• Artículo

Acceso condicional de correo electrónico de Exchange en Configuration Manager

 

Se aplica a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Nota

La información de este tema se aplica a las versiones System Center 2012 Configuration Manager SP1 y System Center 2012 R2 Configuration Manager o versiones posteriores.

Use el acceso condicional de Configuration Manager para administrar el acceso al correo electrónico de Exchange según las condiciones que especifique.

Puede administrar el acceso a:

  • Microsoft Exchange local

  • Microsoft Exchange Online

  • Exchange Online Dedicated

Si configura el acceso condicional, el dispositivo que usen los usuarios debe cumplir las condiciones siguientes para que puedan conectarse al correo electrónico:

  • Estar inscrito con Intune o un equipo PC unido a un dominio.

  • Registrar el dispositivo en Azure Active Directory, lo que se lleva a cabo automáticamente cuando el dispositivo está inscrito con Intune (solo para Exchange Online). Además, el id. de Exchange ActiveSync del cliente debe registrarse con Azure Active Directory (no se aplica a dispositivos de Windows y Windows Phone que se conectan a Exchange local).

    Los equipos PC unidos a un dominio deben configurarse para que se registren automáticamente con Azure Active Directory. En la sección Acceso condicional para equipos del tema Acceso condicional en Configuration Manager se enumeran todos los requisitos para habilitar el acceso condicional de equipos PC.

  • Cumplir todas las directivas de cumplimiento Configuration Manager implementadas en el dispositivo

Si no se cumple una condición de acceso condicional, el usuario recibirá uno de los dos mensajes siguientes cuando inicie sesión:

  • Si el dispositivo no está inscrito con Intune o no está registrado en Azure Active Directory, se muestra un mensaje con instrucciones sobre cómo instalar la aplicación de portal de empresa, inscribir el dispositivo y (para dispositivos iOS y Android) activar el correo electrónico, que asocia el id. de Exchange ActiveSync del dispositivo con el registro del dispositivo en Azure Active Directory.

  • Si el dispositivo no es conforme, se muestra un mensaje que dirige al usuario al portal web de Intune, donde puede encontrar información sobre el problema y sobre cómo resolverlo.

Para los equipos PC:

  • Si el requisito de la directiva de acceso condicional es permitir unido al dominio o conforme, se muestra un mensaje con instrucciones sobre cómo inscribir el dispositivo. Si el equipo no cumple con alguno de estos requisitos, se le solicitará al usuario que inscriba el dispositivo con Intune.

  • Si el requisito de la directiva de acceso condicional se establece para permitir solo los dispositivos de Windows unidos a un dominio, el dispositivo se bloquea y aparece un mensaje para ponerse en contacto con el administrador de TI.

Puede bloquear el acceso al correo electrónico de Exchange desde el cliente de correo electrónico de Exchange ActiveSync integrado en los dispositivos en las siguientes plataformas:

  • Android 4.0 y versiones posterior, Samsung Knox Standard 4.0 y versiones posteriores

  • iOS 7.1 y versiones posteriores

  • Windows Phone 8.1 y versiones posteriores

  • La aplicación Correo en Windows 8.1 y versiones posteriores

La aplicación Outlook para iOS y Android y Outlook 2013 de escritorio solo es compatible con Exchange Online.

El conector de Exchange local entre Configuration Manager y Exchange es necesario para que funcione el acceso condicional.

Puede configurar una directiva de acceso condicional para Exchange local desde la consola de Configuration Manager. Al configurar una directiva de acceso condicional para Exchange Online, puede comenzar el proceso en la consola de Configuration Manager, que inicia la consola de Microsoft Intune donde puede completar el proceso.

Paso 1: evaluar el impacto de la directiva de acceso condicional

Una vez haya configurado el conector de Exchange local, puede usar el informe de la lista de dispositivos por estado de acceso condicional de Configuration Manager para identificar los dispositivos que tendrán bloqueado el acceso a Exchange después de configurar la directiva de acceso condicional. Este informe también requiere:

  • Una suscripción a Intune

  • El conector de Intune también se debe configurar e implementar

En los parámetros del informe, seleccione el grupo de Intune que desea evaluar y, si es necesario, las plataformas de dispositivos a las que se aplicará la directiva.

Para obtener más información sobre cómo crear informes, consulte Generación de informes en Configuration Manager.

Después de ejecutar el informe, examine estas cuatro columnas para determinar si un usuario se bloqueará:

  • Canal de administración : indica si Intune, Exchange ActiveSync o ambas aplicaciones administran el dispositivo.

  • Registrado en AAD : indica si el dispositivo está registrado con Azure Active Directory (lo que se conoce como unión al "área de trabajo").

  • Conforme : indica si el dispositivo cumple con las directivas de cumplimiento que se han implementado.

  • EAS activado: los dispositivos iOS y Android deben tener su id. de Exchange ActiveSync asociado al registro de registro del dispositivo en Azure Active Directory. Esto sucede cuando el usuario hace clic en el vínculo Activar correo electrónico en el correo electrónico de cuarentena.

    Nota

    Los dispositivos Windows Phone siempre muestran un valor en esta columna.

Los dispositivos que forman parte de una recopilación o un grupo de destino tendrán bloqueado el acceso a Exchange, a menos que los valores de la columna coincidan con los de la tabla siguiente:

Canal de administración

Registrado en AAD

Conforme

EAS activado

Acción resultante

Administrado por Microsoft Intune y Exchange ActiveSync

Se muestra o No

Acceso a correo electrónico concedido

Cualquier otro valor

No

No

No se muestra ningún valor

Acceso a correo electrónico bloqueado

Puede exportar el contenido del informe y utilizar la columna Dirección de correo electrónico para informar a los usuarios de que se les va a bloquear.

Paso 2: configurar las recopilaciones o grupos de usuarios de la directiva de acceso condicional

El destino de las directivas de acceso condicional se define en distintos grupos o recopilaciones de usuarios en función de los tipos de directiva. Estos grupos contienen los usuarios de destino o exentos de la directiva. Cuando un usuario es destinatario de una directiva, cada dispositivo que use debe ser conforme con el fin de obtener acceso al correo electrónico.

  • Directiva de Exchange Online: dirigida a grupos de usuarios de seguridad de Azure Active Directory. Estos grupos se pueden configurar en el Centro de administración de Office 365 o el portal de cuentas de Intune.

  • Directiva de Exchange local: para recopilaciones de usuarios de Configuration Manager. Puede configurar estas opciones en el área de trabajo Activos y compatibilidad.

Se pueden especificar dos tipos de grupo en cada directiva:

  • Grupos destinatarios: grupos o recopilaciones de usuarios a los que se aplica la directiva

  • Grupos exentos: grupos o recopilaciones de usuarios que están exentos de la directiva (opcional)

Si un usuario pertenece a ambos, estará exento de la directiva.

Solo los grupos o las recopilaciones que son destinatarios de la directiva de acceso condicional se evalúan para el acceso a Exchange.

Paso 3: configurar e implementar una directiva de cumplimiento

Asegúrese de que ha creado e implementado una directiva de cumplimiento para todos los dispositivos a los que se destinará la directiva de acceso condicional a Exchange.

Para obtener más información sobre cómo configurar la directiva de cumplimiento, consulte Directivas de cumplimiento de Configuration Manager.

System_CAPS_importantImportante

Si no ha implementado una directiva de cumplimiento y habilitado la directiva de acceso condicional a Exchange, se permitirá el acceso a todos los dispositivos destinatarios.

Cuando esté listo, continúe en el paso 4.

Paso 4: configurar la directiva de acceso condicional

Para Exchange Online (y los inquilinos del nuevo entorno de Exchange Online dedicado)

Las directivas de acceso condicional de Exchange Online utilizan el siguiente flujo para evaluar si se permitirá o bloqueará el acceso a los dispositivos.

Flow for Exchange Online Conditional Access

Para acceder al correo electrónico, el dispositivo debe:

  • Inscribirse con Intune.

  • Los equipos deben estar unidos a un dominio o estar inscritos y cumplir con las directivas establecidas en Intune.

  • Estar registrado en Azure Active Directory, lo que se lleva a cabo automáticamente si el dispositivo está inscrito con Intune.

    Los equipos unidos a un dominio deben configurarse para que registren automáticamente el dispositivo con Azure Active Directory.

  • Tener activado el correo electrónico, que asocia el id. de Exchange ActiveSync del dispositivo con el registro del dispositivo en Azure Active Directory (aplicable solo a dispositivos iOS y Android).

  • Cumplir todas las directivas de cumplimiento implementadas.

El estado del dispositivo se almacena en Azure Active Directory, que concede o bloquea el acceso al correo electrónico según las condiciones evaluadas.

Si no se cumple una condición, el usuario verá uno de los mensajes siguientes cuando inicie sesión:

  • Si el dispositivo no está inscrito o registrado en Azure Active Directory, se muestra un mensaje con instrucciones sobre cómo instalar la aplicación de portal de empresa e inscribirse.

  • Si el dispositivo no es conforme, se muestra un mensaje que dirige al usuario al portal web de Intune, donde puede encontrar información sobre el problema y sobre cómo resolverlo.

  • Para un equipo PC:

    • Si se establece la directiva para requerir unión a un dominio y el equipo no está unido a ningún dominio, se muestra un mensaje para ponerse en contacto con el administrador de TI.

    • Si se establece la directiva para requerir unión a un dominio o ser conforme y el equipo no cumple con estos requisitos, se muestra un mensaje con instrucciones sobre cómo instalar la aplicación del portal de empresa e inscribirse.

El mensaje se muestra en el dispositivo para los usuarios de Exchange Online y los inquilinos en el nuevo entorno de Exchange Online dedicado, y se envía a la bandeja de entrada de correo electrónico de los usuarios de Exchange local y los dispositivos heredados dedicado de Exchange Online dedicados.

Nota

Las reglas de acceso condicional de Configuration Manager reemplazan, permiten, bloquean y ponen en cuarentena las reglas que se han definido en la consola de administración de Exchange Online.

Nota

Debe configurar la directiva de acceso condicional en la consola de Intune. Los siguientes pasos comienzan accediendo a la consola de Intune a través de Configuration Manager. Si se le solicita, inicie sesión con las mismas credenciales que usó para configurar el conector de Configuration Manager y Intune.

Para habilitar la directiva de Exchange Online

  1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.

  2. Expanda Configuración de cumplimiento, Acceso condicional y, a continuación, haga clic en Exchange Online.

  3. En la pestaña Inicio, en el grupo Vínculos, haga clic en Configurar directiva de acceso condicional en la consola de Intune. Tendrá que proporcionar el nombre de usuario y la contraseña de la cuenta que usó para conectar Configuration Manager con cualquier administrador global del servicio Intune.

    Se abrirá la consola de administración de Intune.

  4. En la consola de administración de Microsoft Intune, haga clic en Directiva > Acceso condicional > Directiva de Exchange Online.

    HybridOnlineSetupInIntune

  5. En la página Directivas de Exchange Online, seleccione Habilitar directiva de acceso condicional para Exchange Online. Si selecciona esta opción, el dispositivo debe ser conforme. Si no se selecciona esta opción, el acceso condicional no se aplica.

    Nota

    Si no ha implementado una directiva de cumplimiento y habilita la directiva de Exchange Online, todos los dispositivos de destino se considerarán conformes.

    Independientemente del estado de cumplimiento, todos los usuarios a los que se aplique la directiva deberán inscribir sus dispositivos en Intune.

  6. En Aplicaciones que usan autenticación moderna, puede optar por restringir el acceso solo a los dispositivos que son conformes para cada plataforma. Los dispositivos de Windows deben estar unidos a un dominio o estar inscritos en Intune y ser compatibles.

    System_CAPS_tipSugerencia

    Autenticación moderna proporciona el inicio de sesión basado en Active Directory Authentication Library (ADAL) a los clientes de Office.

    • La autenticación basada en ADAL permite a los clientes de Office realizar la autenticación basada en explorador (también conocida como autenticación pasiva). Para realizar la autenticación, se envía al usuario a una página web de inicio de sesión.

    • Este nuevo método de inicio de sesión permite nuevos escenarios, como el acceso condicional, según el cumplimiento de los dispositivos y si se realizó la autenticación multifactor.

    Este artículo contiene información más detallada sobre cómo funciona la autenticación moderna.

    Si usa Exchange Online con Configuration Manager e Intune, no solo podrá administrar dispositivos móviles con acceso condicional, sino que también podrá administrar equipos de escritorio. Los equipos deben estar unidos a un dominio o estar inscritos en Intune y ser conformes. Puede establecer los requisitos siguientes:

    - **Los dispositivos deben estar unidos a un dominio o ser conformes.** Esto significa que los equipos deben estar unidos a un dominio o cumplir con las directivas establecidas en Intune. Si el equipo no cumple alguno de estos requisitos, se le solicita al usuario que inscriba el dispositivo con Intune.

- **Los dispositivos deben estar unidos a un dominio.** Los equipos deben estar unidos a un dominio para tener acceso a Exchange Online. Si el equipo no está unido a un dominio, el acceso al correo electrónico se bloquea y el usuario debe ponerse en contacto con el administrador de TI.

- **Los dispositivos deben ser conformes.** Los equipos deben inscribirse en Intune y ser compatibles. Si el equipo no está inscrito, se muestra un mensaje con instrucciones sobre cómo inscribirse.

  7. En Aplicaciones de correo de Exchange ActiveSync, puede bloquear el acceso del correo electrónico a Exchange Online si el dispositivo no es compatible, y escoger si desea permitir o bloquear el acceso al correo electrónico cuando Intune no pueda administrar el dispositivo.

  8. En Grupos de destino, seleccione los grupos de seguridad de Active Directory a los que se aplicará la directiva.

    Nota

    Para los usuarios que se encuentren en los grupos de destino, las directivas de Intune reemplazarán las directivas y reglas de Exchange.

    Exchange solo aplicará sus directivas y sus reglas de permiso, bloqueo y cuarentena si:

    • El usuario no tiene licencia para Intune.

    • El usuario tiene licencia para Intune pero no pertenece a ningún grupo de seguridad de destino de la directiva de acceso condicional.

  9. En Grupos exentos, seleccione los grupos de seguridad de Active Directory que se van a excluir de la directiva. Si un usuario está incluido tanto en los grupos de destino como en los exentos, la directiva no se aplicará a estos grupos y tendrán acceso al correo electrónico del usuario.

  10. Cuando termine, haga clic en Guardar.

  • No es necesario implementar la directiva de acceso condicional, ya que surte efecto inmediatamente.

  • Cuando un usuario crea una cuenta de correo electrónico, el dispositivo se bloquea inmediatamente.

  • Si un usuario bloqueado inscribe el dispositivo con Intune (o corrige la no conformidad), el acceso al correo electrónico se desbloquea en dos minutos.

  • Si el usuario anula la inscripción del dispositivo, el correo electrónico se bloquea transcurridas unas 6 horas.

Para Exchange local (y los inquilinos del entorno heredado de Exchange Online dedicado)

Las directivas de acceso condicional de Exchange local y los inquilinos del entorno heredado de Exchange Online dedicado utilizan el siguiente flujo para evaluar si se deben permitir o bloquear los dispositivos.

Conditional Access flow for Exchange On-Premises

Para habilitar la directiva de Exchange local

  1. En la consola de Configuration Manager, haga clic en Activos y compatibilidad.

  2. Expanda Configuración de cumplimiento, Acceso condicional y, a continuación, haga clic en Exchange local.

  3. En la pestaña Inicio, en el grupo Exchange local, haga clic en Configurar directiva de acceso condicional.

  4. En la página General del Asistente para configurar la directiva de acceso condicional, especifique el nombre de dominio del inquilino Intune. Este es el sufijo del identificador de inquilinos que usó para configurar el conector de Intune. Por ejemplo, si el identificador del inquilino que usó es admin@corpemail.contoso.com, el nombre de dominio que escribió en esta página del asistente es corpemail.contoso.com.

    HybridCondAccessWiz1

    Haga clic en Siguiente.

  5. En la página Colecciones objetivo, agregue una o varias recopilaciones de usuarios. Para obtener acceso a Exchange, los usuarios de estas recopilaciones deben inscribir sus dispositivos con Intune y también ser compatibles con las directivas de cumplimiento que se hayan implementado.

    HybridCondAccessWiz2

    Haga clic en Siguiente.

  6. En la página Colecciones exentas, agregue las recopilaciones de usuarios que desea excluir de la directiva de acceso condicional. Los usuarios de estos grupos no necesitan inscribir sus dispositivos con Intune y no necesitan cumplir las directivas de cumplimiento implementadas para tener acceso a Exchange.

    HybridCondAccessWiz3

    Si un usuario está incluido en listas objetivo y exentas, estarán exentos de la directiva de acceso condicional.

    Haga clic en Siguiente.

  7. En la página Editar notificación de usuario, configure el correo electrónico que Intune enviará a los usuarios con instrucciones sobre cómo desbloquear el dispositivo (además del correo electrónico que envía Exchange).

    Puede modificar el mensaje predeterminado y usar etiquetas HTML para formatear el aspecto del texto. Asimismo, también puede enviar de antemano un correo electrónico a los empleados, para informarles sobre los próximos cambios y enviarles instrucciones acerca de cómo inscribir sus dispositivos.

    HybridCondAccessWiz4

    Nota

    Dado que el correo electrónico de notificación de Intune que contiene instrucciones de corrección se envía al buzón de Exchange del usuario, en caso de que el dispositivo del usuario se bloquee antes de recibir el mensaje de correo electrónico, puede usar un dispositivo desbloqueado u otro método para acceder a Exchange y ver el mensaje.

    Nota

    Para que Exchange pueda enviar el correo electrónico de notificación, debe configurar la cuenta que se usará para enviarlo. Puede hacerlo cuando configure las propiedades del conector de Exchange Server.

    Para obtener más información, consulte Cómo configurar dispositivos móviles mediante Configuration Manager y Exchange.

    Haga clic en Siguiente.

  8. En la página Resumen, revise la configuración y, a continuación, complete el asistente.

  • No es necesario implementar la directiva de acceso condicional, ya que surte efecto inmediatamente.

  • Después de que un usuario configure un perfil de Exchange ActiveSync, puede tardar de 1 a 3 horas en bloquear el dispositivo (si no está administrado por Intune).

  • Si un usuario bloqueado luego inscribe el dispositivo con Intune (o corrige la no conformidad), el acceso al correo electrónico se desbloqueará en dos minutos.

  • Si el usuario anula la inscripción de Intune, puede tardar de 1 a 3 horas en desbloquear el dispositivo.