Podmíněný přístup pro SharePoint Online v Configuration Manageru

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Poznámka

Informace v tomto tématu se vztahují na System Center 2012 Configuration Manager SP1 a novější verze a na System Center 2012 R2 Configuration Manager a novější verze.

Pomocí zásady podmíněného přístupu pro Configuration ManagerSharePoint Online můžete spravovat přístup k souborům OneDrivu pro firmy na SharePointu Online, a to na základě podmínek, které určíte.

Když se cílový uživatel na svém zařízení pokusí připojit k souboru pomocí podporované aplikace, jako je například OneDrive, dojde k následujícímu vyhodnocení:

Conditional Access for SharePoint

Aby bylo možné se připojit se k požadovaným souborům, musí pro zařízení, na kterém běží OneDrive, platit následující:

  • Musí být zaregistrované ve službě Microsoft Intune nebo v počítači připojeném k doméně.

  • Zaregistrujte zařízení do Azure Active Directory (k tomu automaticky dojde při registraci zařízení ve Intune).

    Pro počítače připojené k doméně ho musíte nastavit na automatickou registraci v Azure Active Directory.

  • Musí splňovat všechny nasazené zásady dodržování předpisů Configuration Manager.

Stav zařízení je uložený ve službě Azure Active Directory, která uděluje nebo blokuje přístup k souborům na základě podmínek, které zadáte.

Pokud není podmínka splněná, zobrazí se uživateli při přihlášení jedna z následujících zpráv:

  • Pokud není zařízení zaregistrované v Intune nebo v Azure Active Directory, zobrazí se zpráva s pokyny pro instalaci aplikace portálu společnosti a registraci.

  • Pokud zařízení není kompatibilní, zobrazí se zpráva, která uživatele přesměruje na webový portál Intune, kde může najít informace o problému a jeho řešení.

  • Počítač:

    • Pokud je zásada nastavená tak, aby vyžadovala připojení k doméně, a počítač k doméně připojený není, zobrazí se zpráva, aby uživatel kontaktoval správce IT.

    • Pokud je zásada nastavená tak, aby vyžadovala připojení k doméně nebo splňování předpisů, a počítač ani jednu z těchto požadavků nesplňuje, zobrazí se zpráva s pokyny, jak nainstalovat aplikaci Portál společnosti a provést registraci.

Přístup k SharePointu Online můžete zablokovat z následujících aplikací:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android a iOS)

  • Microsoft Word (Android a iOS)

  • Microsoft Excel (Android a iOS)

  • Microsoft PowerPoint (Android a iOS)

  • Microsoft OneNote (Android a iOS)

Postup konfigurace podmíněného přístupu pro SharePoint Online

Krok 1: Konfigurace skupin zabezpečení služby Active Directory

Než začnete, nakonfigurujte pro skupiny zabezpečení služby Azure Active Directory zásadu podmíněného přístupu. Tyto skupiny můžete nakonfigurovat v Centru pro správu Office 365 nebo na Portálu účtů Intune. Tyto skupiny obsahují uživatele, na které budou zásady cílit, nebo kteří budou z těchto zásad vyjmutí. Pokud je uživatel cílem zásady, musí každé jím používané zařízení splňovat zásady, aby měl přístup k prostředkům.

V rámci zásad SharePointu Online můžete zadat dva typy skupin:

  • Cílové skupiny: Skupiny uživatelů, na které se má zásada aplikovat

  • Vyloučené skupiny: Skupiny uživatelů, které jsou ze zásady vyňaty (volitelné)

Pokud je uživatel v obou skupinách, bude ze zásad vyloučený.

Krok 2: Konfigurace a nasazení zásad dodržování předpisů

Musíte vytvořit a nasadit zásady dodržování předpisů na všechna zařízení, na které bude zásada SharePointu Online cílit.

Poznámka

Zásady dodržování předpisů se nasadí do skupin Intune nebo kolekcí Configuration Manager a zásady podmíněného přístupu cílí na skupiny zabezpečení Azure Active Directory.

Podrobnosti o tom, jak nakonfigurovat zásady dodržování předpisů najdete v článku Zásady dodržování předpisů v Configuration Manageru.

System_CAPS_importantDůležité

Pokud jste zásady dodržování předpisů nenasadili a povolíte zásady pro SharePoint Online, budou mít všechna cílová zařízení přístup povolený.

Až budete připravení, pokračujte Krokem 3.

Krok 3: Konfigurace zásad SharePointu Online

V dalším kroku nakonfigurujte zásadu, která bude vyžadovat, aby měla k SharePointu Online přístup jenom spravovaná zařízení, která jsou v souladu s předpisy. Tato zásada bude uložená v Azure Active Directory.

  1. V konzole nástroje Configuration Manager klikněte na Prostředky a kompatibilita.

  2. Vyberte možnost Zapnout zásady podmíněného přístupu pro SharePoint Online.

  3. V části Aplikace používající moderní ověřování se můžete rozhodnout omezit přístup jenom na zařízení, která pro každou platformu splňují předpisy.

    Tip

    Moderní ověřování integruje do klientů Office přihlašování založené na knihovně ADAL (Active Directory Authentication Library).

    • Ověřování na základě knihovny ADAL umožňuje pro klienty Office používat ověřování založené na prohlížeči (označuje se také jako pasivní ověřování). Aby bylo možné uživatele ověřit, uživatel se přesměruje na přihlašovací webovou stránku.

    • Tato nová metoda přihlašování umožňuje nové scénáře, jako je například podmíněný přístup, na základě souladu zařízení s předpisy a na základě toho, jestli bylo provedeno vícefaktorové ověření.

    Tento článek obsahuje podrobnější informace o tom, jak moderní ověřování funguje.

    Pro počítače s Windows musí být počítač buď připojený k doméně, nebo zaregistrovaný v rámci Intune a v souladu s předpisy. Můžete nastavit následující požadavky:

    • Zařízení musí být připojené k doméně nebo splňovat předpisy. To znamená, že počítače musí být buď připojené k doméně, nebo musí splňovat zásady nastavené v rámci Intune. Pokud počítač některý z těchto požadavků nesplňuje, bude uživatel vyzván k zápisu zařízení v rámci Intune.

    • Zařízení musí být připojené k doméně. To znamená, že počítače musí být připojené k doméně, aby měly přístup k Exchangi Online. Pokud počítač není připojený k doméně, je přístup k e-mailu blokovaný a uživatel je vyzván, aby se obrátil na správce IT.

    • Zařízení musí splňovat předpisy. To znamená, že počítače musí být zaregistrované v Intune a musí splňovat předpisy. Pokud počítač není zaregistrovaný, zobrazí se zpráva s pokyny, jak registraci provést.

  4. Na kartě Domů skupiny Odkazy klikněte na Konfigurovat zásadu podmíněného přístupu v konzole pro Intune. Pravděpodobně muset zadat uživatelské jméno a heslo účtu používaného pro připojení nástroje Configuration Manager ke službě Intune.

    Otevře se konzola pro správu Intune.

  5. V konzole pro správu Microsoft Intune klikněte na Zásady > Podmíněný přístup > Zásady pro SharePoint Online.

  6. Vyberte Blokovat aplikacím přístup na SharePoint Online, pokud je zařízení nekompatibilní.

  7. V části Cílové skupiny klikněte na Upravit a vyberte skupiny zabezpečení Active Directory, na které se zásady vztahují.

  8. V případě potřeby v části Vyloučené skupiny klikněte na Upravit a vyberte skupiny zabezpečení Azure Active Directory, na které se tyto zásady nevztahují.

  9. Po dokončení klikněte na Uložit.

Zásady podmíněného přístupu není potřeba nasazovat, projeví se okamžitě.

Informace o tom, jak můžete tyto zásady sledovat z konzoly Intune, najdete v tématu Správa přístupu na SharePoint Online přes Microsoft Intune.

Viz také

Podmíněný přístup v Configuration Manageru