Gerir o acesso ao SharePoint Online no System Center Configuration Manager

 

Aplica-se A: System Center Configuration Manager (current branch)

Utilize a política de acesso condicional do SharePoint Online do O System Center Configuration Manager para gerir o acesso aos ficheiros do OneDrive para Empresas localizados no SharePoint Online, com base nas condições que especificar.

System_CAPS_ICON_important.jpg Importante


O acesso condicional para PC e dispositivos Windows 10 Mobile com aplicações que utilizam a autenticação moderna não está de momento disponível para todos os clientes do Intune. Se já estiver a utilizar estas funcionalidades, não é necessário efetuar qualquer ação. Pode continuar a utilizá-los.

Se não tiver criado políticas de acesso condicional para PC ou Windows 10 Mobile para aplicações que utilizam autenticação moderna, terá de enviar um pedido de acesso. Pode encontrar mais informações sobre problemas conhecidos, bem como obter acesso a esta funcionalidade no site de ligação.

Quando um utilizador direcionado se tentar ligar a um ficheiro através de uma aplicação suportada, como o OneDrive, no respetivo dispositivo, ocorre a seguinte avaliação:

ConditionalAccess8-6

Para ligar aos ficheiros necessários, o dispositivo com o OneDrive tem de:

  • Estar inscrito no Microsoft Intune ou num PC associado a um domínio.

  • Registar o dispositivo no Azure Active Directory (isto ocorre automaticamente quando o dispositivo é inscrito no Intune.

    Para PCs associados a um domínio, tem de configurá-los para serem registados automaticamente no Azure Active Directory.

  • Ser compatível com todas as políticas de conformidade do Gestor de configuração implementadas

O estado do dispositivo é armazenado no Azure Active Directory, o qual concede ou bloqueia o acesso aos ficheiros, com base nas condições que especificar.

Se não for cumprida uma condição, é apresentada ao utilizador uma das duas mensagens seguintes quando iniciar sessão:

  • Se o dispositivo não estiver inscrito no Intune ou registado no Azure Active Directory, será apresentada uma mensagem com instruções sobre como instalar a aplicação portal da empresa e inscrevê-la.

  • Se o dispositivo não for conforme, será apresentada uma mensagem que direciona o utilizador para o portal Web do Intune, onde é possível localizar informações sobre o problema e sobre como resolvê-lo.

  • Para dispositivos móveis:

    Pode restringir o acesso ao SharePoint Online quando o acesso é feito a partir de um browser de dispositivos iOS e Android. O acesso só será permitido a partir de browsers suportados em dispositivos conformes:

  • Safari (iOS)

  • Chrome (Android)

  • Managed Browser (iOS e Android)

    Os browsers não suportados serão bloqueados.

  • Num PC:

    System_CAPS_ICON_important.jpg Importante


    De momento, o acesso condicional para PC não está disponível para todos os clientes do Intune. Se já estiver a utilizar acesso condicional para PC, não é necessário efetuar qualquer ação. Pode continuar a utilizá-lo.
    Se não tiver criado políticas de acesso condicional para PC, terá de enviar um pedido de acesso. Pode encontrar mais informações sobre problemas conhecidos, bem como obter acesso a esta funcionalidade no site de ligação.

    • Se a política estiver definida para exigir a associação a um domínio e o PC não estiver associado a qualquer domínio, será apresentada uma mensagem para contactar o administrador de TI.

    • Se a política estiver definida para exigir a associação a um domínio ou estar em conformidade, o PC não cumpre nenhum dos requisitos e será apresentada uma mensagem com instruções sobre como instalar o portal da empresa e inscrevê-lo.

Pode bloquear o acesso ao SharePoint Online a partir das seguintes aplicações:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android e iOS)

  • Microsoft Word (Android e iOS)

  • Microsoft Excel (Android e iOS)

  • Microsoft PowerPoint (Android e iOS)

  • Microsoft OneNote (Android e iOS)

Passo 1: configurar grupos de segurança do Active Directory

Antes de começar, configure grupos de segurança do Azure Active Directory para a política de acesso condicional. Pode configurar estes grupos no centro de administração do Office 365 ou no portal de contas do Intune. Estes grupos contêm os utilizadores que serão direcionados ou que estarão excluídos da política. Quando um utilizador é direcionado por uma política, cada dispositivo que utiliza tem de estar em conformidade para poder aceder aos recursos.

Pode especificar dois tipos de grupos numa política do SharePoint Online:

  • Grupos direcionados – Contém os grupos de utilizadores aos quais a política será aplicada

  • Grupos excluídos – Contém os grupos de utilizadores excluídos da política (opcional)

Se um utilizador estiver em ambos os grupos, estará excluído da política.

Passo 2: configurar e implementar uma política de conformidade

Certifique-se de que cria e implementa uma política de conformidade em todos os dispositivos para os quais será direcionada a política do SharePoint Online.

System_CAPS_ICON_note.jpg Nota


Enquanto as políticas de conformidade são implementadas nos grupos do Intune ou nas coleções do Gestor de configuração, as políticas de acesso condicional são direcionadas para os grupos de segurança do Azure Active Directory.

Para obter detalhes sobre como configurar a política de conformidade, veja Gerir políticas de conformidade de dispositivos no System Center Configuration Manager.

System_CAPS_ICON_important.jpg Importante


Se não tiver implementado uma política de conformidade e, em seguida, ativar uma política do SharePoint Online, todos os dispositivos direcionados terão permissão de acesso.

Quando estiver pronto, avance para o Passo 3.

Passo 3: configurar a política do SharePoint Online

Em seguida, configure a política para exigir que apenas os dispositivos geridos e conformes podem aceder ao SharePoint Online. Esta política será armazenada no Azure Active Directory.

  1. Na consola do Gestor de configuração, clique em Ativos e Compatibilidade.

  2. Selecione Ativar política de acesso condicional do SharePoint Online.

    IntuneSASharePointOnlineCAPolicy

  3. Em Acesso de aplicação, para o Outlook e aplicações que utilizam a autenticação moderna, pode optar por restringir o acesso apenas a dispositivos que estejam em conformidade em cada plataforma.

    System_CAPS_ICON_tip.jpg Dica


    A Autenticação moderna fornece um início de sessão baseado na ADAL (Active Directory Authentication Library) aos clientes do Office.

    • A autenticação baseada na ADAL permite que os clientes do Office participem na autenticação baseada no browser (também conhecido como autenticação passiva). Para autenticar, o utilizador é direcionado para uma página Web de início de sessão.
    • Este novo método de início de sessão permite novos cenários, como o acesso condicional, com base na conformidade do dispositivo e no facto de a autenticação multifator ter sido ou não executada.

    Este artigo tem informações mais detalhadas sobre como funciona a autenticação moderna.

    Para os computadores Windows, o computador tem de estar associado a um domínio ou inscrito no Intune e estar em conformidade. Pode definir os seguintes requisitos:

    • Os dispositivos têm de estar associados a um domínio ou em conformidade. Isto significa que os computadores têm de estar associados a um domínio ou em conformidade com as políticas definidas no Intune. Se o computador não cumprir nenhum destes requisitos, é pedido ao utilizador para inscrever o dispositivo no Intune.

    • Os dispositivos têm de estar associados a um domínio. Isto significa que os PCs têm de estar associados a um domínio para acederem ao Exchange Online. Se o PC não estiver associado a um domínio, o acesso ao e-mail é bloqueado e é pedido ao utilizador para contactar o administrador de TI.

    • Os dispositivos têm de estar em conformidade. Isto significa que os computadores têm de estar inscritos no Intune e em conformidade. Se o PC não estiver inscrito, será apresentada uma mensagem com instruções sobre como inscrevê-lo.

  4. Em Acesso ao browser para o SharePoint Online e o OneDrive para Empresas, pode optar por permitir o acesso ao Exchange Online apenas através dos browsers suportados: Safari (iOS) e Chrome (Android). O acesso a partir de outros browsers será bloqueado. As mesmas restrições de plataforma que selecionou para Acesso da aplicação para o OneDrive também se aplicam aqui.

    Em dispositivos Android, os utilizadores têm de ativar o acesso ao browser. Para fazê-lo, o utilizador final tem de ativar a opção "Ativar acesso ao browser" no dispositivo inscrito, da seguinte forma:

    1. Inicie a aplicação Portal da Empresa.
    2. Aceda à página Definições a partir das reticências (…) ou do botão de menu do hardware.
    3. Prima o botão Ativar acesso ao browser.
    4. No browser Chrome, termine sessão no Office 365 e reinicie o Chrome.

    Nas plataformas iOS e Android, para identificar o dispositivo que é utilizado para aceder ao serviço, o Azure Active Directory emitirá um certificado Transport Layer Security (TLS) para o dispositivo. O dispositivo apresenta o certificado com uma linha de comandos ao utilizador final para selecionar o certificado, tal como mostram as capturas de ecrã abaixo. O utilizador final tem de selecionar este certificado para poder continuar a utilizar o browser.

    iOS

    captura de ecrã da linha de comandos do certificado num ipad

    Android

    captura de ecrã da linha de comandos do certificado num dispositivo Android

  5. No separador Início, no grupo Ligações, clique em Configurar Política de Acesso Condicional na Consola do Intune. Poderá ter de fornecer o nome de utilizador e a palavra-passe da conta utilizada para ligar o Gestor de configuração ao Intune.

    A consola de administração do Intune irá abrir.

  6. Na consola de administração do Microsoft Intune, clique em Política > Acesso Condicional > Política do SharePoint Online.

  7. Selecione Bloquear aplicações para impedir acesso ao SharePoint Online se o dispositivo não for compatível.

  8. Em Grupos Direcionados, clique em Modificar para selecionar os grupos de segurança do Azure Active Directory aos quais será aplicada a política.

  9. Como opção, em Grupos Excluídos, clique em Modificar para selecionar os grupos de segurança do Azure Active Directory que estão excluídos desta política.

  10. Quando tiver terminado, clique em Guardar.

Não tem de implementar a política de acesso condicional, pois esta entra em vigor imediatamente.

Veja Gerir o acesso ao SharePoint Online com o Microsoft Intune para obter informações sobre como pode monitorizar a política a partir da consola do Intune.

Gerir o acesso a serviços no System Center Configuration Manager

Mostrar: