在 System Center Configuration Manager 中管理 SharePoint Online 存取

 

適用於: System Center Configuration Manager (current branch)

您可以使用 System Center Configuration ManagerSharePoint Online 條件式存取原則,根據指定的條件,來管理位於 SharePoint Online 之商務用 OneDrive 檔案的存取權。

System_CAPS_ICON_important.jpg 重要


透過使用新式驗證的 App 對電腦和 Windows 10 行動裝置版裝置進行條件式存取,目前並未提供給所有 Intune 客戶使用。 如果您已經在使用這些功能,就不需要採取任何動作。 您可以繼續使用它們。

如果您尚未針對使用新式驗證的 App 建立適用於電腦或 Windows 10 行動裝置版的條件式存取原則,您就需要提交要求以進行存取。 您可以在 Connect 網站上找到已知問題及如何存取此功能的詳細資訊。

當目標使用者使用其裝置上支援的應用程式,例如 OneDrive,嘗試連接到檔案時,就會出現下列評估:

ConditionalAccess8-6

若要連接到所需檔案,執行 OneDrive 的裝置必須:

  • 已向 Microsoft Intune 註冊或是已加入網域的電腦。

  • 在 Azure Active Directory 中登錄裝置 (這會在向 Intune註冊裝置時自動發生)。

    已加入網域的電腦必須設定為以 Azure Active Directory 自動登錄

  • 符合所有已部署的 Configuration Manager 相容性原則

裝置狀態儲存在 Azure Active Directory,它會根據您指定的條件,授與或封鎖檔案的存取權。

如不符合條件,使用者會在登入時看見下列訊息之一:

  • 如果未向 Intune註冊裝置,或未在 Azure Active Directory 中登錄裝置,即會顯示一則訊息,指示如何安裝及註冊公司入口網站應用程式。

  • 如果裝置不相容,即會顯示一則訊息,將使用者引導至 Intune Web 入口網站,讓他們能夠在該處找到問題的相關資訊,以及如何修復問題的方法。

  • 對於行動裝置:

    您可以在使用 iOSAndroid 裝置的瀏覽器時,限制存取 SharePoint Online。 如此,即只能從下列相容裝置的支援瀏覽器上進行存取︰

  • Safari (iOS)

  • Chrome (Android)

  • 受管理的瀏覽器 (iOS 和 Android)

    不支援的瀏覽器將會受到封鎖。

  • 針對電腦:

    System_CAPS_ICON_important.jpg 重要


    目前並未針對所有的 Intune 客戶提供電腦的條件式存取。 如果您已經在使用電腦的條件式存取,就不需要採取任何動作。 您可以繼續使用此功能。
    如果您尚未針對電腦建立條件式存取原則,您就需要提交要求以進行存取。 您可以在 Connect 網站上找到已知問題及如何存取此功能的詳細資訊。

    • 如果原則設定需要加入網域,而電腦未加入網域,就會顯示連絡 IT 管理員的訊息。

    • 如果原則設為需要加入或與網域相容,但電腦不符合任一要求,即會顯示訊息指示如何安裝及註冊公司入口網站應用程式。

您可以從下列應用程式封鎖 SharePoint Online 存取權:

  • Microsoft Office Mobile (Android)

  • Microsoft OneDrive (Android 和 iOS)

  • Microsoft Word (Android 和 iOS)

  • Microsoft Excel (Android 和 iOS)

  • Microsoft PowerPoint (Android 和 iOS)

  • Microsoft OneNote (Android 和 iOS)

步驟 1:設定 Active Directory 安全性群組

在開始之前,請先為條件式存取原則設定 Azure Active Directory 安全性群組。 您可以在 Office 365 系統管理中心Intune 帳戶入口網站中設定這些群組。 這些群組包含將成為原則目標的使用者,或是免套用此原則的使用者。 當使用者成為原則的目標時,他們使用的每個裝置都必須相容,才能存取資源。

您可以在 SharePoint Online 原則中指定兩種群組類型:

  • 目標群組 – 包含套用原則的使用者群組

  • 豁免群組 – 包含豁免原則的使用者群組 (選擇性)

如果使用者隸屬於這兩個群組,他們將免套用原則。

步驟 2:建立及部署相容性原則

請確定所有裝置都建立並部署了以 SharePoint Online 原則為目標的合規性原則。

System_CAPS_ICON_note.jpg 注意


雖然 Intune 群組或 Configuration Manager 集合部署了相容性原則,但 Azure Active Directory 安全性群組的目標是條件式存取原則。

如需如何設定相容性原則的詳細資訊,請參閱 Configuration Manager 中的相容性原則

System_CAPS_ICON_important.jpg 重要


若未部署合規性原則,卻啟用了 SharePoint Online 原則,則允許所有目標裝置存取。

當您準備好時,請繼續執行 步驟 3

步驟 3:設定 SharePoint Online 原則

接著,設定原則要求只有受管理和相容的裝置才可以存取 SharePoint Online。 這項原則會儲存在 Azure Active Directory。

  1. 在 Configuration Manager 主控台中,按一下 [資產與相容性] 。

  2. 選取 [啟用 SharePoint Online 的條件式存取原則] 。

    IntuneSASharePointOnlineCAPolicy

  3. 在適用於 Outlook 和使用新式驗證之應用程式的 [應用程式存取] 下方,您可以選擇僅限與各平台相容的裝置才有存取權。

    System_CAPS_ICON_tip.jpg 提示


    新式驗證 將 Active Directory 驗證程式庫 (ADAL) 登入整合到 Office 用戶端中。

    • ADAL 型驗證可讓 Office 用戶端進行以瀏覽器為基礎的驗證 (又稱為被動驗證)。 系統會將使用者導向登入網頁,以便進行驗證。
    • 這個新的登入方法可根據 [裝置相容性] 以及是否執行 [Multi-Factor Authentication] ,來啟用條件式存取等新案例。

    這篇 文章 包含新式驗證運作方式的更詳細資訊。

    Windows 電腦必須已加入網域,或向 Intune 註冊並與其相容。 您可以設定下列要求:

    • 裝置必須已加入或與網域相容。 這表示電腦必須已加入網域或與 Intune。 如果電腦不符合上述任一條件,即會提示使用者向 Intune註冊裝置。

    • 裝置必須已加入網域。 這表示電腦必須已加入網域才能存取 Exchange Online。 如果電腦未加入網域,則會封鎖存取電子郵件並提示使用者連絡 IT 管理員。

    • 裝置必須相容。 這表示電腦必須在 Intune 註冊並與其相容。 如果電腦未註冊,則會顯示註冊指示訊息。

  4. 在 SharePoint Online 和商務用 OneDrive 的 [瀏覽器存取] 下方,您可以選擇只允許透過下列支援的瀏覽器存取 Exchange Online︰Safari (iOS) 和 Chrome (Android)。 來自其他瀏覽器的存取將會受到封鎖。 您針對 OneDrive [應用程式存取] 所選取的相同平台限制也適用於此處。

    Android 裝置上,使用者必須啟用瀏覽器存取。 若要完成這項動作,使用者必須啟用已註冊裝置上的 [啟用瀏覽器存取] 選項,如下所示︰

    1. 啟動公司入口網站應用程式
    2. 透過三個點 (...) 或硬體功能表按鈕,移至 [設定] 頁面。
    3. 按下 [啟用瀏覽器存取] 按鈕。
    4. 在 Chrome 瀏覽器中,登出 Office 365 並重新啟動 Chrome。

    iOS 和 Android 平台上,Azure Active Directory 會將傳輸層安全性 (TLS) 憑證發行給裝置,以識別用來存取服務的裝置。 裝置會顯示憑證,並包含要使用者選取憑證的提示,如以下螢幕擷取畫面所示。 使用者必須選取此憑證,才能繼續使用瀏覽器。

    iOS

    iPad 上憑證提示的螢幕擷取畫面

    Android

    Android 裝置上憑證提示的螢幕擷取畫面

  5. 在 [常用] 索引標籤的 [連結] 群組中,按一下 [在 Intune 主控台中設定條件存取原則] 。 您可能需要提供用來連線 Configuration Manager 與 Intune的帳戶使用者名稱和密碼。

    Intune 管理主控台隨即開啟。

  6. Microsoft Intune 管理主控台中,按一下 [原則] > [條件式存取] > [SharePoint Online 原則]

  7. 選取 [如果裝置不相容便封鎖應用程式存取 SharePoint Online] 。

  8. 按一下 [目標群組] 下方的 [修改] ,選取要套用原則的 Azure Active Directory 安全性群組。

  9. 按一下 [豁免群組] 下方的 [修改] ,選取豁免此原則的 Azure Active Directory 安全性群組。

  10. 完成之後,請按一下 [儲存] 。

您不需部署條件式存取原則,它會立即生效。

如需如何從 Intune 主控台監視原則的資訊,請參閱以 Microsoft Intune 管理 SharePoint Online 存取

管理 System Center Configuration Manager 中的服務存取權

顯示: