1 и более поздней версии.

  • Почтовые приложения в Windows 8.1 и более поздних версиях

Доступом к SharePoint Online можно управлять из следующих приложений для указанных платформ:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android и iOS)

  • Microsoft Word (iOS)

  • Microsoft Excel (iOS)

  • Microsoft PowerPoint (iOS)

  • Microsoft OneNote (iOS)

Настольные приложения Office могут обращаться к Exchange Online и SharePoint Online на компьютерах, на которых запущены:

System_CAPS_noteПримечание

Компьютер должен быть присоединен к домену или соответствовать политикам, установленным в Intune.

Для реализации условного доступа в Configuration Manager настраиваются два типа политики.

  • Политики соответствия требованиям — это необязательные политики, которые можно развернуть для коллекций пользователей и использовать для оценки таких параметров, как:

    • Секретный код

    • Шифрование

    • Выполнено ли на устройстве рутирование или джейлбрейк

    • Находится ли электронная почта на устройстве под управлением политики Configuration Manager или Intune.

    Если на устройстве не развернута политика соответствия требованиям, все применимые политики условного доступа будут расценивать устройство как совместимое.

  • Политики условного доступа настраиваются для конкретной службы и определяют правила, указывающие, например, целевые группы безопасности Azure Active Directory или коллекции пользователей Configuration Manager, которые будут целевыми или будут исключены.

    Политика условного доступа к локальной службе Exchange настраивается в консоли Configuration Manager. Однако при настройке политики Exchange Online или SharePoint Online открывается консоль администрирования Microsoft Intune, в которой выполняется настройка политики.

    В отличие от других политик Intune или Configuration Manager, развертывание политик условного доступа не выполняется. Они настраиваются один раз и применяются ко всем целевым пользователям.

Если устройство не удовлетворяет настроенным вами условиям, запускается процесс регистрации устройства и исправления проблемы, из-за которой устройство не является соответствующим.

Перед началом работы

Перед началом использования условного доступа убедитесь, что заданы правильные требования:

Тип политики

Требования

Exchange Online (с использованием общей мультитенантной среды)

Условный доступ к Exchange Online поддерживает устройства под управлением:

  • Windows 8.1 и более поздней версии (при регистрации в Intune).

  • Windows 7.0 или Windows 8.1 (при присоединении к домену)

  • Windows Phone 8.1 и более поздней версии

  • iOS 7.1 и более поздние версии

  • Android 4.0 и более поздние версии, Samsung KNOX Standard 4.0 и более поздние версии

Дополнительно

  • Устройства должны быть присоединенных к рабочей области, в рамках этой процедуры устройство регистрируется в службе регистрации устройств Azure Active Directory (AAD DRS).

    Компьютеры, присоединенные к домену, должны быть автоматически зарегистрированы в Azure Active Directory с помощью групповой политики или MSI. В разделе Условный доступ для ПК этой статьи описываются все требования для включения условного доступа для ПК.

    Служба AAD DRS активируется автоматически для клиентов Intune и Office 365. Клиенты, которые уже развернули службу регистрации устройств ADFS, не будут видеть зарегистрированные устройства в своем локальном Active Directory.

  • Необходимо использовать подписку Office 365, включающую в себя Exchange Online (например, E3), а пользователи должны иметь лицензию на Exchange Online.

  • Коннектор Exchange Server является необязательным. Он подключает Configuration Manager к Microsoft Exchange Online и помогает отслеживать сведения об устройстве через консоль Configuration Manager (см. Управление мобильными устройствами с помощью Configuration Manager и Exchange). Соединитель не требуется для использования политик соответствия требованиям или политик условного доступа, но необходим для выполнения отчетов, которые помогут оценить влияние условного доступа.

Выделенная среда Exchange Online

Условный доступ к выделенной среде Exchange Online поддерживает устройства под управлением:

  • Windows 8 и более поздней версии (при регистрации в Intune).

  • Windows 7.0 или Windows 8.1 (при присоединении к домену)

    Условный доступ к компьютерам, присоединенным к домену, только для клиентов в новой выделенной среде Exchange Online.

  • Windows Phone 8 и более поздней версии

  • Любое устройство iOS, использующее почтовый клиент Exchange ActiveSync (EAS).

  • Android 4 и более поздней версии.

  • Для клиентов в выделенной среде Exchange Online прежних версий:

    Необходимо использовать коннектор Exchange Server, который подключает Configuration Manager к локальной среде Microsoft Exchange. Это позволяет управлять мобильными устройствами и обеспечивает условный доступ (см. Управление мобильными устройствами с помощью Configuration Manager и Exchange).

  • Для клиентов в новой выделенной среде Exchange Online:

    Необязательный коннектор Exchange Server подключает Configuration Manager к Microsoft Exchange Online и помогает отслеживать сведения об устройстве (см. Управление мобильными устройствами с помощью Configuration Manager и Exchange). Соединитель не требуется для использования политик соответствия требованиям или политик условного доступа, но необходим для выполнения отчетов, которые помогут оценить влияние условного доступа.

Exchange (локально)

Условный доступ к локальной системе Exchange поддерживается для следующих устройств.

  • Windows 8 и более поздней версии (при регистрации в Intune).

  • Windows Phone 8 и более поздней версии

  • Собственное почтовое приложение в iOS

  • Собственное почтовое приложение в Android 4 или более поздней версии

  • Приложение Microsoft Outlook в iOS и Android не поддерживается.

Дополнительно

  • Следует использовать Exchange 2010 или Exchange более поздней версии. Массив сервера клиентского доступа (CAS) сервера Exchange Server поддерживается.

    System_CAPS_tipСовет

    Если ваша среда Exchange находится в конфигурации серверов клиентского доступа, необходимо настроить локальный соединитель Exchange таким образом, чтобы он указывал на один из серверов клиентского доступа.

  • Необходимо использовать коннектор Exchange Server, который подключает Configuration Manager к локальной среде Microsoft Exchange. Это позволяет управлять мобильными устройствами и обеспечивает условный доступ (см. Управление мобильными устройствами с помощью Configuration Manager и Exchange).

    • Убедитесь, что используется последняя версия локального соединителя Exchange. Следует установить и настроить локальный соединитель Exchange с помощью консоли диспетчера конфигураций. Подробное пошаговое руководство см. в статье Управление мобильными устройствами с помощью Configuration Manager и Exchange.

    • Соединитель должен быть установлен только на первичном сайте System Center Configuration Manager.

    • Этот соединитель поддерживает среду серверов клиентского доступа Exchange. Соединитель необходимо настроить так, чтобы он обменивался данными с одним из серверов клиентского доступа Exchange.

  • Exchange ActiveSync можно настроить с помощью проверки подлинности на основе сертификатов или входа по учетным данным пользователя.

SharePoint Online

Условный доступ к SharePoint Online поддерживает устройства под управлением:

  • Windows 8.1 и более поздней версии (при регистрации в Intune).

  • Windows 7.0 или Windows 8.1 (при присоединении к домену)

  • Windows Phone 8.1 и более поздней версии

  • iOS 7.1 и более поздние версии

  • Android 4.0 и более поздние версии, Samsung KNOX Standard 4.0 и более поздние версии

Дополнительно

  • Устройства должны быть присоединенных к рабочей области, в рамках этой процедуры устройство регистрируется в службе регистрации устройств Azure Active Directory (AAD DRS).

    Компьютеры, присоединенные к домену, должны быть автоматически зарегистрированы в Azure Active Directory с помощью групповой политики или MSI. В разделе Условный доступ для ПК этой статьи описываются все требования для включения условного доступа для ПК.

    Служба AAD DRS активируется автоматически для клиентов Intune и Office 365. Клиенты, которые уже развернули службу регистрации устройств ADFS, не будут видеть зарегистрированные устройства в своем локальном Active Directory.

  • Требуется подписка SharePoint Online, а пользователи должны иметь лицензию на SharePoint Online.

Условный доступ для ПК

Условный доступ к Exchange Online и SharePoint Online можно настроить для компьютеров с настольными приложениями Office, которые отвечают следующим требованиям.

  • Компьютер должен работать под управлением Windows 7.0 или Windows 8.1.

  • Компьютер должен быть присоединен к домену или соответствовать требованиям.

    Для соответствия требованиям ПК должен быть зарегистрирован в Intune и соответствовать политикам.

    Для ПК, присоединенных к домену, необходимо задать автоматическую регистрацию устройства в Azure Active Directory.

  • Должна быть включена современная проверка подлинности Office 365, а также должны быть установлены все последние обновления Office.

    Современная проверка подлинности для клиентов Office 2013 под управлением Windows использует библиотеку проверки подлинности Active Directory (ADAL) и обеспечивает более высокий уровень безопасности, сравнимый с многофакторной проверкой подлинности и проверкой подлинности на основе сертификатов.

  • Настройте правила утверждений ADFS для блокирования несовременных протоколов проверки подлинности.

Следующие действия

Ознакомьтесь со следующими разделами, чтобы узнать о настройке политик соответствия требованиям и политик условного доступа для нужного сценария: