Configuration Manager 的 SharePoint Online 條件式存取
適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note") 注意事項 |
|---|
本主題資訊僅適用於 System Center 2012 Configuration Manager SP1 或更新版本,以及 System Center 2012 R2 Configuration Manager 或更新版本。 |
使用 Configuration ManagerSharePoint Online 條件式存取原則,根據您指定的條件來管理位於 SharePoint Online 之商務用 OneDrive 檔案的存取權。
當目標使用者使用其裝置上支援的應用程式,例如 OneDrive,嘗試連接到檔案時,就會出現下列評估:
.jpeg "Conditional Access for SharePoint")
若要連接到所需檔案,執行 OneDrive 的裝置必須:
已使用 Microsoft Intune 註冊或是已加入網域的電腦。
在 Azure Active Directory 中登錄裝置 (當裝置向 Intune 註冊時即會自動發生)。
已加入網域的電腦必須設定為以 Azure Active Directory 自動登錄。
符合所有已部署的 Configuration Manager 相容性原則
裝置狀態儲存在 Azure Active Directory,它會根據您指定的條件,授與或封鎖檔案的存取權。
如不符合條件,使用者會在登入時看見下列訊息之一:
如果裝置未以 Intune 註冊,或未在 Azure Active Directory 中登錄,就會顯示訊息,指示如何安裝及註冊公司入口網站應用程式。
如果裝置不相容,即會顯示一則訊息,將使用者引導至 Intune Web 入口網站,讓他們能夠在該處找到問題的相關資訊,以及如何修復問題的方法。
如為電腦:
如果原則設為需要加入網域,而電腦未加入網域,即會顯示連絡 IT 管理員的訊息。
如果原則設為需要加入或與網域相容,但電腦不符合任一要求,即會顯示訊息指示如何安裝及註冊公司入口網站應用程式。
您可以從下列應用程式封鎖 SharePoint Online 存取權:
Microsoft Office Mobile (Android)
Microsoft OneDrive (Android 和 iOS)
Microsoft Word (Android 和 iOS)
Microsoft Excel (Android 和 iOS)
Microsoft PowerPoint (Android 和 iOS)
Microsoft OneNote (Android 和 iOS)
SharePoint Online 條件式存取的設定步驟
步驟 1:設定 Active Directory 安全性群組
在開始之前,請先為條件式存取原則設定 Azure Active Directory 安全性群組。 您可以在 Office 365 系統管理中心或 Intune 帳戶入口網站中設定這些群組。 這些群組包含將成為原則目標的使用者,或是免套用此原則的使用者。 當使用者成為原則的目標時,他們使用的每個裝置都必須相容,才能存取資源。
您可以在 SharePoint Online 原則中指定兩種群組類型:
目標群組 – 包含套用原則的使用者群組
豁免群組 – 包含豁免原則的使用者群組 (選擇性)
如果使用者隸屬於這兩個群組,他們將免套用原則。
步驟 2:設定並部署法務遵循政策
請確定所有裝置都建立並部署了以 SharePoint Online 原則為目標的合規性原則。
| 注意事項 |
|---|
雖然 Intune 群組或 Configuration Manager 集合部署了相容性原則,但 Azure Active Directory 安全性群組的目標是條件式存取原則。 |
如需如何設定相容性原則的詳細資訊,請參閱 Configuration Manager 中的相容性原則。
.jpeg "System_CAPS_important") 重要事項 |
|---|
若未部署合規性原則,卻啟用了 SharePoint Online 原則,則允許所有目標裝置存取。 |
當您準備好時,請繼續執行步驟 3。
步驟 3:設定 SharePoint Online 原則
接著,設定原則要求只有受管理和相容的裝置才可以存取 SharePoint Online。 這項原則會儲存在 Azure Active Directory。
-
在 Configuration Manager 主控台中,按一下 [資產與相容性]。
-
選取 [啟用 SharePoint Online 的條件式存取原則]。
-
在 [使用新式驗證的應用程式] 下,您可以選擇僅限與各平台相容的裝置才有存取權。
.jpeg "System_CAPS_tip")
提示[新式驗證] 將 Active Directory 驗證程式庫 (ADAL) 登入整合到 Office 用戶端中。
ADAL 型驗證可讓 Office 用戶端進行以瀏覽器為基礎的驗證 (又稱為被動驗證)。 系統會將使用者導向登入網頁,以便進行驗證。
這個新的登入方法可根據 [裝置相容性] 以及是否執行 [Multi-Factor Authentication],來啟用條件式存取等新案例。
這篇文章包含新式驗證運作方式的詳細資訊。
Windows 電腦則必須加入網域,或使用 Intune 註冊並與其相容。 您可以設定下列要求:
- **裝置必須已加入或與網域相容。**這表示電腦必須已加入網域或符合 Intune 中設定的原則。 如果電腦不符合上述任一條件,即會提示使用者以 Intune 註冊裝置。 - **裝置必須已加入網域。**這表示電腦必須已加入網域才能存取 Exchange Online。 如果電腦未加入網域,則會封鎖存取電子郵件並提示使用者連絡 IT 管理員。 - **裝置必須相容。**這表示電腦必須在 Intune 註冊並與其相容。 如果電腦未註冊,則會顯示註冊指示訊息。 -
在 [常用] 索引標籤的 [連結] 群組中,按一下 [在 Intune 主控台中設定條件存取原則]。 您可能需要提供用來連線 Configuration Manager 與 Intune 的帳戶使用者名稱和密碼。
Intune 管理主控台隨即開啟。
-
在 Microsoft Intune 管理主控台中,按一下 [原則] > [條件式存取] > [SharePoint Online 原則]。
-
選取 [如果裝置不相容便封鎖應用程式存取 SharePoint Online]。
-
按一下 [目標群組] 下方的 [修改],選取要套用原則的 Azure Active Directory 安全性群組。
-
按一下 [豁免群組] 下方的 [修改],選取豁免此原則的 Azure Active Directory 安全性群組。
-
完成之後,請按一下 [儲存]。
您不需部署條件式存取原則,它會立即生效。
如需如何從 Intune 主控台監視原則的相關資訊,請參閱以 Microsoft Intune 管理 SharePoint Online 存取。