• Artigo

Acesso Condicional do SharePoint Online no Configuration Manager

 

Aplica-se A: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

Nota

As informações deste tópico aplicam-se apenas ao System Center 2012 Configuration Manager SP1 ou posterior e ao System Center 2012 R2 Configuration Manager ou posterior.

Utilize a política de acesso condicional SharePoint Online do Gestor de configuração para gerir o acesso aos ficheiros do OneDrive para Empresas localizados no SharePoint Online, com base nas condições que especificar.

Quando um utilizador direcionado se tentar ligar a um ficheiro através de uma aplicação suportada, como o OneDrive, no respetivo dispositivo, ocorre a seguinte avaliação:

Conditional Access for SharePoint

Para ligar aos ficheiros necessários, o dispositivo com o OneDrive tem de:

  • Estar inscrito no Microsoft Intune ou num PC associado a um domínio.

  • Registar o dispositivo no Azure Active Directory (isto ocorre automaticamente quando o dispositivo é inscrito no Intune.

    Para PCs associados a um domínio, tem de configurá-los para serem registado automaticamente no Azure Active Directory.

  • Ser compatível com todas políticas de conformidade implementadas do Gestor de configuração

O estado do dispositivo é armazenado no Azure Active Directory, o qual concede ou bloqueia o acesso aos ficheiros, com base nas condições que especificar.

Se não for cumprida uma condição, é apresentada ao utilizador uma das duas mensagens seguintes quando iniciar sessão:

  • Se o dispositivo não estiver inscrito no Intune ou registado no Azure Active Directory, será apresentada uma mensagem com instruções sobre como instalar a aplicação do portal da empresa e inscrevê-la.

  • Se o dispositivo não for conforme, será apresentada uma mensagem que direciona o utilizador para o portal Web do Intune, onde é possível localizar informações sobre o problema e como resolvê-lo.

  • Num PC:

    • Se a política estiver definida para exigir a associação a um domínio e o PC não estiver associado a qualquer domínio, será apresentada uma mensagem para contactar o administrador de TI.

    • Se a política estiver definida para exigir a associação a um domínio ou estar em conformidade, o PC não cumpre nenhum dos requisitos e será apresentada uma mensagem com instruções sobre como instalar o portal da empresa e inscrevê-lo.

Pode bloquear o acesso ao SharePoint Online a partir das seguintes aplicações:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)

  • Microsoft Word (Android e iOS)

  • Microsoft Excel (Android e iOS)

  • Microsoft PowerPoint (Android e iOS)

  • Microsoft OneNote (Android e iOS)

Passos para configurar o acesso condicional do SharePoint Online

Passo 1: Configurar grupos de segurança do Active Directory

Antes de começar, configure grupos de segurança do Azure Active Directory para a política de acesso condicional. Pode configurar estes grupos no centro de administração do Office 365 ou no portal de contas do Intune. Estes grupos contêm os utilizadores que serão direcionados ou que estarão excluídos da política. Quando um utilizador é direcionado por uma política, cada dispositivo que utiliza tem de estar em conformidade para poder aceder aos recursos.

Pode especificar dois tipos de grupos numa política do SharePoint Online:

  • Grupos direcionados – contém os grupos de utilizadores aos quais a política será aplicada

  • Grupos excluídos – contém os grupos de utilizadores excluídos da política (opcional)

Se um utilizador estiver em ambos os grupos, estará excluído da política.

Passo 2: Configurar e implementar uma política de conformidade

Certifique-se de que cria e implementa uma política de conformidade em todos os dispositivos para os quais será direcionada a política do SharePoint Online.

Nota

Enquanto as políticas de conformidade são implementadas nos grupos do Intune ou nas coleções do Gestor de configuração, as políticas de acesso condicional são direcionadas para os grupos de segurança do Azure Active Directory.

Para obter detalhes sobre como configurar a política de conformidade, consulte Políticas de Conformidade no Configuration Manager.

System_CAPS_importantImportante

Se não tiver implementado uma política de conformidade e, em seguida, ativar uma política do SharePoint Online, todos os dispositivos direcionados terão permissão de acesso.

Quando estiver pronto, avance para o Passo 3.

Passo 3: Configurar a política do SharePoint Online

Em seguida, configure a política para exigir que apenas os dispositivos geridos e conformes podem aceder ao SharePoint Online. Esta política será armazenada no Azure Active Directory.

  1. Na consola do Gestor de configuração, clique em Ativos e Compatibilidade.

  2. Selecione Ativar política de acesso condicional do SharePoint Online.

  3. Em Aplicações que utilizam autenticação moderna, pode optar por restringir o acesso apenas a dispositivos conformes em cada plataforma.

    System_CAPS_tipDica

    A autenticação moderna traz o início de sessão baseado na Biblioteca de Autenticação do Active Directory (ADAL) aos clientes do Office.

    • A autenticação baseada na ADAL permite que os clientes do Office participem na autenticação baseada no browser (também conhecido como autenticação passiva). Para autenticar, o utilizador é direcionado para uma página Web de início de sessão.

    • Este novo método de início de sessão permite novos cenários, como o acesso condicional, com base na conformidade do dispositivo e se a autenticação multifator foi executada.

    Este artigo tem informações mais detalhadas sobre como a autenticação moderna funciona.

    Para PCs Windows, o PC tem de estar associado a um domínio ou inscrito no Intune e estar em conformidade. Pode definir os seguintes requisitos:

    - **Os dispositivos têm de estar associados a um domínio ou em conformidade.** Isto significa que os PCs têm de estar associados a um domínio ou em conformidade com as políticas definidas no Intune. Se o PC não cumprir nenhum destes requisitos, é pedido ao utilizador para inscrever o dispositivo no Intune.

- **Os dispositivos têm de estar associados a um domínio.** Isto significa que os PCs têm de estar associados a um domínio para acederem ao Exchange Online. Se o PC não estiver associado a um domínio, o acesso ao e-mail é bloqueado e é pedido ao utilizador para contactar o administrador de TI.

- **Os dispositivos têm de estar em conformidade.** Isto significa que os PCs têm de estar inscritos no Intune e em conformidade. Se o PC não estiver inscrito, será apresentada uma mensagem com instruções sobre como inscrevê-lo.

  4. No separador Início, no grupo Ligações, clique em Configurar Política de Acesso Condicional na Consola do Intune. Poderá ter de fornecer o nome de utilizador e a palavra-passe da conta utilizada para ligar o Gestor de configuração ao Intune.

    A consola de administração do Intune irá abrir.

  5. Na consola de administração do Microsoft Intune, clique em Política > Acesso Condicional > Política do SharePoint Online.

  6. Selecione Bloquear aplicações para impedir acesso ao SharePoint Online se o dispositivo não for compatível.

  7. Em Grupos Direcionados, clique em Modificar para selecionar os grupos de segurança do Azure Active Directory aos quais será aplicada a política.

  8. Opcionalmente, em Grupos Excluídos, clique em Modificar para selecionar os grupos de segurança do Azure Active Directory que estão excluídos desta política.

  9. Quando tiver terminado, clique em Guardar.

Não tem de implementar a política de acesso condicional, pois esta entra em vigor imediatamente.

Consulte Gerir o acesso ao SharePoint Online com o Microsoft Intune para obter informações sobre como pode monitorizar a política a partir da consola do Intune.