Gerir o acesso ao e-mail no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

Utilize o acesso condicional do O System Center Configuration Manager para gerir o acesso ao e-mail do Exchange com base nas condições que especificar.

Este artigo contém informações sobre uma nova funcionalidade introduzida na versão 1602 de O System Center Configuration Manager (current branch). Para utilizar a nova funcionalidade, terá de instalar a atualização 1602. Se não tiver atualizado para a versão mais recente do Gestor de configuração, pode transferir a documentação da versão utilizada na Galeria do TechNet.

Pode gerir o acesso ao:

  • Microsoft Exchange No Local

  • Microsoft Exchange Online

  • Exchange Online Dedicado

System_CAPS_ICON_important.jpg Importante


O acesso condicional para PC e dispositivos Windows 10 Mobile com aplicações que utilizam a autenticação moderna não está de momento disponível para todos os clientes do Intune. Se já estiver a utilizar estas funcionalidades, não é necessário efetuar qualquer ação. Pode continuar a utilizá-los.

Isto não é aplicável a PC ou dispositivos Windows 10 Mobile para o acesso condicional ao Exchange no local.

Se não tiver criado políticas de acesso condicional para PC ou Windows 10 Mobile para aplicações que utilizam autenticação moderna, terá de enviar um pedido de acesso. Pode encontrar mais informações sobre problemas conhecidos, bem como obter acesso a esta funcionalidade no site de ligação.

Se configurar o acesso condicional, antes de um utilizador se poder ligar ao respetivo e-mail, o dispositivo que ele utiliza deve:

  • Estar inscrito no Intune ou num PC associado a um domínio.

  • Registar o dispositivo no Azure Active Directory (isto ocorre automaticamente quando o dispositivo é inscrito no Intune (apenas para o Exchange Online). Além disso, o ID do Exchange ActiveSync cliente tem de estar registado no Azure Active Directory (não se aplica a dispositivos Windows e Windows Phone que se liguem ao Exchange No Local).

    Para um PC associado a um domínio, tem de defini-lo para ser registado automaticamente no Azure Active Directory. A secção Acesso Condicional para PCs do tópico Gerir o acesso a serviços no System Center Configuration Manager apresenta uma lista do conjunto completo de requisitos para ativar o acesso condicional em PCs.

  • Ser compatível com todas as políticas de conformidade do Gestor de configuração implementadas nesse dispositivo

Se não for cumprida uma condição de acesso condicional, é apresentada ao utilizador uma das duas mensagens seguintes quando iniciar sessão:

  • Se o dispositivo não estiver inscrito no Intune ou não estiver registado no Azure Active Directory, será apresentada uma mensagem com instruções sobre como instalar a aplicação do portal da empresa, inscrever o dispositivo e (para dispositivos Android e iOS) ativar o e-mail, o que associa o ID do Exchange ActiveSync do dispositivo ao registo do dispositivo no Azure Active Directory.

  • Se o dispositivo não estiver conforme, será apresentada uma mensagem que direciona o utilizador para o portal Web do Intune, onde é possível localizar informações sobre o problema e como resolvê-lo.

Para dispositivos móveis:

Pode restringir o acesso ao Outlook Web Access (OWA) no Exchange Online quando o acesso for feito a partir de um browser em dispositivos iOS e Android. O acesso só será permitido a partir de browsers suportados em dispositivos conformes:

  • Safari (iOS)
  • Chrome (Android)
  • Managed Browser (iOS e Android)

Os browsers não suportados serão bloqueados. As aplicações do OWA para iOS e Android não são suportadas. Devem ser bloqueadas através de regras de afirmações do ADFS:

Para PCs:

  • Se o requisito de política de acesso condicional permitir a associação a um domínio ou a conformidade, será apresentada uma mensagem com instruções sobre como inscrever o dispositivo. Se o PC não cumprir nenhum dos requisitos, será pedido ao utilizador para inscrever o dispositivo no Intune.

  • Se o requisito da política de acesso condicional estiver definido para permitir apenas dispositivos Windows associados a um domínio, o dispositivo será bloqueado e será apresentada uma mensagem para contactar o administrador de TI.

Pode bloquear o acesso ao e-mail do Exchange no cliente de e-mail Exchange ActiveSync incorporado no dispositivo nas seguintes plataformas:

  • Android 4.0 e posterior, Samsung Knox Standard 4.0 e posterior

  • iOS 7.1 e posterior

  • Windows Phone 8.1 e posterior

  • A aplicação Correio no Windows 8.1 e posterior

A aplicação Outlook para iOS e Android, e o Outlook Desktop 2013 e posterior é suportada apenas para o Exchange Online.

O Exchange Connector no local entre o Gestor de configuração e o Exchange é preciso para o acesso condicional funcionar.

Pode configurar uma política de acesso condicional para o Exchange no local a partir da consola do Gestor de configuração. Ao configurar uma política de acesso condicional para o Exchange Online, pode iniciar o processo na consola do Gestor de configuração, que inicia a consola do Intune onde poderá concluir o processo.

Uma vez configurado o Exchange Connector no local, pode utilizar o relatório Lista de dispositivos pelo Estado de Acesso Condicional do Gestor de configuração para identificar dispositivos cujo acesso ao Exchange será bloqueado depois de configurar a política de acesso condicional. Este relatório também requer:

  • Uma subscrição do Intune

  • O ponto de ligação de serviço deve ser configurado e implementado

Nos parâmetros do relatório, selecione o grupo do Intune que pretende avaliar e, se necessário, as plataformas de dispositivos às quais será aplicada a política.

Para obter mais informações sobre como executar relatórios, veja Os relatórios do System Center Configuration Manager.

Depois de executar o relatório, examine estas quatro colunas para determinar se um utilizador será bloqueado:

  • Canal de Gestão – Indica se o dispositivo é gerido pelo Intune, pelo Exchange ActiveSync ou por ambos.

  • Registado com AAD – Indica se o dispositivo está registado no Azure Active Directory (conhecido como Associação à Área de Trabalho).

  • Conforme – Indica se o dispositivo está conforme com as políticas de conformidade implementadas.

  • EAS Ativado – Os dispositivos iOS e Android precisam de ter o ID do Exchange ActiveSync associado ao registo do dispositivo no Azure Active Directory. Isto acontece quando o utilizador clica na ligação Ativar E-mail no e-mail de quarentena.

    System_CAPS_ICON_note.jpg Nota


    Os dispositivos Windows Phone apresentam sempre um valor nesta coluna.

Os dispositivos que fazem parte de uma coleção ou grupo de destino serão impedidos de aceder ao Exchange, exceto se os valores da coluna corresponderem aos listados na seguinte tabela:

Canal de gestãoRegistado no AADCompatívelEAS AtivadoAção resultante
Gerido pelo Microsoft Intune e pelo Exchange ActiveSyncSimSimÉ apresentado Sim ou NãoAcesso ao e-mail permitido
Qualquer outro valorNãoNãoNão é apresentado nenhum valorAcesso ao e-mail bloqueado

Pode exportar os conteúdos do relatório e utilizar a coluna Endereço de E-mail para ajudar a informar os utilizadores de que serão bloqueados.

O direcionamento de políticas de acesso condicional para diferentes coleções ou grupos de utilizadores depende dos tipos de políticas. Estes grupos contêm os utilizadores que serão direcionados ou que estarão excluídos da política. Quando um utilizador é direcionado por uma política, cada dispositivo que utiliza tem de estar em conformidade para poder aceder ao e-mail.

  • Para a política do Exchange Online – para grupos de utilizadores de segurança do Azure Active Directory. Pode configurar estes grupos no centro de administração do Office 365 ou no portal de contas do Intune.

  • Para a política do Exchange no local – para coleções de utilizadores do Gestor de configuração. Pode configurá-los na área de trabalho Ativos e Compatibilidade.

Pode especificar dois tipos de grupos em cada política:

  • Grupos visados – grupos ou coleções de utilizadores aos quais é aplicada a política

  • Grupos excluídos – grupos ou coleções de utilizadores excluídos da política (opcional)

Se um utilizador estiver em ambos, estará excluído da política.

Apenas os grupos ou coleções direcionados pela política de acesso condicional são avaliados para acesso ao Exchange.

Certifique-se de que criou e implementou uma política de conformidade em todos os dispositivos para os quais será direcionada a política de acesso condicional do Exchange.

Para obter detalhes sobre como configurar a política de conformidade, veja Gerir políticas de conformidade no System Center Configuration Manager.

System_CAPS_ICON_important.jpg Importante


Se não tiver implementado uma política de conformidade e, em seguida, ativar uma política de acesso condicional do Exchange, todos os dispositivos direcionados terão permissão de acesso.

Quando estiver pronto, avance para o Passo 4.

Para o Exchange Online (e inquilinos no novo ambiente do Exchange Online Dedicado)

As políticas de acesso condicional para o Exchange Online utilizam o fluxo seguinte para avaliar se os dispositivos devem ser permitidos ou bloqueados.

ConditionalAccess8-1

Para aceder ao e-mail, o dispositivo tem de:

  • Estar inscrito no Intune

  • Os PCs têm de estar inscritos ou associados a um domínio e em conformidade com as políticas definidas no Intune.

  • Registar o dispositivo no Azure Active Directory (isto ocorre automaticamente quando o dispositivo é inscrito no Intune.

    Para um PC associado a um domínio, tem de defini-lo para registar automaticamente o dispositivo no Azure Active Directory.

  • Ter o e-mail ativado, o qual associa o ID do Exchange ActiveSync do dispositivo ao registo do dispositivo no Azure Active Directory (apenas aplicado a dispositivos iOS e Android).

  • Ser compatível com todas as políticas de conformidade implementadas

O estado do dispositivo é armazenado no Azure Active Directory, o qual concede ou bloqueia o acesso ao e-mail, com base nas condições avaliadas.

Se não for cumprida uma condição, será apresentada ao utilizador uma das duas mensagens seguintes quando iniciar sessão:

  • Se o dispositivo não estiver inscrito ou registado no Azure Active Directory, será apresentada uma mensagem com instruções sobre como instalar a aplicação do portal da empresa e inscrevê-la

  • Se o dispositivo não estiver conforme, será apresentada uma mensagem que direciona o utilizador para o site do Portal da Empresa do Intune ou para a aplicação Portal da Empresa, onde é possível localizar informações sobre o problema e como resolvê-lo.

  • Num PC:

    • Se a política estiver definida para exigir a associação a um domínio e o PC não estiver associado a qualquer domínio, será apresentada uma mensagem para contactar o administrador de TI.

    • Se a política estiver definida para exigir a associação a um domínio ou estar em conformidade, o PC não cumpre nenhum dos requisitos e será apresentada uma mensagem com instruções sobre como instalar o portal da empresa e inscrevê-lo.

A mensagem é apresentada no dispositivo para os utilizadores do Exchange Online e os inquilinos no novo ambiente do Exchange Online Dedicado e é enviada para a caixa de entrada de e-mail dos utilizadores do Exchange No Local e dos dispositivos legados do Exchange Online Dedicado.

System_CAPS_ICON_note.jpg Nota


Gestor de configuração As regras de acesso condicional do Configuration Manager substituem, permitem, bloqueiam e colocam em quarentena regras que são definidas na consola de administração do Exchange Online.

System_CAPS_ICON_note.jpg Nota


A política de acesso condicional deve ser configurada na consola do Intune. Os seguintes passos começam por aceder à consola do Intune através do Configuration Manager. Se lhe for solicitado, inicie sessão com as mesmas credenciais que foram utilizadas para configurar o ponto de ligação do serviço entre o Configuration Manager e o Intune.

Para ativar a política do Exchange Online
  1. Na consola do Gestor de configuração, clique em Ativos e Compatibilidade.

  2. Expanda Definições de Compatibilidade, expanda Acesso Condicional e, em seguida, clique em Exchange Online.

  3. No separador Início, no grupo Ligações, clique em Configurar Política de Acesso Condicional na Consola do Intune. Poderá ter de fornecer o nome de utilizador e palavra-passe da conta utilizada para ligar o Gestor de configuração a qualquer administrador global para o serviço Intune.

    A consola de administração do Intune abre.

  4. Na consola de administração do Microsoft Intune, clique em Política > Acesso Condicional > Política do Exchange Online.

    HybridOnlineSetupIntune

  5. Na página Política do Exchange Online, selecione Ativar política de acesso condicional no Exchange Online. Se selecionar esta opção, o dispositivo tem de estar em conformidade. Se não estiver selecionada, o acesso condicional não é aplicado.

    System_CAPS_ICON_note.jpg Nota


    Se não tiver implementado uma política de conformidade e, em seguida, ativar a política do Exchange Online, todos os dispositivos direcionados serão comunicados como estando em conformidade.

    Independentemente do estado de conformidade, todos os utilizadores visados pela política terão de inscrever os respetivos dispositivos no Intune.

  6. Em Acesso da aplicação, para o Outlook e outras aplicações com autenticação moderna, pode optar por restringir o acesso apenas a dispositivos conformes com cada plataforma. Os dispositivos Windows têm de estar associados a um domínio ou inscritos no Intune e em conformidade.

    System_CAPS_ICON_tip.jpg Dica


    A Autenticação moderna fornece um início de sessão baseado na ADAL (Active Directory Authentication Library) aos clientes do Office.

    • A autenticação baseada na ADAL permite que os clientes do Office participem na autenticação baseada no browser (também conhecido como autenticação passiva). Para autenticar, o utilizador é direcionado para uma página Web de início de sessão.
    • Este novo método de início de sessão permite novos cenários, como o acesso condicional, com base na conformidade do dispositivo e no facto de a autenticação multifator ter sido ou não executada.

    Este artigo tem informações mais detalhadas sobre como funciona a autenticação moderna.

    Utilizar o Exchange Online com o Configuration Manager e o Intune não só pode gerir dispositivos móveis com acesso condicional, mas também com computadores de secretária. Os PCs têm de estar associados a um domínio ou inscritos no Intune e em conformidade. Pode definir os seguintes requisitos:

    • Os dispositivos têm de estar associados a um domínio ou em conformidade. Os PC têm de estar associados a um domínio ou em conformidade com as políticas. Se um PC não cumprir nenhum destes requisitos, é pedido ao utilizador que inscreva o dispositivo no Intune.

    • Os dispositivos têm de estar associados a um domínio. Os PC têm de estar associados a um domínio para acederem ao Exchange Online. Se o PC não estiver associado a um domínio, o acesso ao e-mail é bloqueado e é pedido ao utilizador para contactar o administrador de TI.

    • Os dispositivos têm de estar em conformidade. Os PC têm de estar inscritos no Intune e estar conformes. Se um PC não estiver inscrito, será apresentada uma mensagem com instruções sobre como inscrevê-lo.

  7. Em Outlook Web Access (OWA), pode optar por permitir o acesso ao Exchange Online apenas através de browsers suportados: Safari (iOS) e Chrome (Android). O acesso a partir de outros browsers será bloqueado. As mesmas restrições de plataforma que selecionou para Acesso da aplicação para o Outlook também se aplicam aqui.

    Em dispositivos Android, os utilizadores têm de ativar o acesso ao browser. Para fazê-lo, o utilizador final tem de ativar a opção "Ativar acesso ao browser" no dispositivo inscrito, da seguinte forma:

    1. Inicie a aplicação Portal da Empresa.
    2. Aceda à página Definições a partir das reticências (…) ou do botão de menu do hardware.
    3. Prima o botão Ativar acesso ao browser.
    4. No browser Chrome, termine sessão no Office 365 e reinicie o Chrome.

    Nas plataformas iOS e Android, para identificar o dispositivo que é utilizado para aceder ao serviço, o Azure Active Directory emitirá um certificado Transport Layer Security (TLS) para o dispositivo. O dispositivo apresenta o certificado com uma linha de comandos ao utilizador final para selecionar o certificado, tal como mostram as capturas de ecrã abaixo. O utilizador final tem de selecionar este certificado para poder continuar a utilizar o browser.

    iOS

    captura de ecrã da linha de comandos do certificado num ipad

    Android

    captura de ecrã da linha de comandos do certificado num dispositivo Android

  8. Em aplicações de correio do Exchange ActiveSync, pode optar por bloquear o acesso do e-mail ao Exchange Online se o dispositivo não estiver em conformidade e selecionar se pretende permitir ou bloquear o acesso ao e-mail quando não for possível ao Intune gerir o dispositivo.

  9. Em Grupos Visados, selecione os grupos de segurança do Active Directory dos utilizadores aos quais será aplicada a política.

    System_CAPS_ICON_note.jpg Nota


    Para utilizadores que estão nos grupos de Destino, as políticas do Intune irão substituir as regras e as políticas do Exchange.

    O Exchange só irá impor permissões, bloqueios, regras de quarentena e políticas do Exchange se:

    • O utilizador não estiver licenciado para o Intune.
    • O utilizador estiver licenciado para o Intune, mas não pertencer a quaisquer grupos de segurança direcionados na política de acesso condicional.
  10. Em Grupos Excluídos, selecione os grupos de segurança do Active Directory dos utilizadores que estão excluídos desta política. Se um utilizador estiver em ambos os grupos, estará excluído da política e terá acesso ao respetivo e-mail.

  11. Quando terminar, clique em Guardar.

  • Não tem de implementar a política de acesso condicional, pois esta entra em vigor imediatamente.

  • Depois de um utilizador criar uma conta de e-mail, o dispositivo é bloqueado de imediato.

  • Se um utilizador bloqueado inscrever o dispositivo no Intune (ou corrigir a não conformidade), o acesso ao e-mail é desbloqueado em dois minutos.

  • Se o utilizador anular a inscrição do respetivo dispositivo, o e-mail é bloqueado após aproximadamente 6 horas.

Para o Exchange no local (e inquilinos no ambiente legado do Exchange Online Dedicado)

As políticas de acesso condicional para o Exchange no local e os inquilinos no ambiente legado do Exchange Online Dedicado utilizam o fluxo seguinte para avaliar se os dispositivos devem ser permitidos ou bloqueados.

ConditionalAccess8-2

Para ativar a política do Exchange No Local
  1. Na consola do Gestor de configuração, clique em Ativos e Compatibilidade.

  2. Expanda Definições de Compatibilidade, expanda Acesso Condicional e, em seguida, clique em Exchange no Local.

  3. No separador Home Page, no grupo Exchange no Local, clique em Configurar Política de Acesso Condicional.

  4. A partir da versão 1602 do Configuration Manager, na página Geral do Assistente para Configurar Política de Acesso Condicional, especifique se pretende substituir a regra predefinida do Exchange Active Sync. Clique nesta opção se pretender que os dispositivos inscritos e compatíveis tenham sempre acesso ao e-mail, mesmo quando a regra predefinida está definida para colocar em quarentena ou bloquear o acesso.

    System_CAPS_ICON_note.jpg Nota


    Ocorreu um problema com a substituição predefinida de dispositivos Android. Se a regra de acesso predefinida do Exchange Server estiver definida como Bloquear e a política de acesso condicional do Exchange estiver ativada com a opção de substituição de regras predefinida, os dispositivos Android dos utilizadores visados podem não ficar desbloqueados, mesmo depois de os dispositivos estarem inscritos no Intune e estarem em conformidade. Para resolver este problema, defina a regra de acesso predefinida do Exchange como Quarentena. O dispositivo não consegue aceder ao Exchange por predefinição e o administrador pode obter um relatório do servidor do Exchange na lista dos dispositivos que estão a ser colocados em quarentena.

    Se não tiver configurado uma conta de e-mail de notificação quando configurar o Exchange Connector, será apresentado um aviso nesta página e o botão Seguinte é desativado. Para poder continuar, tem primeiro de configurar as definições de e-mail de notificação no Exchange Connector e, em seguida, voltar ao Assistente para Configurar Política de Acesso Condicional para concluir o processo.

    HybridCondAccessWiz1

    Clique em Seguinte.

  5. Na página Coleções Direcionadas, adicione uma ou mais coleções de utilizadores. Para poder aceder ao Exchange, os utilizadores nestas coleções têm de inscrever os seus dispositivos no Intune e estar em conformidade com todas as políticas de conformidade implementadas.

    HybridCondAccessWiz2

    Clique em Seguinte.

  6. Na página Coleções Isentas, adicione as coleções de utilizadores que pretende isentar da política de acesso condicional. Os utilizadores nestes grupos não têm de inscrever os seus dispositivos no Intune e não precisam de estar em conformidade com qualquer política de conformidade implementada para poderem aceder ao Exchange.

    HybridCondAccessWiz3

    Se um utilizador aparecer em ambos os grupos, estará excluído da política de acesso condicional.

    Clique em Seguinte.

  7. Na página Editar Notificação do Utilizador, configure o e-mail que o Intune envia aos utilizadores com instruções sobre como desbloquear o dispositivo (para além do e-mail que o Exchange envia).

    Pode editar a mensagem predefinida e utilizar tags de HTML para formatar a apresentação do texto. Também pode enviar uma mensagem de e-mail antecipadamente aos seus funcionários para notificá-los sobre alterações futuras e fornecer-lhes instruções sobre como inscrever os respetivos dispositivos.

    HybridCondAccessWiz4

    System_CAPS_ICON_note.jpg Nota


    Como o e-mail de notificação do Intune com as instruções de correção é enviado para a caixa de correio do Exchange do utilizador, no caso de o dispositivo do utilizador ficar bloqueado antes de receber a mensagem de e-mail, este pode utilizar um dispositivo desbloqueado ou outro método para aceder ao Exchange e ver a mensagem.

    System_CAPS_ICON_note.jpg Nota


    Para o Exchange poder enviar o e-mail de notificação, tem de configurar a conta que será utilizada para enviá-lo. Pode efetuar esta ação quando configurar as propriedades do conector do Exchange Server.

    Para obter detalhes, veja Gerir dispositivos móveis com o System Center Configuration Manager e o Exchange.

    Clique em Seguinte.

  8. Na página Resumo, verifique as definições e, em seguida, feche o assistente.

  • Não tem de implementar a política de acesso condicional, pois esta entra em vigor imediatamente.

  • Depois de um utilizador configurar um perfil do Exchange ActiveSync, pode demorar de 1 a 3 horas até o dispositivo ser bloqueado (se não for gerido pelo Intune).

  • Se um utilizador bloqueado inscrever, posteriormente, o dispositivo no Intune (ou corrigir a não conformidade), o acesso ao e-mail será desbloqueado em dois minutos.

  • Se o utilizador anular a inscrição no Intune, pode demorar de 1 a 3 horas até o dispositivo ser bloqueado.

Gerir o acesso a serviços no System Center Configuration Manager

Mostrar: