• Artigo

Acesso condicional no Configuration Manager

 

Aplica-se a: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_noteObservação

As informações neste tópico aplicam-se ao System Center 2012 Configuration Manager SP2 e ao System Center 2012 R2 Configuration Manager SP1.

Se estiver usando a Extensão de Acesso Condicional para o Microsoft Intune, a funcionalidade desta extensão agora estará incluída no produto principal, e a extensão não será mais exibida no nó Extensões para o Microsoft Intune do console do Gerenciador de Configurações.

No entanto, para System Center 2012 R2 Configuration Manager SP1, a partir de 2 de novembro, a nova funcionalidade a seguir é fornecida pela Extensão de Acesso Condicional. A extensão será exibida no nó Extensões para o Microsoft Intune do console Gerenciador de Configurações.

  • Regra de conformidade do sistema operacional mínimo

  • Regra de conformidade do sistema operacional máximo

Use o acesso condicional no Gerenciador de Configurações para proteger emails e outros serviços nos dispositivos registrados no Microsoft Intune, com base nas condições especificadas.

Um fluxo típico de acesso condicional será semelhante ao seguinte:

Advanced conditional access flow

Use o acesso condicional para gerenciar o acesso aos seguintes serviços:

  • Microsoft Exchange Local

  • Microsoft Exchange Online

  • Exchange Online dedicado

  • SharePoint Online

Você pode controlar o acesso ao Exchange Online e Exchange Local do cliente de email internos nas seguintes plataformas:

  • Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior

  • iOS 7.1 e posterior

  • Windows Phone 8.1 e posterior

  • Aplicativo de email no Windows 8.1 e posterior

Você pode controlar o acesso ao SharePoint Online dos aplicativos para as plataformas listadas a seguir:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)

  • Microsoft Word (iOS)

  • Microsoft Excel (iOS)

  • Microsoft PowerPoint (iOS)

  • Microsoft OneNote (iOS)

Os aplicativos de área de trabalho do Office podem acessar o Exchange Online e o SharePoint Online em PCs com:

  • Área de trabalho do Office 2013 e posterior com a autenticação moderna habilitada.

  • Windows 7.0 ou Windows 8.1

System_CAPS_noteObservação

Os PCs devem ser ingressados no domínio ou ser compatíveis com as políticas definidas em Intune.

Para implementar o acesso condicional, você define dois tipos de política em Gerenciador de Configurações:

  • Políticas de conformidade são políticas opcionais que você pode implantar em coleções de usuários e avaliar configurações como:

    • Senha

    • Criptografia

    • Se o dispositivo está desbloqueado ou com raiz

    • Se o email no dispositivo é gerenciado por uma política do Gerenciador de Configurações ou do Intune

    Se nenhuma política de conformidade for implantada em um dispositivo, então todas as políticas de acesso condicional aplicável tratarão o dispositivo como compatível.

  • Políticas de acesso condicional são configuradas para um serviço específico e definem regras como, por exemplo, quais grupos de usuário de segurança do Active Directory do Azure ou coleções de usuários do Gerenciador de Configurações serão definidos como destino, ou isentos.

    Configure uma política de acesso condicional para o Exchange no Local por meio do console do Gerenciador de Configurações. No entanto, ao configurar uma política do Exchange Online ou do SharePoint Online, isso abrirá o console de administração do Microsoft Intune em que a política é configurada.

    Ao contrário de outras políticas do Intune ou do Gerenciador de Configurações, as políticas de acesso condicional não são implantadas. Em vez disso, você as configura uma vez e elas se aplicam a todos os seus usuários de destino.

Quando dispositivos não atendem às condições que você configurou, o usuário é guiado pelo processo de registro do dispositivo e correção do problema que está impedindo o dispositivo de estar em conformidade.

Antes de começar

Antes de começar a usar o acesso condicional, certifique-se de que você tenha os requisitos corretos no lugar:

Tipo de política

Requisitos

Exchange Online (usando o ambiente de multilocatário compartilhado)

O Acesso condicional ao Exchange Online dá suporte a dispositivos que executam:

  • Windows 8.1 e posterior (quando registrado com Intune)

  • Windows 7.0 ou Windows 8.1 (quando ingressado no domínio)

  • Windows Phone 8.1 e posterior

  • iOS 7.1 e posterior

  • Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior

Além disso:

  • Os dispositivos devem ser ingressados no local de trabalho, que registra o dispositivo com o AAD DRS (Serviço de registro de dispositivo do Active Directory do Azure).

    Os PCs ingressados no domínio devem ser registrados automaticamente no Active Directory do Azure por meio da política de grupo ou do MSI. A seção Acesso condicional para PCs neste tópico descreve todos os requisitos para habilitar o acesso condicional de um PC.

    O AAD DRS será ativado automaticamente para clientes do Intune e do Office 365. Clientes que já tiverem implantado o Serviço de Registro de Dispositivos do ADFS não verão dispositivos registrados no seu Active Directory local.

  • Você deve usar uma assinatura do Office 365 que inclui o Exchange Online (como E3) e os usuários devem ser licenciados para o Exchange Online.

  • O conector do Exchange Server é opcional e conecta o Gerenciador de Configurações ao Microsoft Exchange Online e ajuda você a monitorar informações de dispositivo por meio do console do Gerenciador de Configurações (veja Como gerenciar dispositivos móveis usando o Configuration Manager e o Exchange). O conector não é necessário para usar políticas de conformidade ou políticas de acesso condicional, mas é necessário para executar relatórios que ajudam a avaliar o impacto de acesso condicional.

Exchange Online dedicado

O acesso condicional ao Exchange Online dedicado dá suporte a dispositivos que executam:

  • Windows 8 e posterior (quando registrado com Intune)

  • Windows 7.0 ou Windows 8.1 (quando ingressado no domínio)

    Acesso condicional para PCs ingressados no domínio somente para locatários no novo ambiente dedicado do Exchange Online.

  • Windows Phone 8 e posterior

  • Qualquer dispositivo iOS que usa um cliente de email do Exchange ActiveSync (EAS)

  • Android 4 e posterior.

  • Para locatários no ambiente herdado do Exchange Online dedicado:

    Você deve usar o conector do Exchange Server que conecta o Gerenciador de Configurações ao Microsoft Exchange no Local. Isso permite que você gerencie dispositivos móveis e habilita o acesso condicional (veja Como gerenciar dispositivos móveis usando o Configuration Manager e o Exchange).

  • Para locatários no novo ambiente do Exchange Online dedicado:

    O conector do Exchange Server opcional conecta o Gerenciador de Configurações ao Microsoft Exchange Online e ajuda você a gerenciar informações de dispositivo (veja Como gerenciar dispositivos móveis usando o Configuration Manager e o Exchange). O conector não é necessário para usar políticas de conformidade ou políticas de acesso condicional, mas é necessário para executar relatórios que ajudam a avaliar o impacto de acesso condicional.

Exchange Local

O acesso condicional ao Exchange no Local dá suporte a:

  • Windows 8 e posterior (quando registrado com Intune)

  • Windows Phone 8 e posterior

  • Aplicativo de email nativo no iOS

  • Aplicativo de email nativo no Android 4 ou posterior

  • Não há suporte para o aplicativo do Microsoft Outlook no Android e iOS.

Além disso:

  • A versão do Exchange deve ser Exchange 2010 ou posterior. Há suporte para a matriz de CAS (Servidor de Acesso de Cliente) do servidor Exchange.

    System_CAPS_tipDica

    Se o ambiente do Exchange estiver em uma configuração de servidor de CAS, instale o conector do Exchange local em qualquer um dos servidores de CAS.

  • Você deve usar o conector do Exchange Server que conecta o Gerenciador de Configurações ao Microsoft Exchange no Local. Isso permite que você gerencie dispositivos móveis e habilita o acesso condicional (veja Como gerenciar dispositivos móveis usando o Configuration Manager e o Exchange).

    • Certifique-se de estar usando a versão mais recente do conector do Exchange local. O Exchange Connector local deve ser instalado e configurado pelo console do Configuration Manager. Para obter instruções detalhadas, consulte Como gerenciar dispositivos móveis usando o Configuration Manager e o Exchange.

    • O conector deve ser instalado somente no site primário do System Center Configuration Manager.

    • Esse conector dá suporte a ambiente de CAS do Exchange. Ao configurar o conector, você deve configurá-lo para que ele se comunique com um dos servidores de CAS do Exchange.

  • O Exchange ActiveSync pode ser configurado com autenticação baseada em certificado ou em entrada de credenciais de usuário

SharePoint Online

O Acesso condicional ao SharePoint Online dá suporte a dispositivos que executam:

  • Windows 8.1 e posterior (quando registrado com Intune)

  • Windows 7.0 ou Windows 8.1 (quando ingressado no domínio)

  • Windows Phone 8.1 e posterior

  • iOS 7.1 e posterior

  • Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior

Além disso:

  • Os dispositivos devem ser ingressados no local de trabalho, que registra o dispositivo com o AAD DRS (Serviço de registro de dispositivo do Active Directory do Azure).

    Os PCs ingressados no domínio devem ser registrados automaticamente no Active Directory do Azure por meio da política de grupo ou do MSI. A seção Acesso condicional para PCs neste tópico descreve todos os requisitos para habilitar o acesso condicional de um PC.

    O AAD DRS será ativado automaticamente para clientes do Intune e do Office 365. Clientes que já tiverem implantado o Serviço de Registro de Dispositivos do ADFS não verão dispositivos registrados no seu Active Directory local.

  • Uma assinatura do SharePoint Online é necessária e os usuários devem ser licenciados para o SharePoint Online.

Acesso condicional para PCs

É possível configurar o acesso condicional para PCs que executam aplicativos da área de trabalho do Office para acessar o Exchange Online e o SharePoint Online para PCs que atendam aos seguintes requisitos:

  • O PC deve estar executando o Windows 7.0 ou Windows 8.1.

  • O PC deve ser ingressado no domínio ou compatível.

    Para estar em conformidade, o PC deve ser registrado no Intune e obedecer às políticas.

    Para PCs ingressados no domínio, você deve configurá-lo para registrar o dispositivo automaticamente com o Active Directory do Azure.

  • A autenticação moderna do Office 365 deve estar habilitada e ter todas as atualizações mais recentes do Office.

    A autenticação moderna leva as credenciais baseadas na ADAL (Active Directory Authentication Library) para os clientes do Windows com Office 2013 e permite uma melhor segurança como a autenticação multifator e a autenticação baseada em certificado.

  • Configure as regras de declarações do ADFS para bloquear protocolos de autenticação não moderna.

Próximas etapas

Leia os tópicos a seguir para saber como configurar políticas de conformidade e políticas de acesso condicional para seu cenário necessário: