• Artigo

Acesso Condicional no Configuration Manager

 

Aplica-se A: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Nota

As informações neste tópico aplicam-se ao System Center 2012 Configuration Manager SP2 e ao System Center 2012 R2 Configuration Manager SP1.

Se estiver a utilizar a Extensão de Acesso Condicional do Microsoft Intune, a funcionalidade desta extensão está agora incluída no produto principal e a extensão já não é apresentada no nó Extensões do Microsoft Intune da consola do Gestor de configuração.

No entanto, para o System Center 2012 R2 Configuration Manager SP1, a partir de 2 de novembro, a nova funcionalidade seguinte é fornecida pela Extensão de Acesso Condicional. A extensão será apresentada no nó Extensões do Microsoft Intune da consola do Gestor de configuração.

  • Regra de conformidade mínima do SO

  • Regra de conformidade máxima do SO

Utilize o acesso condicional no Gestor de configuração para proteger o e-mail e outros serviços em dispositivos que estão inscritos no Microsoft Intune, dependendo das condições que especificar.

Um fluxo típico de acesso condicional poderá ter o seguinte aspeto:

Advanced conditional access flow

Utilize o acesso condicional para gerir o acesso aos seguintes serviços:

  • Microsoft Exchange No Local

  • Microsoft Exchange Online

  • Exchange Online Dedicado

  • SharePoint Online

Pode controlar o acesso ao Exchange Online e ao Exchange No Local a partir do cliente de e-mail incorporado nas seguintes plataformas:

  • Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior

  • iOS 7.1 e posterior

  • Windows Phone 8.1 e posterior

  • Aplicação de correio no Windows 8.1 e posterior

Pode controlar o acesso ao SharePoint Online a partir das seguintes aplicações para as plataformas indicadas:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)

  • Microsoft Word (iOS)

  • Microsoft Excel (iOS)

  • Microsoft PowerPoint (iOS)

  • Microsoft OneNote (iOS)

As aplicações de ambiente de trabalho do Office podem aceder ao Exchange Online e ao SharePoint Online em computadores que estejam a executar:

  • Ambiente de trabalho do Office 2013 e versões posteriores com autenticação moderna ativada.

  • Windows 7.0 ou Windows 8.1

Nota

Os computadores devem estar associados a um domínio ou em conformidade com as políticas definidas em Intune.

Para implementar o acesso condicional, configure dois tipos de políticas no Gestor de configuração:

  • As políticas de conformidade são políticas opcionais que pode implementar nas coleções de utilizadores e permitem avaliar definições como:

    • Código de acesso

    • Encriptação

    • Se o dispositivo está desbloqueado por jailbrake ou rooting

    • Se o e-mail no dispositivo é gerido por uma política do Gestor de configuração ou do Intune

    Se não for implementada nenhuma política de conformidade num dispositivo, todas as políticas de acesso condicional aplicáveis irão tratar o dispositivo como compatível.

  • As políticas de acesso condicional são configuradas para um serviço específico e definem regras como, por exemplo, a que grupos de utilizadores de segurança do Azure Active Directory ou coleções de utilizadores do Gestor de configuração se destinam e quais os excluídos.

    Configura a política de acesso condicional do Exchange Local a partir da consola do Gestor de configuração. No entanto, quando configurar uma política do Exchange Online ou do SharePoint Online, esta ação abre a consola de administração do Microsoft Intune onde configura a política.

    Ao contrário de outras políticas do Intune ou do Gestor de configuração, o utilizador não implementa políticas de acesso condicional. Em alternativa, configura estas políticas uma vez, e estas são aplicadas a todos os utilizadores visados.

Quando os dispositivos não cumprem as condições que configura, o utilizador é orientado através do processo de inscrição do dispositivo e da correção do problema que impede o dispositivo de ser compatível.

Antes de começar

Antes de começar a utilizar o acesso condicional, certifique-se de que tem os requisitos corretos em funcionamento:

Tipo de política

Requisitos

Exchange Online (utilizando o ambiente multi-inquilino partilhado)

O acesso condicional para o Exchange Online suporta dispositivos que executam:

  • Windows 8.1 e posterior (quando inscritos com o Intune)

  • Windows 7.0 ou Windows 8.1 (quando associado a um domínio)

  • Windows Phone 8.1 e posterior

  • iOS 7.1 e posterior

  • Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior

Além disso,

  • Os dispositivos têm de estar associados à área de trabalho, que regista o dispositivo com o Serviço de Registos de Dispositivos do Azure Active Directory (AAD DRS).

    Os computadores que estiverem a um domínio têm de ser registados automaticamente no Azure Active Directory através de política de grupo ou MSI. A secção do Acesso condicional para PCs neste tópico descreve todos os requisitos para ativar o acesso condicional para um computador.

    O AAD DRS será automaticamente ativado para os clientes do Intune e do Office 365. Os clientes que já implementaram o Serviço de Registos de Dispositivos do ADFS não verão dispositivos registados no respetivo Active Directory no local.

  • Tem de utilizar uma subscrição do Office 365 que inclua o Exchange Online (como o plano E3) e os utilizadores têm de estar licenciados para o Exchange Online.

  • O conector do Exchange Server opcional liga o Gestor de configuração ao Microsoft Exchange Online e ajuda-o a monitorizar informações de dispositivos através da consola do Gestor de configuração (consulte Como Gerir Dispositivos Móveis ao Utilizar o Configuration Manager e o Exchange). Não tem de utilizar o conector para utilizar políticas de conformidade ou políticas de acesso condicional, mas é necessário executar relatórios que ajudam a avaliar o impacto do acesso condicional.

Exchange Online Dedicado

O acesso condicional para o Exchange Online Dedicado suporta dispositivos que executam:

  • Windows 8 e posterior (quando inscritos com o Intune)

  • Windows 7.0 ou Windows 8.1 (quando associado a um domínio)

    Acesso condicional a computadores associados a domínios apenas para inquilinos no novo ambiente dedicado do Exchange Online.

  • Windows Phone 8 e posterior

  • Todos os dispositivos iOS que utilizem um cliente de e-mail Exchange ActiveSync (EAS)

  • Android 4 e posterior.

  • Para inquilinos no ambiente legado de Exchange Online Dedicado:

    Tem de utilizar o conector do Exchange Server que liga o Gestor de configuração ao Microsoft Exchange no Local. Isto permite-lhe gerir dispositivos móveis e ativa o acesso condicional (consulte Como Gerir Dispositivos Móveis ao Utilizar o Configuration Manager e o Exchange).

  • Para inquilinos no ambiente novo de Exchange Online Dedicado:

    O conector do Exchange Server opcional liga o Gestor de configuração ao Microsoft Exchange Online e ajuda-o a gerir informações de dispositivos (consulte Como Gerir Dispositivos Móveis ao Utilizar o Configuration Manager e o Exchange). Não tem de utilizar o conector para utilizar políticas de conformidade ou políticas de acesso condicional, mas é necessário executar relatórios que ajudam a avaliar o impacto do acesso condicional.

Exchange No Local

O acesso condicional para o Exchange No Local suporta:

  • Windows 8 e posterior (quando inscritos com o Intune)

  • Windows Phone 8 e posterior

  • Aplicação de e-mail nativa no iOS

  • Aplicação de e-mail nativa no Android 4 ou posterior

  • A aplicação Microsoft Outlook não é suportada no Android e iOS.

Além disso,

  • A sua versão do Exchange tem de ser o Exchange 2010 ou posterior. Matriz de Servidor de Acesso de Cliente (CAS) do Exchange Server é suportada.

    System_CAPS_tipDica

    Se o seu ambiente do Exchange estiver numa configuração de servidor CAS, tem de configurar o conector do Exchange local para apontar para um dos servidores CAS.

  • Tem de utilizar o conector do Exchange Server que liga o Gestor de configuração ao Microsoft Exchange no Local. Isto permite-lhe gerir dispositivos móveis e ativa o acesso condicional (consulte Como Gerir Dispositivos Móveis ao Utilizar o Configuration Manager e o Exchange).

    • Certifique-se de que está a utilizar a versão mais recente do conector do Exchange no local. O conector do Exchange no local deve ser configurado através da consola do Configuration Manager. Para um guia detalhado dos passos a seguir, consulte Como Gerir Dispositivos Móveis Através do Configuration Manager e do Exchange.

    • O conector tem de estar configurado apenas no Site Primário do System Center Configuration Manager.

    • Este conector suporta o ambiente do Exchange CAS. Quando configurar o conector, tem de defini-lo para que comunique com um dos servidores do Exchange CAS.

  • O Exchange ActiveSync pode ser configurado com a autenticação baseada em certificado ou com a entrada de credencial de utilizador

SharePoint Online

O acesso condicional para o SharePoint Online suporta dispositivos que executam:

  • Windows 8.1 e posterior (quando inscritos com o Intune)

  • Windows 7.0 ou Windows 8.1 (quando associado a um domínio)

  • Windows Phone 8.1 e posterior

  • iOS 7.1 e posterior

  • Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior

Além disso,

  • Os dispositivos têm de estar associados à área de trabalho, que regista o dispositivo com o Serviço de Registos de Dispositivos do Azure Active Directory (AAD DRS).

    Os computadores que estiverem a um domínio têm de ser registados automaticamente no Azure Active Directory através de política de grupo ou MSI. A secção do Acesso condicional para PCs neste tópico descreve todos os requisitos para ativar o acesso condicional para um computador.

    O AAD DRS será automaticamente ativado para os clientes do Intune e do Office 365. Os clientes que já implementaram o Serviço de Registos de Dispositivos do ADFS não verão dispositivos registados no respetivo Active Directory no local.

  • É necessária uma subscrição do SharePoint Online e os utilizadores têm de estar licenciados para o SharePoint Online.

Acesso condicional para PCs

Pode configurar o acesso condicional para computadores que executem aplicações de ambiente de trabalho do Office para aceder a Exchange Online e SharePoint Online para computadores que cumpram os requisitos seguintes:

  • O computador tem de estar a executar o Windows 7.0 ou o Windows 8.1.

  • O computador tem de estar associado a um domínio ou em conformidade.

    Para poder estar em conformidade, o computador tem de estar inscrito no Intune e conforme as políticas.

    Para um PC associado a um domínio, tem de defini-lo para registar automaticamente o dispositivo no Azure Active Directory.

  • A Autenticação moderna do office 365 tem de estar ativada, e tem de ter instaladas todas as atualizações mais recentes do Office.

    A autenticação moderna inclui o início de sessão baseado na Active Directory Authentication Library (ADAL) para clientes do Office 2013 Windows e permite uma maior segurança como Multi-factor Authentication, e autenticação baseada em certificado.

  • Configure regras de afirmações do ADFS para bloquear protocolos de autenticação não moderna.

Próximos Passos

Leia os seguintes tópicos para saber como configurar as políticas de conformidade e as políticas de acesso condicional para o seu cenário necessário: