Uygulama Alanı: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Not
Bu konudaki bilgiler System Center 2012 Configuration Manager SP2 ve System Center 2012 R2 Configuration Manager SP1 için geçerlidir.
Microsoft Intune için Koşullu Erişim Uzantısı kullanıyorsanız bu uzantının işlevselliği artık çekirdek ürüne dahil edilmiştir ve bundan böyle Configuration Manager konsolunun Microsoft Intune Uzantıları düğümünde gösterilmeyecektir.
Ancak, 2 Kasım’dan itibaren Koşullu Erişim Uzantısı tarafından System Center 2012 R2 Configuration Manager SP1 için aşağıdaki işlevsellik sağlanır. Uzantı, Configuration Manager konsolunun Microsoft Intune Uzantıları düğümünde görüntülenir.
Belirttiğiniz koşullara bağlı olarak, Microsoft Intune ile kaydedilen cihazlardaki e-posta ve diğer hizmetleri güvenli hale getirmek için Configuration Manager hizmetinin koşullu erişim özelliğini kullanın.
Koşullu erişim için tipik bir akış şu şekilde görünebilir:
Şu hizmetlere erişimi yönetmek için koşullu erişimi kullanın:
Exchange Online ve Exchange Şirket İçi erişimini şu platformlarda yerleşik e-posta istemcisinden denetleyebilirsiniz:
Android 4.0 ve üzeri ile Samsung KNOX Standard 4.0 ve üzeri
iOS 7.1 ve üzeri
Windows Phone 8.1 ve üzeri
Windows 8.1 ve üzerindeki Posta uygulaması
SharePoint Online erişimini listelenen platformlar için şu uygulamalardan denetleyebilirsiniz:
Microsoft Office Mobile (Android)
Microsoft OneDrive (Android ve iOS)
Microsoft Word (iOS)
Microsoft Excel (iOS)
Microsoft PowerPoint (iOS)
Microsoft OneNote (iOS)
Office masaüstü uygulamaları, şu işletim sistemlerini çalıştıran bilgisayarlarda Exchange Online ve SharePoint Online’a erişebilir:
Not
Bilgisayarların etki alanına katılmış olması veya Intune’da belirtilen ilkelerle uyumlu olması gerekir.
Koşullu erişimi uygulamak için, Configuration Manager içinde iki ilke türünü yapılandırmanız gerekir:
Uyumluluk ilkeleri, kullanıcı koleksiyonlarına dağıtabileceğiniz ve aşağıdaki gibi ayarları değerlendirmenizi sağlayan isteğe bağlı ilkelerdir:
Bir cihaza hiç uyumluluk ilkesi dağıtılmazsa, geçerli koşullu erişim ilkeleri cihazı uyumlu olarak kabul eder.
Koşullu erişim ilkeleri belirli bir hizmet için yapılandırılır ve hedeflenecek ya da hariç tutulacak Azure Active Directory güvenlik kullanıcı grupları veya Configuration Manager kullanıcı koleksiyonları gibi kuralları tanımlar.
Şirket İçi Exchange koşullu erişim ilkesini Configuration Manager konsolundan yapılandırabilirsiniz. Ancak bir Exchange Online veya SharePoint Online ilkesi yapılandırdığınızda, ilkeyi yapılandıracağınız Microsoft Intune yönetim konsolu açılır.
Diğer Intune veya Configuration Manager ilkelerinden farklı olarak, koşullu erişim ilkeleri dağıtılmaz. Bunun yerine, bir kez yapılandırdıktan sonra bu ilkeler hedeflenen tüm kullanıcılarınız için geçerli olur.
Cihazlar yapılandırdığınız koşulları karşılamadığında, kullanıcı cihazı kaydetme ve cihazın uyumlu olmasını önleyen sorunu düzeltme sürecinde yönlendirilir.
Başlamadan önce
Koşullu erişimi kullanmaya başlamadan önce doğru gereksinimleri sağladığınızdan emin olun:
Exchange Online (paylaşılan çok kiracılı ortamı kullanarak) |
Exchange Online'a koşullu erişim aşağıdakileri çalıştıran cihazları destekler:
Windows 8.1 ve üzeri (Intune ile kaydedildiğinde) Windows 7.0 veya Windows 8.1 (etki alanına katıldığında) Windows Phone 8.1 ve üzeri iOS 7.1 ve üzeri Android 4.0 ve üzeri ile Samsung KNOX Standard 4.0 ve üzeri
Ek olarak:
Cihazlar iş yerine katılmış olmalıdır; bu, cihazı Azure Active Directory Cihaz Kayıt Hizmeti'ne (AAD DRS) kaydeder.
Etki alanına katılmış bilgisayarlar, grup ilkesi veya MSI üzerinden Azure Active Directory ile otomatik olarak kaydedilmelidir. Bu konudaki Bilgisayarlar için koşullu erişim bölümünde, bir bilgisayar için koşullu erişimin etkinleştirilmesine yönelik tüm gereksinimler açıklanır.
AAD DRS, Intune ve Office 365 müşterileri için otomatik olarak etkinleştirilir. ADFS Cihaz Kayıt Hizmeti'ni zaten dağıtan müşteriler, kayıtlı cihazlarını şirket içi Active Directory'lerinde görmez. Exchange Online içeren bir Office 365 aboneliği (örneğin E3) kullanmanız ve kullanıcıların Exchange Online lisansına sahip olması gerekir. Exchange Server bağlayıcısı isteğe bağlıdır ve Configuration Manager’ı Microsoft Exchange Online’a bağlayarak Configuration Manager konsolu üzerinden cihaz bilgilerini izlemenizi sağlar (bkz. Configuration Manager'ı ve Exchange'i Kullanarak Mobil Cihazları Yönetme). Uyumluluk ilkeleri veya koşullu erişim ilkelerini kullanmak için bağlayıcıyı kullanmanıza gerek yoktur, ancak koşullu erişimin etkisini değerlendirmeye yardımcı olan raporları çalıştırmak için bu gereklidir. |
Exchange Online Ayrılmış |
Exchange Online Ayrılmış hizmetine koşullu erişim aşağıdakileri çalıştıran cihazları destekler:
Windows 8 ve üzeri (Intune hizmetine kaydedildiğinde) Windows 7.0 veya Windows 8.1 (etki alanına katıldığında)
Etki alanına katılmış bilgisayarlara koşullu erişim, yalnızca yeni Exchange Online ayrılmış ortamındaki kiracılar içindir. Windows Phone 8 ve üzeri Exchange ActiveSync (EAS) e-posta istemcisi kullanan iOS cihazlar Android 4 ve üzeri. Eski Exchange Online Ayrılmış ortamındaki kiracılar için:
Configuration Manager’ı Microsoft Exchange Şirket İçi’ne bağlayan Exchange Server bağlayıcısını kullanmanız gerekir. Bu sayede mobil cihazları yönetebilir ve koşullu erişimi etkinleştirebilirsiniz (bkz. Configuration Manager'ı ve Exchange'i Kullanarak Mobil Cihazları Yönetme). Yeni Exchange Online Ayrılmış ortamındaki kiracılar için:
İsteğe bağlı Exchange Server bağlayıcısıConfiguration Manager’ı Microsoft Exchange Online’a bağlar ve cihaz bilgilerini yönetmenizi sağlar (bkz. Configuration Manager'ı ve Exchange'i Kullanarak Mobil Cihazları Yönetme). Uyumluluk ilkeleri veya koşullu erişim ilkelerini kullanmak için bağlayıcıyı kullanmanıza gerek yoktur, ancak koşullu erişimin etkisini değerlendirmeye yardımcı olan raporları çalıştırmak için bu gereklidir. |
Exchange Şirket İçi |
Exchange Şirket içine koşullu erişim aşağıdakileri destekler:
Windows 8 ve üzeri (Intune hizmetine kaydedildiğinde) Windows Phone 8 ve üzeri iOS’ta yerel e-posta uygulaması Android 4 veya üzerinde yerel e-posta uygulaması Android ve iOS’ta Microsoft Outlook uygulaması desteklenmez.
Ek olarak:
Exchange sürümünüzün Exchange 2010 veya üzeri olması gerekir. Exchange Server İstemci Erişimi Sunucusu (CAS) dizisi desteklenir.
Exchange ortamınız bir CAS sunucu yapılandırması içindeyse şirket içi Exchange bağlayıcısını, CAS sunucularından birini işaret edecek şekilde yapılandırmanız gerekir. |
Configuration Manager’ı Microsoft Exchange Şirket İçi’ne bağlayan Exchange Server bağlayıcısını kullanmanız gerekir. Bu sayede mobil cihazları yönetebilir ve koşullu erişimi etkinleştirebilirsiniz (bkz. Configuration Manager'ı ve Exchange'i Kullanarak Mobil Cihazları Yönetme).
En son şirket içi Exchange bağlayıcısı sürümünü kullandığınızdan emin olun. Şirket içi Exchange bağlayıcısının Configuration Manager konsolu aracılığıyla yüklenmesi ve yapılandırılması gerekir. Ayrıntılı bilgi için bkz. Configuration Manager'ı ve Exchange'i Kullanarak Mobil Cihazları Yönetme. Bağlayıcı, yalnızca System Center Configuration Manager Birincil Sitesinde yüklü olmalıdır. Bu bağlayıcı Exchange CAS ortamını destekler. Bağlayıcıyı, Exchange CAS sunucularından biriyle iletişim kurabilecek şekilde yapılandırmanız gerekir. Exchange ActiveSync sertifika tabanlı kimlik doğrulaması veya kullanıcı kimlik bilgileri girişiyle yapılandırılabilir |
SharePoint Online |
SharePoint Online'a koşullu erişim aşağıdakileri çalıştıran cihazları destekler:
Windows 8.1 ve üzeri (Intune ile kaydedildiğinde) Windows 7.0 veya Windows 8.1 (etki alanına katıldığında) Windows Phone 8.1 ve üzeri iOS 7.1 ve üzeri Android 4.0 ve üzeri ile Samsung KNOX Standard 4.0 ve üzeri
Ek olarak:
Cihazlar iş yerine katılmış olmalıdır; bu, cihazı Azure Active Directory Cihaz Kayıt Hizmeti'ne (AAD DRS) kaydeder.
Etki alanına katılmış bilgisayarlar, grup ilkesi veya MSI üzerinden Azure Active Directory ile otomatik olarak kaydedilmelidir. Bu konudaki Bilgisayarlar için koşullu erişim bölümünde, bir bilgisayar için koşullu erişimin etkinleştirilmesine yönelik tüm gereksinimler açıklanır.
AAD DRS, Intune ve Office 365 müşterileri için otomatik olarak etkinleştirilir. ADFS Cihaz Kayıt Hizmeti'ni zaten dağıtan müşteriler, kayıtlı cihazlarını şirket içi Active Directory'lerinde görmez. Bir SharePoint Online aboneliği gereklidir ve kullanıcıların SharePoint Online lisansına sahip olması gerekir. |
Bilgisayarlar için koşullu erişim |
Aşağıdaki gereksinimleri karşılayan bilgisayarlar için Exchange Online ve SharePoint Online’a erişmek amacıyla Office masaüstü uygulamalarını çalıştıran bilgisayarlara yönelik koşullu erişimi ayarlayabilirsiniz:
Bilgisayarın Windows 7.0 veya Windows 8.1 çalıştırıyor olması gerekir. Bilgisayarın etki alanına katılmış veya uyumlu olması gerekir.
Uyumlu olması için, bilgisayarın Intune’da kayıtlı olması ve ilkelere uyması gerekir.
Etki alanına katılmış bilgisayarları, Azure Active Directory ile otomatik olarak kaydedilecek şekilde ayarlamanız gerekir. Office 365 modern kimlik doğrulamanın etkin olması ve en son Office güncelleştirmelerine sahip olması gerekir.
Modern kimlik doğrulama, Office 2013 Windows istemcileri için Active Directory Authentication Library (ADAL) tabanlı oturum açma özelliği sunar ve çok faktörlü kimlik doğrulaması ile sertifika tabanlı kimlik doğrulaması gibi daha üst düzey güvenlik sağlar. Modern olmayan kimlik doğrulama protokollerini engellemek için ADFS talep kurallarını ayarlayın. |
Sonraki Adımlar
Gerekli senaryonuz için uyumluluk ilkeleri ve koşullu erişim ilkelerini nasıl yapılandıracağınızı öğrenmek için aşağıdaki konuları okuyun:
.jpeg "Advanced conditional access flow")
.jpeg "System_CAPS_tip")
İpucu