• 项目

Configuration Manager 中的条件性访问

 

适用对象:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

System_CAPS_note注意

本主题中的信息适用于 System Center 2012 Configuration Manager SP2 和 System Center 2012 R2 Configuration Manager SP1。

如果你使用的是 Microsoft Intune 的“条件访问扩展”,则此扩展的功能现在内附在核心产品中,且 配置管理器 控制台的“Microsoft Intune 的扩展”节点中不再显示该扩展。

但是,对于 System Center 2012 R2 Configuration Manager SP1,自 11 月 2 日起,条件访问扩展将提供以下新功能。该扩展将显示在 配置管理器 控制台的“Microsoft Intune 扩展”节点中。

  • 最低操作系统符合性规则

  • 最高操作系统符合性规则

使用 配置管理器 的“条件性访问”,根据你指定的条件帮助确保设备上通过 Microsoft Intune 注册的电子邮件和其他服务的安全。

条件性访问的典型流可能如下所示:

Advanced conditional access flow

使用条件性访问管理对以下服务的访问:

  • Microsoft Exchange 内部部署

  • Microsoft Exchange Online

  • Exchange Online Dedicated

  • SharePoint Online

你可以从以下平台上的内置电子邮件客户端控制对 Exchange Online 和 Exchange 内部部署的访问:

  • Android 4.0 及更高版本、Samsung Knox 标准版 4.0 及更高版本

  • iOS 7.1 及更高版本

  • Windows Phone 8.1 及更高版本

  • Windows 8.1 和更高版本上的邮件应用程序

你可以从所列平台的以下应用中控制对 SharePoint Online 的访问:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive(Android 和 iOS)

  • Microsoft Word (iOS)

  • Microsoft Excel (iOS)

  • Microsoft PowerPoint (iOS)

  • Microsoft OneNote (iOS)

Office 桌面应用程序可以访问 PC 上运行以下系统的 Exchange Online 和 SharePoint Online:

  • 启用了新式验证 的 Office 桌面 2013 及更高版本。

  • Windows 7.0 或 Windows 8.1

System_CAPS_note注意

PC 应已加入域或与 Intune 中设置的策略兼容。

若要实现条件性访问,你可以在配置管理器中配置两个策略类型:

  • “符合性策略”是可选策略,你可以将其部署到用户集合并对设置进行评估,例如:

    • 密码

    • 加密

    • 设备是否已越狱或取得 root 权限

    • 设备上的电子邮件由 配置管理器 还是 Intune 策略管理

    如果没有将合规性策略部署到设备,那么任何适用的条件性访问策略都会将该设备视为合规。

  • “条件性访问策略”针对特定服务而配置,并定义相应规则,如哪些 Azure Active Directory 安全用户组或 配置管理器 用户集合将被设为目标或豁免。

    可从 配置管理器 控制台配置本地 Exchange 条件性访问策略。 但是,配置 Exchange Online 或 SharePoint Online 策略时,将打开在其中配置策略的 Microsoft Intune 管理控制台。

    与其他 Intune 或 配置管理器 策略不同,无需部署条件性访问策略。 相反,你只需配置这些策略一次,它们将应用于所有目标用户。

当设备不满足你配置的条件时,将指导用户完成注册设备并修复阻止设备合规的问题的流程。

开始之前

在你开始使用条件性访问之前,请确保已经满足正确的要求:

策略类型

惠?

Exchange Online(使用共享多租户环境)

条件访问 Exchange Online 支持运行以下操作系统的设备:

  • Windows 8.1 及更高版本(注册到 Intune 时)

  • Windows 7.0 或 Windows 8.1(若已加入域)

  • Windows Phone 8.1 及更高版本

  • iOS 7.1 及更高版本

  • Android 4.0 及更高版本、Samsung Knox 标准版 4.0 及更高版本

此外:

  • 设备必须加入工作区,工作区将设备注册到 Azure Active Directory Device Registration 服务 (AAD DRS)。

    已加入域的 PC 必须通过组策略或 MSI 自动注册到 Azure Active Directory。 本主题中的“PC 的条件性访问”描述了启用 PC 的条件性访问的所有要求。

    AAD DRS 将对 Intune 和 Office 365 客户自动激活。 已经部署了 ADFS 设备注册服务的用户将不会在他们本地的 Active Directory 上看到已注册的设备。

  • 你必须使用包含 Exchange Online(例如 E3)的 Office 365 订阅,并且用户必须获得 Exchange Online 许可。

  • 可选“Exchange Server 连接器”是可选的,它将 配置管理器 连接到 Microsoft Exchange Online 并且帮助你通过 配置管理器 控制台监视设备信息(请参阅如何使用 Configuration Manager 和 Exchange 来管理移动设备)。 你不需要使用连接器来使用合规性策略或条件性访问策略,但要求你运行帮助评估条件性访问影响的报告。

Exchange Online Dedicated

Exchange Online Dedicated 的条件性访问支持运行以下操作系统的设备:

  • Windows 8 和更高版本(注册到 Intune 时)

  • Windows 7.0 或 Windows 8.1(若已加入域)

    已加入域的 PC 的条件性访问仅针对新 Exchange Online 专用环境中的租户。

  • Windows Phone 8 及更高版本

  • 使用 Exchange ActiveSync (EAS) 电子邮件客户端的任何 iOS 设备

  • Android 4 及更高版本。

  • 旧 Exchange Online Dedicated 环境中的租户:

    你必须使用“Exchange Server 连接器”,它将 配置管理器 连接到 Microsoft Exchange 内部部署。 由此你可以管理移动设备并启用条件性访问(请参阅如何使用 Configuration Manager 和 Exchange 来管理移动设备)。

  • 新 Exchange Online Dedicated 环境中的租户:

    可选“Exchange Server 连接器”将 配置管理器 连接到 Microsoft Exchange Online 并且帮助你管理设备信息(请参阅如何使用 Configuration Manager 和 Exchange 来管理移动设备)。 你不需要使用连接器来使用合规性策略或条件性访问策略,但要求你运行帮助评估条件性访问影响的报告。

Exchange 内部部署

Exchange 内部部署支持的条件性访问:

  • Windows 8 和更高版本(注册到 Intune 时)

  • Windows Phone 8 及更高版本

  • iOS 上的本机电子邮件应用

  • Android 4 或更高版本上的本机电子邮件应用

  • 不支持 Android 和 iOS 上的 Microsoft Outlook 应用。

此外:

  • 你的 Exchange 版本必须是 Exchange 2010 或更高版本。 支持 Exchange Server 客户端访问服务器 (CAS) 阵列。

    System_CAPS_tip提示

    如果你的 Exchange 环境在 CAS 服务器配置中,则必须将本地 Exchange 连接器配置为指向一个 CAS 服务器。

  • 你必须使用“Exchange Server 连接器”,它将 配置管理器 连接到 Microsoft Exchange 内部部署。 由此你可以管理移动设备并启用条件性访问(请参阅如何使用 Configuration Manager 和 Exchange 来管理移动设备)。

    • 请确保使用最新版本的内部部署 Exchange 连接器。 应通过 Configuration Manager 控制台来安装和配置本地 Exchange 连接器。 有关详细演练,请参阅如何使用 Configuration Manager 和 Exchange 来管理移动设备

    • 仅可在 System Center Configuration Manager 主站点上安装连接器。

    • 此连接器支持 Exchange CAS 环境。 在配置连接器时,必须对其进行设置,以便与一个 Exchange CAS 服务器通信。

  • 可以基于身份验证或用户凭据条目使用证书来配置 Exchange ActiveSync

SharePoint Online

条件访问至 SharePoint Online 支持运行以下操作系统的设备:

  • Windows 8.1 及更高版本(注册到 Intune 时)

  • Windows 7.0 或 Windows 8.1(若已加入域)

  • Windows Phone 8.1 及更高版本

  • iOS 7.1 及更高版本

  • Android 4.0 及更高版本、Samsung Knox 标准版 4.0 及更高版本

此外:

  • 设备必须加入工作区,工作区将设备注册到 Azure Active Directory Device Registration 服务 (AAD DRS)。

    已加入域的 PC 必须通过组策略或 MSI 自动注册到 Azure Active Directory。 本主题中的“PC 的条件性访问”描述了启用 PC 的条件性访问的所有要求。

    AAD DRS 将对 Intune 和 Office 365 客户自动激活。 已经部署了 ADFS 设备注册服务的用户将不会在他们本地的 Active Directory 上看到已注册的设备。

  • SharePoint Online 订阅是必需的,并且用户必须获得 SharePoint Online 许可。

PC 的条件性访问

你可以设置 PC 的条件性访问以访问满足以下要求的 PC 的“Exchange Online”和“SharePoint Online”,其中该 PC 运行 Office 桌面应用程序:

  • 电脑必须运行 Windows 7.0 或 Windows 8.1。

  • PC 必须已加入域或必须合规。

    为了要符合规范,PC 必须在 Intune 中进行注册且符合相应策略。

    对于加入域的电脑,必须将它设置为自动向 Azure Active Directory 注册设备

  • Office 365 新式验证必须已启用,且具有所有最新的 Office 更新。

    新式验证将基于 Active Directory 身份验证库 (ADAL) 的登录引入到 Office 2013 Windows 客户端中,并实现诸如“多重身份验证”和“基于证书的身份验证”等更佳的安全性。

  • 安装 ADFS 声明规则以阻止非新式验证协议。

后续步骤

阅读以下主题,了解如何为你要求的方案配置合规性策略和条件性访问策略: