Share via

  • Artikel

Voorwaardelijke toegang in Configuration Manager

 

Van toepassing op: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notitie

De informatie in dit onderwerp is van toepassing op System Center 2012 Configuration Manager SP2 en System Center 2012 R2 Configuration Manager SP1.

Als u de uitbreiding voor voorwaardelijke toegang voor Microsoft Intune gebruikt, willen we u erop attenderen dat de functionaliteit van deze uitbreiding nu is opgenomen in het basisproduct. De uitbreiding wordt niet meer weergegeven in het knooppunt Uitbreidingen voor Microsoft Intune van de Configuration Manager-console.

Voor System Center 2012 R2 Configuration Manager SP1 wordt echter vanaf 2 november de volgende nieuwe functie geleverd door de uitbreiding voor voorwaardelijke toegang. De uitbreiding wordt weergegeven in het knooppunt Uitbreidingen voor Microsoft Intune van de Configuration Manager-console.

  • Nalevingsregel voor de minimumversie van het besturingssysteem

  • Nalevingsregel voor de maximumversie van het besturingssysteem

Gebruik voorwaardelijke toegang in Configuration Manager voor het beveiligen van e-mail en andere services op apparaten die zijn ingeschreven met Microsoft Intune, afhankelijk van de voorwaarden die u hebt opgegeven.

Een typische stroom voor voorwaardelijke toegang kan er als volgt uitzien:

Advanced conditional access flow

Gebruik voorwaardelijke toegang voor het beheren van toegang tot de volgende services:

  • Microsoft Exchange On-premises

  • Microsoft Exchange Online

  • Exchange Online-specifiek

  • SharePoint Online

U kunt toegang tot Exchange Online en Exchange On-premises beheren vanuit de ingebouwde e-mailclient op de volgende platforms:

  • Android 4.0 of hoger, Samsung Knox Standard 4.0 of hoger

  • iOS 7.1 en hoger

  • Windows Phone 8.1 en hoger

  • E-mailtoepassing op Windows 8.1 en hoger

U kunt toegang tot SharePoint Online beheren vanuit de volgende apps voor de genoemde platforms:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android en iOS)

  • Microsoft Word (iOS)

  • Microsoft Excel (iOS)

  • Microsoft PowerPoint (iOS)

  • Microsoft OneNote (iOS)

Office-bureaubladtoepassingen hebben toegang tot Exchange Online en SharePoint Online op pc's met:

  • Office Desktop 2013 en hoger waarvoor moderne verificatie is ingeschakeld.

  • Windows 7.0 of Windows 8.1

Notitie

Pc's moeten lid zijn van een domein of voldoen aan het beleid dat is ingesteld in Intune.

Als u voorwaardelijke toegang wilt implementeren, kunt u twee beleidstypen configureren in Configuration Manager:

  • Nalevingsbeleid bestaat uit optionele beleidsregels die u kunt implementeren voor gebruikersverzamelingen en voor het evalueren van instellingen zoals:

    • Wachtwoordcode

    • Versleuteling

    • Of het apparaat jailbroken of geroot is

    • Of e-mail op het apparaat wordt beheerd door een Configuration Manager- of Intune-beleid

    Als er geen nalevingsbeleid op een apparaat is geïmplementeerd, zal het apparaat als compatibel worden beschouwd door alle toepasselijke beleidsregels voor voorwaardelijke toegang.

  • Beleidsregels voor voorwaardelijke toegang worden voor een bepaalde service geconfigureerd en definiëren regels, zoals welke Azure Active Directory-beveiligingsgebruikersgroepen of Configuration Manager-gebruikersverzamelingen worden opgenomen of uitgesloten.

    U configureert het voorwaardelijke toegangsbeleid van de On-Premises Exchange vanuit de Configuration Manager-console. Wanneer u echter een beleid configureert voor Exchange Online of SharePoint Online, wordt de Microsoft Intune-beheerconsole geopend, waar u het beleid configureert.

    In tegenstelling tot andere Intune- of Configuration Manager-beleidsregels implementeert u geen beleidsregels voor voorwaardelijke toegang. In plaats daarvan configureert u deze eenmalig en past u deze toe op alle bedoelde gebruikers.

Wanneer apparaten niet voldoen aan de voorwaarden die u configureert, wordt de gebruiker geleid door de procedure voor het inschrijven van het apparaat en het verhelpen van het probleem dat verhindert dat het apparaat compatibel is.

Voordat u begint

Voordat u voorwaardelijke toegang gaat gebruiken moet u controleren of u over de juiste vereisten beschikt:

Beleidstype

Vereisten

Exchange Online (met behulp van de gedeelde omgeving met meerdere tenants)

Voorwaardelijke toegang tot Exchange Online ondersteunt apparaten met:

  • Windows 8.1 en hoger (wanneer ingeschreven bij Intune)

  • Windows 7.0 of Windows 8.1 (wanneer lid van een domein)

  • Windows Phone 8.1 en hoger

  • iOS 7.1 en hoger

  • Android 4.0 of hoger, Samsung Knox Standard 4.0 of hoger

Aanvullend:

  • Apparaten moet zijn toegevoegd aan de werkplek, waardoor het apparaat wordt geregistreerd bij de Azure Active Directory Device Registration Service (AAD DRS).

    Pc’s die lid zijn van een domein moeten automatisch via groepsbeleid of MSI bij Azure Active Directory worden geregistreerd. In de sectie Voorwaardelijke toegang voor pc’s in dit onderwerp vindt u een beschrijving van alle vereisten voor het inschakelen van voorwaardelijke toegang voor een pc.

    AAD DRS wordt automatisch geactiveerd voor Intune- en Office 365-klanten. Klanten die de ADFS Device Registration Service al hebben geïmplementeerd, zien geen geregistreerde apparaten in hun on-premises Active Directory.

  • U moet een Office 365-abonnement met inbegrip van Exchange Online (zoals E3) gebruiken en gebruikers moeten een licentie hebben voor Exchange Online.

  • De optionele Exchange Server-connector verbindt Configuration Manager met Microsoft Exchange Online en helpt u bij het controleren van apparaatgegevens via de Configuration Manager-console (zie Mobiele apparaten beheren met Configuration Manager en Exchange). U hoeft de connector niet te gebruiken om nalevingsbeleid of beleidsregels voor voorwaardelijke toegang te kunnen gebruiken, maar deze is vereist voor het uitvoeren van rapporten die helpen bij het evalueren van de impact van voorwaardelijke toegang.

Exchange Online-specifiek

Voorwaardelijke toegang tot Exchange Online-specifiek ondersteunt apparaten met:

  • Windows 8 en hoger (wanneer ingeschreven bij Intune)

  • Windows 7.0 of Windows 8.1 (wanneer lid van een domein)

    Voorwaardelijke toegang voor pc’s die lid zijn van een domein alleen voor tenants in de nieuwe Exchange Online-specifieke omgeving.

  • Windows Phone 8 en hoger

  • Een iOS-apparaat dat gebruikmaakt van een e-mailclient van Exchange ActiveSync (EAS)

  • Android 4 en hoger.

  • Voor tenants in de oude Exchange Online-specifieke omgeving:

    U moet de Exchange Server-connector gebruiken die Configuration Manager met Microsoft Exchange On-premises verbindt. Hiermee kunt u uw mobiele apparaten beheren en kan voorwaardelijke toegang worden ingeschakeld (zie Mobiele apparaten beheren met Configuration Manager en Exchange).

  • Voor tenants in de nieuwe Exchange Online-specifieke omgeving:

    De optionele Exchange Server-connector verbindt Configuration Manager met Microsoft Exchange Online en helpt u bij het beheren van apparaatgegevens (zie Mobiele apparaten beheren met Configuration Manager en Exchange). U hoeft de connector niet te gebruiken om nalevingsbeleid of beleidsregels voor voorwaardelijke toegang te kunnen gebruiken, maar deze is vereist voor het uitvoeren van rapporten die helpen bij het evalueren van de impact van voorwaardelijke toegang.

Exchange On-premises

Voorwaardelijke toegang tot Exchange On-premises ondersteunt:

  • Windows 8 en hoger (wanneer ingeschreven bij Intune)

  • Windows Phone 8 en hoger

  • Systeemeigen e-mail-app voor iOS

  • Systeemeigen e-mail-app voor Android 4 of hoger

  • Microsoft Outlook-app voor Android en iOS wordt niet ondersteund.

Aanvullend:

  • Uw versie van Exchange moet Exchange 2010 of hoger zijn. De CAS-matrix (Client Access Server) voor Exchange-servers wordt ondersteund.

    Tip

    Als uw Exchange-omgeving gebruikmaakt van de configuratie van een CAS-server, moet u de on-premises Exchange-connector configureren zodat deze verwijst naar een van de CAS-servers.

  • U moet de Exchange Server-connector gebruiken die Configuration Manager met Microsoft Exchange On-premises verbindt. Hiermee kunt u uw mobiele apparaten beheren en kan voorwaardelijke toegang worden ingeschakeld (zie Mobiele apparaten beheren met Configuration Manager en Exchange).

    • Gebruik de nieuwste versie van de on-premises Exchange-connector. De on-premises Exchange-connector moet worden geïnstalleerd en geconfigureerd via de Configuration Manager-console. Zie Mobiele apparaten beheren met Configuration Manager en Exchange voor een gedetailleerde uitleg.

    • De connector moet alleen op de primaire site voor System Center Configuration Manager worden geïnstalleerd.

    • Deze connector ondersteunt de Exchange CAS-omgeving. Wanneer u de connector configureert, moet u deze instellen zodat deze communiceert met een van de Exchange CAS-servers.

  • Exchange ActiveSync kan worden geconfigureerd met verificatie op basis van een certificaat of invoer van gebruikersreferenties

SharePoint Online

Voorwaardelijke toegang tot SharePoint Online ondersteunt apparaten met:

  • Windows 8.1 en hoger (wanneer ingeschreven bij Intune)

  • Windows 7.0 of Windows 8.1 (wanneer lid van een domein)

  • Windows Phone 8.1 en hoger

  • iOS 7.1 en hoger

  • Android 4.0 of hoger, Samsung Knox Standard 4.0 of hoger

Aanvullend:

  • Apparaten moet zijn toegevoegd aan de werkplek, waardoor het apparaat wordt geregistreerd bij de Azure Active Directory Device Registration Service (AAD DRS).

    Pc’s die lid zijn van een domein moeten automatisch via groepsbeleid of MSI bij Azure Active Directory worden geregistreerd. In de sectie Voorwaardelijke toegang voor pc’s in dit onderwerp vindt u een beschrijving van alle vereisten voor het inschakelen van voorwaardelijke toegang voor een pc.

    AAD DRS wordt automatisch geactiveerd voor Intune- en Office 365-klanten. Klanten die de ADFS Device Registration Service al hebben geïmplementeerd, zien geen geregistreerde apparaten in hun on-premises Active Directory.

  • Een SharePoint Online-abonnement is vereist en gebruikers moeten een licentie hebben voor SharePoint Online.

Voorwaardelijke toegang voor pc’s

U kunt voorwaardelijke toegang instellen voor pc's waarop Office-bureaubladtoepassingen worden uitgevoerd zodat deze toegang hebben tot Exchange Online en SharePoint Online als de pc’s aan de volgende vereisten voldoen:

  • Op de pc moet Windows 7.0 of Windows 8.1 worden uitgevoerd.

  • De pc moet lid zijn van een domein of hieraan voldoen.

    Om hieraan te voldoen moet de pc zijn ingeschreven in Intune en voldoen aan het beleid.

    U moet pc's die lid zijn van een domein zo instellen dat deze het apparaat automatisch registreren bij Azure Active Directory.

  • Moderne Office 365-verificatie moet zijn ingeschakeld, en alle nieuwe Office-updates moeten zijn geïnstalleerd.

    Moderne verificatie brengt op Active Directory Authentication Library (ADAL) gebaseerde aanmelding naar Windows-clients met Office 2013 en zorgt voor betere beveiliging zoals Multi-Factor Authentication en verificatie op basis van certificaten.

  • Met het instellen van ADFS worden er regels van kracht die niet-moderne verificatieprotocollen blokkeren.

Volgende stappen

Lees de volgende onderwerpen voor meer informatie over het configureren van nalevingsbeleidsregels en beleidsregels voor voorwaardelijke toegang voor uw vereiste scenario: