Share via

  • Статья

Условный доступ для SharePoint Online в Configuration Manager

 

Применимо к:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteПримечание

Указанные в этом разделе сведения относятся к System Center 2012 Configuration Manager с пакетом обновления 1 (SP1) и System Center 2012 R2 Configuration Manager или более поздних версий.

Используйте политику условного доступа Configuration Manager SharePoint Online для управления доступом к файлам OneDrive для бизнеса, расположенным в SharePoint Online, на основе указанных условий.

Когда целевой пользователь пытается подключиться к файлу с помощью поддерживаемого приложения (например, OneDrive) на устройстве, выполняется следующий анализ.

Conditional Access for SharePoint

Для подключения к необходимым файлам устройство под управлением OneDrive должно:

  • Устройство должно быть зарегистрировано в Microsoft Intune или на ПК, присоединенном к домену.

  • Зарегистрируйте устройство в Azure Active Directory (это происходит автоматически при регистрации устройства в Intune).

    Для ПК, присоединенных к домену, необходимо задать автоматическую регистрацию в Azure Active Directory.

  • Устройство должно удовлетворять всем развернутым политикам соответствия Configuration Manager.

Состояние устройства хранится в службе Azure Active Directory, которая предоставляет или блокирует доступ к файлам на основе указанных условий.

Если условие не выполняется, при входе пользователь получает следующие сообщения:

  • если устройство не зарегистрировано в Intune либо в Azure Active Directory, выводится сообщение с инструкциями о том, как установить приложение корпоративного портала и выполнить регистрацию;

  • если устройство не соответствует требованиям, отображается сообщение, направляющее пользователя на веб-портал Intune, где можно найти сведения о данной проблеме и способах ее решения.

  • Для ПК:

    • если политика требует присоединения к домену, а ПК не присоединен к домену, отобразится сообщение, рекомендующее обратиться к ИТ-администратору;

    • если политика требует присоединения к домену или соответствия политике, это означает, что ПК не соответствует какому-либо из требований, и отобразится сообщение с инструкциями о том, как установить приложение корпоративного портала и выполнить регистрацию.

Блокировка доступа к SharePoint Online осуществляется из следующих приложений.

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android и iOS)

  • Microsoft Word (Android и iOS)

  • Microsoft Excel (Android и iOS)

  • Microsoft PowerPoint (Android и iOS)

  • Microsoft OneNote (Android и iOS)

Действия по настройке условного доступа для SharePoint Online

Шаг 1. Настройка групп безопасности Active Directory

Прежде чем начать, настройте политику условного доступа в группах безопасности Azure Active Directory. Эти группы можно настроить в Центре администрирования Office 365 или на портале учетных записей Intune. Эти группы содержат пользователей, которые будут являться целями для политики или будут исключены из нее. Если на пользователя распространяется действие политики, каждое используемое им устройство должно соответствовать этой политике, чтобы он мог получить доступ к ресурсам.

В каждой политике SharePoint Online можно указать два типа групп:

  • целевые группы — группы пользователей, к которым применяется политика;

  • исключенные группы — группы пользователей, которые исключены из политики (необязательно).

Если пользователь входит в обе группы, то он будет исключен из политики.

Шаг 2. Настройка и развертывание политики соответствия требованиям

Убедитесь, что политика соответствия создана и развернута для всех устройств, на которые будет нацелена политика SharePoint Online.

System_CAPS_noteПримечание

Во время развертывания политик соответствия в группах Intune или коллекциях Configuration Manager политики условного доступа нацелены на группы безопасности Azure Active Directory.

Дополнительные сведения о настройке политики соответствия см. в разделе Политики соответствия требованиям в Configuration Manager.

System_CAPS_importantВажно

Если включить политику SharePoint Online без развернутой политики соответствия, то всем целевым устройствам будет разрешен доступ.

Когда будете готовы, перейдите к шагу 3.

Шаг 3. Настройка политики SharePoint Online

Далее настройте в политике требование, разрешающее доступ к SharePoint Online только для управляемых и соответствующих политике устройств. Эта политика будет храниться в Azure Active Directory.

  1. В консоли Configuration Manager щелкните элемент Активы и соответствие.

  2. Выберите Включить политику условного доступа для SharePoint Online..

  3. В разделе Приложения, использующие современные способы проверки подлинности вы можете ограничить доступ, предоставив его только для устройств, которые соответствуют требованиям для каждой платформы.

    System_CAPS_tipСовет

    Современная проверка подлинности активирует для клиентов Office процедуру входа на основе библиотеки проверки подлинности Active Directory (ADAL).

    • Процедура проверки подлинности на основе ADAL позволяет клиентам Office применять проверку подлинности на основе браузера (также называемую пассивной проверкой подлинности). Для проверки подлинности пользователь перенаправляется на веб-страницу входа в систему.

    • Это новый метод входа, который позволяет реализовать новые сценарии, например условный доступ, на основе политик соответствия устройств и выполнения многофакторной проверки подлинности.

    В данной статье содержатся более подробные сведения о современной процедуре проверки подлинности.

    ПК Windows должны быть присоединены к домену или зарегистрированы в Intune и должны соответствовать политике. Можно задать следующие требования.

    - **Устройства должны быть присоединены к домену или должны соответствовать политикам.** Это означает, что ПК должны быть присоединены к домену или должны соответствовать политикам, заданным в разделе Intune. Если ПК не соответствует каким-либо требованиям, пользователя попросят зарегистрировать устройство в Intune.

- **Устройства должны быть присоединены к домену.** Это означает, что ПК должны быть присоединены к домену для доступа к Exchange Online. Если ПК не присоединен к домену, доступ к почте будет заблокирован, и пользователя попросят обратиться к ИТ-администратору.

- **Устройства должны соответствовать политикам.** Это означает, что ПК должны быть зарегистрированы в Intune и должны соответствовать политикам. Если ПК не зарегистрирован, отобразится сообщение с инструкциями по регистрации.

  4. На вкладке Главная в группе Ссылки щелкните пункт Настройка политики условного доступа в консоли Intune. Может потребоваться ввод имени пользователя и пароля учетной записи, используемой для подключения Configuration Manager к Intune.

    Откроется консоль администрирования Intune.

  5. На консоли администрирования Microsoft Intune щелкните Политика > Условный доступ > Политика SharePoint Online.

  6. Выберите Блокировать доступ приложения к SharePoint Online, если устройство не соответствует требованиям.

  7. В разделе Целевые группы щелкните Изменить, чтобы выбрать группы безопасности Azure Active Directory, к которым будет применена политика.

  8. Дополнительно в разделе Исключенные группы можно щелкнуть Изменить, чтобы выбрать группы безопасности Azure Active Directory, которые будут исключены из этой политики.

  9. По завершении нажмите кнопку Сохранить.

Развертывать политику условного доступа не нужно, она вступает в силу немедленно.

В разделе Управление доступом к SharePoint Online в Microsoft Intune см. сведения о том, как можно контролировать политику с консоли Intune.