Gerir o acesso a serviços no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

Utilize o acesso condicional no O System Center Configuration Manager para proteger o e-mail e outros serviços em dispositivos que estão inscritos no Microsoft Intune, dependendo das condições que especificar.

Para obter informações sobre o acesso condicional em PC que são geridos com o System Center Configuration Manager e avaliados em termos de compatibilidade, veja o artigo Gerir o acesso aos serviços do Office 365 para PC geridos pelo System Center Configuration Manager.

System_CAPS_ICON_important.jpg Importante


O acesso condicional para PC e dispositivos Windows 10 Mobile com aplicações que utilizam a autenticação moderna não está de momento disponível para todos os clientes do Intune. Se já estiver a utilizar estas funcionalidades, não é necessário efetuar qualquer ação. Pode continuar a utilizá-los.

Isto não é aplicável a PC ou dispositivos Windows 10 Mobile para o acesso condicional ao Exchange no local.

Se não tiver criado políticas de acesso condicional para PC ou Windows 10 Mobile para aplicações que utilizam autenticação moderna, terá de enviar um pedido de acesso. Pode encontrar mais informações sobre problemas conhecidos, bem como obter acesso a esta funcionalidade no site de ligação.

Um fluxo típico de acesso condicional poderá ter o seguinte aspeto:

ConditionalAccess4

Utilize o acesso condicional para gerir o acesso aos seguintes serviços:

  • Microsoft Exchange No Local

  • Microsoft Exchange Online

  • Exchange Online Dedicado

  • SharePoint Online

  • Skype para Empresas Online

  • Dynamics CRM Online

Pode controlar o acesso ao Exchange Online e ao Exchange No Local a partir do cliente de e-mail incorporado nas seguintes plataformas:

  • Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior

  • iOS 7.1 e posterior

  • Windows Phone 8.1 e posterior

  • Aplicação de correio no Windows 8.1 e posterior

Pode controlar o acesso ao SharePoint Online a partir das seguintes aplicações para as plataformas indicadas:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)

  • Microsoft Word (Android e iOS)

  • Microsoft Excel (Android e iOS)

  • Microsoft PowerPoint (Android e iOS)

  • Microsoft OneNote (Android e iOS)

As aplicações de ambiente de trabalho do Office podem aceder ao Exchange Online e ao SharePoint Online em computadores que estejam a executar:

  • Ambiente de trabalho do Office 2013 e versões posteriores com autenticação moderna ativada.

  • Windows 7.0 ou Windows 8.1

System_CAPS_ICON_note.jpg Nota


Os computadores devem estar associados a um domínio ou em conformidade com as políticas definidas no Intune.

Para implementar o acesso condicional, configure dois tipos de políticas no Gestor de configuração:

  • As políticas de conformidade são políticas opcionais que pode implementar nas coleções de utilizadores e permitem avaliar definições como:

    • Código de acesso

    • Encriptação

    • Se o dispositivo está desbloqueado por jailbrake ou rooting

    • Se o e-mail no dispositivo for gerido por uma política do Gestor de configuração ou do Intune

    Se não for implementada nenhuma política de conformidade num dispositivo, todas as políticas de acesso condicional aplicáveis irão tratar o dispositivo como compatível.

  • As políticas de acesso condicional são configuradas para um serviço específico e definem regras como, por exemplo, que grupos de utilizadores de segurança do Azure Active Directory ou coleções de utilizadores do Gestor de configuração são visados ou excluídos.

    A política de acesso condicional do Exchange Local é configurada na consola do Gestor de configuração. No entanto, quando configura uma política do Exchange Online ou do SharePoint Online, esta ação abre a consola de administração do Intune onde configura a política.

    Ao contrário de outras políticas do Intune ou do Gestor de configuração, o utilizador não implementa políticas de acesso condicional. Em alternativa, configura estas políticas uma vez, e estas são aplicadas a todos os utilizadores visados.

Quando os dispositivos não cumprem as condições que configura, o utilizador é orientado através do processo de inscrição do dispositivo e da correção do problema que impede o dispositivo de ser compatível.

Antes de começar a utilizar o acesso condicional, certifique-se de que tem os requisitos corretos em funcionamento:

Tipo de políticaRequisitos
Exchange Online (utilizando o ambiente multi-inquilino partilhado)O acesso condicional para o Exchange Online suporta dispositivos que executam:

- Windows 8.1 e posterior (quando inscritos com o Intune)
- Windows 7.0 ou Windows 8.1 (quando associado a um domínio)
- Windows Phone 8.1 e posterior
- iOS 7.1 e posterior
- Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior

Além disso,

- Os dispositivos têm de estar associados à área de trabalho, que regista o dispositivo com o Serviço de Registos de Dispositivos do Azure Active Directory (AAD DRS).
Os computadores que estiverem a um domínio têm de ser registados automaticamente no Azure Active Directory através de política de grupo ou MSI. A secção Acesso condicional para computadores neste tópico descreve todos os requisitos para ativar o acesso condicional para um computador.
O AAD DRS será automaticamente ativado para os clientes do Intune e do Office 365. Os clientes que já implementaram o Serviço de Registos de Dispositivos do ADFS não verão dispositivos registados no respetivo Active Directory no local.
- Tem de utilizar uma subscrição do Office 365 que inclua o Exchange Online (como o plano E3) e os utilizadores têm de estar licenciados para o Exchange Online.
- O conector do Exchange Server é opcional e liga o Gestor de configuração ao Microsoft Exchange Online e ajuda-o a monitorizar informações de dispositivos através da consola do Gestor de configuração (consulte Como gerir dispositivos móveis com o Configuration Manager e o Exchange). Não tem de utilizar o conector para utilizar políticas de conformidade ou políticas de acesso condicional, mas é necessário executar relatórios que ajudam a avaliar o impacto do acesso condicional.
Exchange Online DedicadoO acesso condicional para o Exchange Online Dedicado suporta dispositivos que executam:

- Windows 8 e posterior (quando inscritos com o Intune)
- Windows 7.0 ou Windows 8.1 (quando associado a um domínio)
Acesso condicional a computadores associados a domínios apenas para inquilinos no novo ambiente dedicado do Exchange Online.
- Windows Phone 8 e posterior
- Todos os dispositivos iOS que utilizem um cliente de e-mail Exchange ActiveSync (EAS)
- Android 4 e posterior.
- Para inquilinos no ambiente legado de Exchange Online Dedicado:
Tem de utilizar o conector do Exchange Server que liga o Gestor de configuração ao Microsoft Exchange no Local. Este procedimento permite-lhe gerir dispositivos móveis e ativa o acesso condicional (consulte Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange).
- Para inquilinos no ambiente novo de Exchange Online Dedicado:
O conector do Exchange Server opcional liga o Gestor de configuração ao Microsoft Exchange Online e ajuda-o a gerir informações de dispositivos (consulte Como gerir dispositivos móveis com o Configuration Manager e o Exchange). Não tem de utilizar o conector para utilizar políticas de conformidade ou políticas de acesso condicional, mas é necessário executar relatórios que ajudam a avaliar o impacto do acesso condicional.
Exchange No LocalO acesso condicional para o Exchange No Local suporta:

- Windows 8 e posterior (quando inscritos com o Intune)
- Windows Phone 8 e posterior
- Aplicação de e-mail nativa no iOS
- Aplicação de e-mail nativa no Android 4 ou posterior
- A aplicação Microsoft Outlook não é (Android e iOS).

Além disso,

 
  • A sua versão do Exchange tem de ser o Exchange 2010 ou posterior. Matriz de Servidor de Acesso de Cliente (CAS) do Exchange Server é suportada. Sugestão: Se o seu ambiente do Exchange estiver numa configuração de servidor CAS, tem de configurar o conector do Exchange local para apontar para um dos servidores CAS.
  • Tem de utilizar o conector do Exchange Server que liga o Gestor de configuração ao Microsoft Exchange no Local. Este procedimento permite-lhe gerir dispositivos móveis e ativa o acesso condicional (consulte Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange).

     
    • Certifique-se de que está a utilizar a versão mais recente do conector do Exchange no local. O conector do Exchange no local deve ser configurado através da consola do Configuration Manager. Para obter instruções detalhadas, veja Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange.
    • O conector tem de estar configurado apenas no Site Primário do System Center Configuration Manager.
    • Este conector suporta o ambiente do Exchange CAS.
      Quando configurar o conector, tem de defini-lo para que comunique com um dos servidores do Exchange CAS.
  • O Exchange ActiveSync pode ser configurado com a autenticação baseada em certificado ou com a entrada de credencial de utilizador
Skype para Empresas OnlineO acesso condicional para o SharePoint Online suporta dispositivos que executam:

- iOS 7.1 e posterior
- Android 4.0 e posterior
- Samsung KNOX Standard 4.0 e posterior

Além disso, tem de ativar autenticação moderna para o Skype para Empresas Online. Preencha este formulário de ligação para ser inscrito no programa de autenticação moderna.
Todos os utilizadores finais devem utilizar o Skype para Empresas Online. Se tiver uma implementação com o Skype para Empresas Online e o Skype para Empresas no local, a política de acesso condicional não será aplicada aos utilizadores finais que estejam no âmbito da implementação no local.
SharePoint OnlineO acesso condicional para o SharePoint Online suporta dispositivos que executam:

- Windows 8.1 e posterior (quando inscritos com o Intune)
- Windows 7.0 ou Windows 8.1 (quando associado a um domínio)
- Windows Phone 8.1 e posterior
- iOS 7.1 e posterior
- Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior

Além disso,

- Os dispositivos têm de estar associados à área de trabalho, que regista o dispositivo com o Serviço de Registos de Dispositivos do Azure Active Directory (AAD DRS).
Os computadores que estiverem a um domínio têm de ser registados automaticamente no Azure Active Directory através de política de grupo ou MSI. A secção Acesso condicional para computadores neste tópico descreve todos os requisitos para ativar o acesso condicional para um computador.
O AAD DRS será automaticamente ativado para os clientes do Intune e do Office 365. Os clientes que já implementaram o Serviço de Registos de Dispositivos do ADFS não verão dispositivos registados no respetivo Active Directory no local.
- É necessária uma subscrição do SharePoint Online e os utilizadores têm de estar licenciados para o SharePoint Online.
Acesso condicional para PCsPode configurar o acesso condicional para computadores que executem aplicações de ambiente de trabalho do Office para aceder ao Exchange Online e ao SharePoint Online para computadores que cumpram os requisitos seguintes:

- O computador tem de estar a executar o Windows 7.0 ou o Windows 8.1.
- O computador tem de estar associado a um domínio ou em conformidade.
Para poder estar em conformidade, o computador tem de estar inscrito no Intune e conforme com as políticas.
Para um PC associado a um domínio, tem de defini-lo para registar automaticamente o dispositivo no Azure Active Directory.
- A Autenticação moderna do office 365 tem de estar ativada, e tem de ter instaladas todas as atualizações mais recentes do Office.
A autenticação moderna inclui o início de sessão baseado na Active Directory Authentication Library (ADAL) para clientes do Office 2013 Windows e permite uma maior segurança como multi-factor authentication e autenticação baseada em certificado.
- Configure regras de afirmações do ADFS para bloquear protocolos de autenticação não moderna.

Leia os seguintes tópicos para saber como configurar as políticas de conformidade e as políticas de acesso condicional para o seu cenário necessário:

Introdução às definições de compatibilidade no System Center Configuration Manager

Mostrar: