Configuration Manager 的 SharePoint Online 條件式存取

 

適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1

System_CAPS_note注意事項

本主題資訊僅適用於 System Center 2012 Configuration Manager SP1 或更新版本,以及 System Center 2012 R2 Configuration Manager 或更新版本。

使用 Configuration ManagerSharePoint Online 條件式存取原則,根據您指定的條件來管理位於 SharePoint Online 之商務用 OneDrive 檔案的存取權。

當目標使用者使用其裝置上支援的應用程式,例如 OneDrive,嘗試連接到檔案時,就會出現下列評估:

Conditional Access for SharePoint

若要連接到所需檔案,執行 OneDrive 的裝置必須:

  • 已使用 Microsoft Intune 註冊或是已加入網域的電腦。

  • 在 Azure Active Directory 中登錄裝置 (當裝置向 Intune 註冊時即會自動發生)。

    已加入網域的電腦必須設定為以 Azure Active Directory 自動登錄

  • 符合所有已部署的 Configuration Manager 相容性原則

裝置狀態儲存在 Azure Active Directory,它會根據您指定的條件,授與或封鎖檔案的存取權。

如不符合條件,使用者會在登入時看見下列訊息之一:

  • 如果裝置未以 Intune 註冊,或未在 Azure Active Directory 中登錄,就會顯示訊息,指示如何安裝及註冊公司入口網站應用程式。

  • 如果裝置不相容,即會顯示一則訊息,將使用者引導至 Intune Web 入口網站,讓他們能夠在該處找到問題的相關資訊,以及如何修復問題的方法。

  • 如為電腦:

    • 如果原則設為需要加入網域,而電腦未加入網域,即會顯示連絡 IT 管理員的訊息。

    • 如果原則設為需要加入或與網域相容,但電腦不符合任一要求,即會顯示訊息指示如何安裝及註冊公司入口網站應用程式。

您可以從下列應用程式封鎖 SharePoint Online 存取權:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android 和 iOS)

  • Microsoft Word (Android 和 iOS)

  • Microsoft Excel (Android 和 iOS)

  • Microsoft PowerPoint (Android 和 iOS)

  • Microsoft OneNote (Android 和 iOS)

在開始之前,請先為條件式存取原則設定 Azure Active Directory 安全性群組。 您可以在 Office 365 系統管理中心Intune 帳戶入口網站中設定這些群組。 這些群組包含將成為原則目標的使用者,或是免套用此原則的使用者。 當使用者成為原則的目標時,他們使用的每個裝置都必須相容,才能存取資源。

您可以在 SharePoint Online 原則中指定兩種群組類型:

  • 目標群組 – 包含套用原則的使用者群組

  • 豁免群組 – 包含豁免原則的使用者群組 (選擇性)

如果使用者隸屬於這兩個群組,他們將免套用原則。

請確定所有裝置都建立並部署了以 SharePoint Online 原則為目標的合規性原則。

System_CAPS_note注意事項

雖然 Intune 群組或 Configuration Manager 集合部署了相容性原則,但 Azure Active Directory 安全性群組的目標是條件式存取原則。

如需如何設定相容性原則的詳細資訊,請參閱 Configuration Manager 中的相容性原則

System_CAPS_important重要事項

若未部署合規性原則,卻啟用了 SharePoint Online 原則,則允許所有目標裝置存取。

當您準備好時,請繼續執行步驟 3

接著,設定原則要求只有受管理和相容的裝置才可以存取 SharePoint Online。 這項原則會儲存在 Azure Active Directory。


  1. 在 Configuration Manager 主控台中,按一下 [資產與相容性]。

  2. 選取 [啟用 SharePoint Online 的條件式存取原則]。

  3. 在 [使用新式驗證的應用程式] 下,您可以選擇僅限與各平台相容的裝置才有存取權。

    System_CAPS_tip提示

    [新式驗證] 將 Active Directory 驗證程式庫 (ADAL) 登入整合到 Office 用戶端中。

    • ADAL 型驗證可讓 Office 用戶端進行以瀏覽器為基礎的驗證 (又稱為被動驗證)。 系統會將使用者導向登入網頁,以便進行驗證。

    • 這個新的登入方法可根據 [裝置相容性] 以及是否執行 [Multi-Factor Authentication],來啟用條件式存取等新案例。

    這篇文章包含新式驗證運作方式的詳細資訊。

    Windows 電腦則必須加入網域,或使用 Intune 註冊並與其相容。 您可以設定下列要求:

    • 裝置必須已加入或與網域相容。這表示電腦必須已加入網域或符合 Intune 中設定的原則。 如果電腦不符合上述任一條件,即會提示使用者以 Intune 註冊裝置。

    • 裝置必須已加入網域。這表示電腦必須已加入網域才能存取 Exchange Online。 如果電腦未加入網域,則會封鎖存取電子郵件並提示使用者連絡 IT 管理員。

    • 裝置必須相容。這表示電腦必須在 Intune 註冊並與其相容。 如果電腦未註冊,則會顯示註冊指示訊息。

  4. 在 [常用] 索引標籤的 [連結] 群組中,按一下 [在 Intune 主控台中設定條件存取原則]。 您可能需要提供用來連線 Configuration Manager 與 Intune 的帳戶使用者名稱和密碼。

    Intune 管理主控台隨即開啟。

  5. Microsoft Intune 管理主控台中,按一下 [原則] > [條件式存取] > [SharePoint Online 原則]。

  6. 選取 [如果裝置不相容便封鎖應用程式存取 SharePoint Online]。

  7. 按一下 [目標群組] 下方的 [修改],選取要套用原則的 Azure Active Directory 安全性群組。

  8. 按一下 [豁免群組] 下方的 [修改],選取豁免此原則的 Azure Active Directory 安全性群組。

  9. 完成之後,請按一下 [儲存]。

您不需部署條件式存取原則,它會立即生效。

如需如何從 Intune 主控台監視原則的相關資訊,請參閱以 Microsoft Intune 管理 SharePoint Online 存取

顯示: