Acesso Condicional do E-mail do Exchange na Gestão de Configuração
Aplica-se A: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
Nota
As informações deste tópico aplicam-se apenas ao System Center 2012 Configuration Manager SP1 ou posterior e ao System Center 2012 R2 Configuration Manager ou posterior.
Utilize o acesso condicional do Gestor de configuração para gerir o acesso ao e-mail do Exchange com base em condições que especificar.
Pode gerir o acesso ao:
Microsoft Exchange No Local
Microsoft Exchange Online
Exchange Online Dedicado
Se configurar o acesso condicional, antes de um utilizador se poder ligar ao respetivo e-mail, o dispositivo que ele utiliza deve:
Estar inscrito no Intune ou num PC associado a um domínio.
Registar o dispositivo no Azure Active Directory (isto ocorre automaticamente quando o dispositivo é inscrito no Intune (apenas para o Exchange Online). Além disso, o ID do Exchange ActiveSync cliente tem de estar registado no Azure Active Directory (não se aplica a dispositivos Windows e Windows Phone que se liguem ao Exchange No Local).
Para um PC associado a um domínio, tem de defini-lo para ser registado automaticamente no Azure Active Directory. A secção Acesso Condicional para PC no tópico Acesso Condicional no Configuration Manager lista o conjunto completo de requisitos para ativar o acesso condicional para PC.
Ser compatível com todas as políticas de conformidade do Gestor de configuração implementadas nesse dispositivo
Se não for cumprida uma condição de acesso condicional, é apresentada ao utilizador uma das duas mensagens seguintes quando iniciar sessão:
Se o dispositivo não estiver inscrito no Intune ou não estiver registado no Azure Active Directory será apresentada uma mensagem com instruções sobre como instalar a aplicação do portal da empresa, inscrever o dispositivo e (para dispositivos Android e iOS) ativar o e-mail, o que associa o ID do Exchange ActiveSync do dispositivo ao registo do dispositivo no Azure Active Directory.
Se o dispositivo não for conforme, será apresentada uma mensagem que direciona o utilizador para o portal Web do Intune, onde é possível localizar informações sobre o problema e como resolvê-lo.
Para PCs:
Se o requisito da política de acesso condicional permitir a associação a um domínio ou a conformidade, será apresentada uma mensagem com instruções sobre como inscrever o dispositivo. Se o PC não cumprir nenhum dos requisitos, será pedido ao utilizador para inscrever o dispositivo no Intune.
Se o requisito da política de acesso condicional estiver definido para permitir apenas dispositivos Windows associados a um domínio, o dispositivo será bloqueado e será apresentada uma mensagem para contactar o administrador de TI.
Pode bloquear o acesso ao e-mail do Exchange no cliente de e-mail Exchange ActiveSync incorporado no dispositivo nas seguintes plataformas:
Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior
iOS 7.1 e posterior
Windows Phone 8.1 e posterior
A aplicação Correio no Windows 8.1 e posterior
A aplicação Outlook para iOS e Android e o Outlook 2013 para ambiente de trabalho só são suportados para o Exchange Online.
O conector do Exchange no local entre o Gestor de configuração e o Exchange é necessário para o acesso condicional funcionar.
Pode configurar uma política de acesso condicional do Exchange no local a partir da consola do Gestor de configuração. Ao configurar uma política de acesso condicional do Exchange Online, pode iniciar o processo na consola do Gestor de configuração, que lança a consola do Microsoft Intune onde pode concluir o processo.
Passo 1: Avaliar o efeito da política de acesso condicional
Uma vez configurado o conector do Exchange local, pode utilizar o relatório da Gestor de configuração Lista de dispositivos por Estado de Acesso Condicional para identificar dispositivos que serão bloqueados no acesso ao Exchange após configurar a política de acesso condicional. Este relatório também requer:
Uma subscrição do Intune
O IntuneConnector deve ser configurado e implementado
Nos parâmetros do relatório, selecione o grupo do Intune que pretende avaliar e, se necessário, as plataformas de dispositivos às quais será aplicada a política.
Para obter mais informações sobre como executar relatórios, consulte Relatórios no Configuration Manager.
Depois de executar o relatório, examine estas quatro colunas para determinar se um utilizador será bloqueado:
Canal de Gestão – indica se o dispositivo é gerido pelo Intune, pelo Exchange ActiveSync ou por ambos.
Registado no AAD – indica se o dispositivo está registado no Azure Active Directory (conhecido como Associação à Área de Trabalho).
Conforme – indica se o dispositivo está conforme com as políticas de conformidade implementadas.
EAS Ativado – é necessário que os dispositivos iOS e Android tenham o ID do Exchange ActiveSync associado ao registo do dispositivo no Azure Active Directory. Isto acontece quando o utilizador clica na ligação Ativar E-mail no e-mail de quarentena.
Nota
Os dispositivos Windows Phone apresentam sempre um valor nesta coluna.
Os dispositivos que fazem parte de uma coleção ou grupo de destino serão impedidos de aceder ao Exchange, exceto se os valores da coluna corresponderem aos listados na seguinte tabela:
Canal de gestão |
Registado no AAD |
Compatível |
EAS Ativado |
Ação resultante |
|---|---|---|---|---|
Gerido pelo Microsoft Intune e pelo Exchange ActiveSync |
Sim |
Sim |
É apresentado Sim ou Não |
Acesso ao e-mail permitido |
Qualquer outro valor |
Não |
Não |
Não é apresentado nenhum valor |
Acesso ao e-mail bloqueado |
Pode exportar os conteúdos do relatório e utilizar a coluna Endereço de E-mail para ajudar a informar os utilizadores que serão bloqueados.
Passo 2: Configurar coleções ou grupos de utilizadores para a política de acesso condicional
O direcionamento de políticas de acesso condicional para diferentes coleções ou grupos de utilizadores depende dos tipos de políticas. Estes grupos contêm os utilizadores que serão direcionados ou que estarão excluídos da política. Quando um utilizador é direcionado por uma política, cada dispositivo que utiliza tem de estar em conformidade para poder aceder ao e-mail.
Para a política do Exchange Online – para grupos de utilizadores de segurança do Azure Active Directory. Pode configurar estes grupos no centro de administração do Office 365 ou no portal de contas do Intune.
Para a política do Exchange no local – para coleções de utilizadores do Gestor de configuração. Pode configurá-los na área de trabalho Ativos e Compatibilidade.
Pode especificar dois tipos de grupos em cada política:
Grupos direcionados – grupos ou coleções de utilizadores aos quais é aplicada a política
Grupos excluídos – grupos ou coleções de utilizadores excluídos da política (opcional)
Se um utilizador estiver em ambos, estará excluído da política.
Apenas os grupos ou coleções direcionados pela política de acesso condicional são avaliados para acesso ao Exchange.
Passo 3: Configurar e implementar uma política de conformidade
Certifique-se de que criou e implementou uma política de conformidade em todos os dispositivos para os quais será direcionada a política de acesso condicional do Exchange.
Para obter detalhes sobre como configurar a política de conformidade, consulte Políticas de Conformidade no Configuration Manager.
.jpeg "System_CAPS_important") Importante |
|---|
Se não tiver implementado uma política de conformidade e, em seguida, ativar uma política de acesso condicional do Exchange, todos os dispositivos direcionados terão permissão de acesso. |
Quando estiver pronto, avance para o Passo 4.
Passo 4: Configurar a política de acesso condicional
Para o Exchange Online (e inquilinos no novo ambiente do Exchange Online Dedicado)
As políticas de acesso condicional para o Exchange Online utilizam o fluxo seguinte para avaliar se os dispositivos devem ser permitidos ou bloqueados.
.jpeg "Flow for Exchange Online Conditional Access")
Para aceder ao e-mail, o dispositivo tem de:
Estar inscrito no Intune
Os PCs têm de estar inscritos ou associados a um domínio e em conformidade com as políticas definidas no Intune.
Registar o dispositivo no Azure Active Directory (isto ocorre automaticamente quando o dispositivo é inscrito no Intune.
Para um PC associado a um domínio, tem de defini-lo para registar automaticamente o dispositivo no Azure Active Directory.
Ter o e-mail ativado, o qual associa o ID do Exchange ActiveSync do dispositivo ao registo do dispositivo no Azure Active Directory (apenas aplicado a dispositivos iOS e Android).
Ser compatível com todas as políticas de conformidade implementadas
O estado do dispositivo é armazenado no Azure Active Directory, o qual concede ou bloqueia o acesso ao e-mail, com base nas condições avaliadas.
Se não for cumprida uma condição, será apresentada ao utilizador uma das duas mensagens seguintes quando iniciar sessão:
Se o dispositivo não estiver inscrito ou registado no Azure Active Directory, será apresentada uma mensagem com instruções sobre como instalar a aplicação do portal da empresa e inscrevê-la
Se o dispositivo não for conforme, será apresentada uma mensagem que direciona o utilizador para o portal Web do Intune, onde é possível localizar informações sobre o problema e como resolvê-lo.
Num PC:
Se a política estiver definida para exigir a associação a um domínio e o PC não estiver associado a qualquer domínio, será apresentada uma mensagem para contactar o administrador de TI.
Se a política estiver definida para exigir a associação a um domínio ou estar em conformidade, o PC não cumpre nenhum dos requisitos e será apresentada uma mensagem com instruções sobre como instalar o portal da empresa e inscrevê-lo.
A mensagem é apresentada no dispositivo para os utilizadores do Exchange Online e os inquilinos no novo ambiente do Exchange Online Dedicado e é enviada para a caixa de entrada de e-mail dos utilizadores do Exchange No Local e dos dispositivos legados do Exchange Online Dedicado.
Nota
As regras de acesso condicional do Gestor de configuração substituem, permitem, bloqueiam e colocam em quarentena regras que são definidas na consola de administração do Exchange Online.
Nota
A política de acesso condicional deve ser configurada na consola do Intune. Os seguintes passos começam por aceder à consola do Intune através do Configuration Manager. Se lhe for solicitado, inicie sessão com as mesmas credenciais que foram utilizadas para configurar o conector entre o Configuration Manager e o Intune.
Para ativar a política do Exchange Online
-
Na consola do Gestor de configuração, clique em Ativos e Compatibilidade.
-
Expanda as Definições de Conformidade, expanda o Acesso Condicional e, em seguida, clique em Exchange Online.
-
No separador Início, no grupo Ligações, clique em Configurar Política de Acesso Condicional na Consola do Intune. Poderá ter de fornecer o nome de utilizador e palavra-passe da conta utilizada para ligar o Gestor de configuração a qualquer administrador global para o serviço Intune.
A consola de administração do Intune irá abrir.
-
Na consola de administração do Microsoft Intune, clique em Política > Acesso Condicional > Política do Exchange Online.
.jpeg "HybridOnlineSetupInIntune")
-
Na página Política do Exchange Online, selecione Ativar política de acesso condicional no Exchange Online. Se selecionar esta opção, o dispositivo tem de estar em conformidade. Se não estiver selecionada, o acesso condicional não é aplicado.
Nota
Se não tiver implementado uma política de conformidade e, em seguida, ativar a política do Exchange Online, todos os dispositivos direcionados serão comunicados como estando em conformidade.
Independentemente do estado de conformidade, todos os utilizadores direcionados pela política terão de inscrever os respetivos dispositivos no Intune.
-
Em Aplicações que utilizam autenticação moderna, pode optar por restringir o acesso apenas a dispositivos conformes em cada plataforma. Os dispositivos Windows têm de estar associados a um domínio ou inscritos no Intune e em conformidade.
.jpeg "System_CAPS_tip")
DicaA autenticação moderna traz o início de sessão baseado na Biblioteca de Autenticação do Active Directory (ADAL) aos clientes do Office.
A autenticação baseada na ADAL permite que os clientes do Office participem na autenticação baseada no browser (também conhecido como autenticação passiva). Para autenticar, o utilizador é direcionado para uma página Web de início de sessão.
Este novo método de início de sessão permite novos cenários, como o acesso condicional, com base na conformidade do dispositivo e se a autenticação multifator foi executada.
Este artigo tem informações mais detalhadas sobre como a autenticação moderna funciona.
Utilizar o Exchange Online com o Configuration Manager e o Intune não só pode gerir dispositivos móveis com acesso condicional, mas também com computadores de secretária. Os PCs têm de estar associados a um domínio ou inscritos no Intune e em conformidade. Pode definir os seguintes requisitos:
- **Os dispositivos têm de estar associados a um domínio ou em conformidade.** Isto significa que os PC têm de estar associados a um domínio ou em conformidade com as políticas definidas no Intune. Se o PC não cumprir nenhum destes requisitos, é pedido ao utilizador para inscrever o dispositivo no Intune. - **Os dispositivos têm de estar associados a um domínio.** Os PC têm de estar associados a um domínio para acederem ao Exchange Online. Se o PC não estiver associado a um domínio, o acesso ao e-mail é bloqueado e é pedido ao utilizador para contactar o administrador de TI. - **Os dispositivos têm de estar em conformidade.** Os PC têm de estar inscritos no Intune e em conformidade. Se um PC não estiver inscrito, será apresentada uma mensagem com instruções sobre como inscrevê-lo. -
Em Aplicações de correio do Exchange ActiveSync, pode optar por bloquear o acesso ao Exchange Online se o dispositivo não estiver em conformidade e selecionar se pretende permitir ou bloquear o acesso ao e-mail quando não for possível ao Intune gerir o dispositivo.
-
Em Grupos Direcionados, selecione os grupos de segurança do Active Directory dos utilizadores aos quais será aplicada a política.
Nota
Para utilizadores que estão nos grupos de Destino, as políticas do Intune irão substituir as regras e as políticas do Exchange.
O Exchange só irá impor permissões, bloqueios, regras de quarentena e políticas do Exchange se:
-
O utilizador não estiver licenciado para o Intune.
-
O utilizador estiver licenciado para o Intune, mas não pertencer a quaisquer grupos de segurança direcionados na política de acesso condicional.
-
-
Em Grupos Excluídos, selecione os grupos de segurança do Active Directory dos utilizadores que estão excluídos desta política. Se um utilizador estiver em ambos os grupos, estará excluído da política e terá acesso ao respetivo e-mail.
-
Quando terminar, clique em Guardar.
Não tem de implementar a política de acesso condicional, pois esta entra em vigor imediatamente.
Depois de um utilizador criar uma conta de e-mail, o dispositivo é bloqueado de imediato.
Se um utilizador bloqueado inscrever o dispositivo no Intune (ou corrigir a não conformidade), o acesso ao e-mail é desbloqueado em dois minutos.
Se o utilizador anular a inscrição do respetivo dispositivo, o e-mail é bloqueado após aproximadamente 6 horas.
Para o Exchange no local (e inquilinos no ambiente legado do Exchange Online Dedicado)
As políticas de acesso condicional para o Exchange no local e os inquilinos no ambiente legado do Exchange Online Dedicado utilizam o fluxo seguinte para avaliar se os dispositivos devem ser permitidos ou bloqueados.
.jpeg "Conditional Access flow for Exchange On-Premises")
Para ativar a política do Exchange No Local
-
Na consola do Gestor de configuração, clique em Ativos e Compatibilidade.
-
Expanda Definições de Compatibilidade, expanda Acesso Condicional e, em seguida, clique em Exchange no Local.
-
No separador Home Page, no grupo Exchange no Local, clique em Configurar Política de Acesso Condicional.
-
Na página Geral do Assistente para Configurar Política de Acesso Condicional, especifique o nome de domínio do inquilino Intune. Este é o sufixo do ID de inquilino que utilizou para configurar o conector do Intune. Por exemplo, se o ID do inquilino que utilizou for admin@corpemail.contoso.com, o nome de domínio que introduzir nesta página do assistente é corpemail.contoso.com.
.jpeg "HybridCondAccessWiz1")
Clique em Seguinte.
-
Na página Coleções Direcionadas, adicione uma ou mais coleções de utilizadores. Para poder aceder ao Exchange, os utilizadores nestas coleções têm de inscrever os seus dispositivos no Intune e estar em conformidade com todas as políticas de conformidade implementadas.
.jpeg "HybridCondAccessWiz2")
Clique em Seguinte.
-
Na página Coleções Excluídas, adicione as coleções de utilizadores que pretende excluir da política de acesso condicional. Os utilizadores nestes grupos não têm de inscrever os seus dispositivos no Intune e não precisam de estar em conformidade com qualquer política de conformidade implementada para poderem aceder ao Exchange.
.jpeg "HybridCondAccessWiz3")
Se um utilizador aparecer em ambos os grupos, estará excluído da política de acesso condicional.
Clique em Seguinte.
-
Na página Editar Notificação do Utilizador, configure o e-mail que o Intune envia com instruções sobre como desbloquear o dispositivo (para além do e-mail que o Exchange envia).
Pode editar a mensagem predefinida e utilizar tags de HTML para formatar a apresentação do texto. Também pode enviar uma mensagem de e-mail antecipadamente aos seus funcionários para notificá-los sobre alterações futuras e fornecer-lhes instruções sobre como inscrever os respetivos dispositivos.
.jpeg "HybridCondAccessWiz4")
Nota
Como o e-mail de notificação do Intune com as instruções de correção é enviado para a caixa de correio do Exchange do utilizador, no caso de o dispositivo do utilizador ficar bloqueado antes de receber a mensagem de e-mail, este pode utilizar um dispositivo desbloqueado ou outro método para aceder ao Exchange e ver a mensagem.
Nota
Para o Exchange poder enviar o e-mail de notificação, tem de configurar a conta que será utilizada para enviá-lo. Pode efetuar esta ação quando configurar as propriedades do conector do Exchange Server.
Para mais detalhes, consulte o artigo Como Gerir Dispositivos Móveis Através do Configuration Manager e do Exchange.
Clique em Seguinte.
-
Na página Resumo, verifique as definições e, em seguida, feche o assistente.
Não tem de implementar a política de acesso condicional, pois esta entra em vigor imediatamente.
Depois de um utilizador configurar um perfil do Exchange ActiveSync, pode demorar entre 1 a 3 horas até o dispositivo ser bloqueado (se não for gerido pelo Intune).
Se um utilizador bloqueado inscrever, posteriormente, o dispositivo no Intune (ou corrigir a não conformidade), o acesso ao e-mail será desbloqueado em dois minutos.
Se o utilizador anular a inscrição no Intune, pode demorar entre 1 a 3 horas até o dispositivo ser bloqueado.