管理 System Center Configuration Manager 所管理之電腦對 O365 服務的存取

 
本文章包含 System Center Configuration Manager (最新分支) 的版本 1602 引入之新功能相關資訊。 若要使用新功能,您必須安裝 1602 更新。 如果您尚未更新到最新版本的 Configuration Manager,您可以從 TechNet 組件庫下載您所使用之版本的文件

從 Configuration Manager 的 1602 版開始,您可以針對 System Center Configuration Manager 管理的電腦設定條件式存取。

System_CAPS_ICON_important.jpg 重要


這是發行前版本功能。 發行前版本功能會包含在產品內,以便在生產環境中進行早期測試,但不應視為生產環境就緒。

如果您正在尋找如何針對 Intune 所註冊和管理的裝置,或者已加入網域但未評估其相容性的電腦,對其設定條件式存取的資訊,請參閱管理 System Center Configuration Manager 中的服務存取權

System_CAPS_ICON_important.jpg 重要


透過使用新式驗證的 App 對電腦和 Windows 10 行動裝置版裝置進行條件式存取,目前並未提供給所有 Intune 客戶使用。 如果您已經在 Intune 中使用這些功能,就不需要採取任何動作。 您可以繼續使用它們。

這不適用於對 Exchange 內部部署進行條件式存取的電腦或 Windows 10 行動裝置版裝置。

如果您尚未針對使用新式驗證的 App 建立適用於電腦或 Windows 10 行動裝置版的條件式存取原則,您就需要提交要求以進行存取。 您可以在 Connect 站台上找到已知問題及如何存取此功能的詳細資訊。

  • Exchange Online

  • SharePoint Online

  • Windows 7

  • Windows 8.1

  • 尚未完全支援 Windows 10。 如果您嘗試設定 Windows 10 電腦的條件式存取,您可能會遇到一些問題。 如需詳細資訊,請參閱已知問題

若要設定條件式存取,您必須先建立相容性原則,並設定條件式存取原則。 當您設定電腦的條件式存取原則時,可以要求電腦必須符合相容性原則,才能存取 Exchange Online 和 SharePoint Online 服務。

先決條件

  • ADFS 同步處理以及 O365 訂閱。 O365 訂閱可用於設定 Exchange Online 和 SharePoint Online。

  • Microsoft Intune 訂閱。 應該在 Configuration Manager 主控台中設定 Microsoft Intune 訂閱。 這仍會要求您處於混合式部署中。

電腦必須符合下列需求:

  • 自動向 Azure Active Directory 註冊裝置的必要條件

    您可以透過相容性原則向 Azure AD 電腦註冊。

    • 對於 Windows 8.1 和 Windows 10 電腦,您可以使用 Active Directory 群組原則,將裝置設定為自動向 Azure AD 註冊。

    • o 針對 Windows 7 電腦,您必須透過 System Center Configuration Manager 裝置,將裝置註冊軟體套件部署到 Windows 7 電腦。 自動向 Azure Active Directory 註冊加入網域的 Windows 裝置主題會提供更多詳細資料。

  • 必須使用已啟用新式驗證的 Office 2013 或 Office 2016。

如下所述的步驟適用於 Exchange Online 和 SharePoint Online

步驟 1: 設定相容性原則

在 Configuration Manager 主控台中,使用下列規則建立相容性原則︰

  • 需要 Azure Active Directory 內的註冊:這個規則會檢查使用者的裝置是否為已加入 Azure AD 的工作區,如果不是,則會在 Azure AD 中自動註冊裝置。 在 Windows 8.1 上才支援自動註冊。 在 Windows 7 電腦上,部署 MSI 以執行自動註冊。 如需詳細資訊,請參閱自動向 Azure Active Directory 註冊裝置

  • 期限超過特定天數的所有已安裝必要更新:這個規則確認使用者的裝置在您指定的期限和寬限期內是否具有所有必要更新 (指定在 [需要自動更新] 規則中),並會自動安裝任何擱置必要更新。

  • 需要 BitLocker 磁碟機加密:這是確認裝置上的主要磁碟機 (例如 C:\) 是否為 BitLocker 加密。 如果未在主要裝置上啟用 BitLocker 加密,則會封鎖存取電子郵件和 SharePoint 服務。

  • 需要反惡意程式碼:這是確認已啟用並執行反惡意程式碼軟體 (僅限 System Center Endpoint Protection 或 Windows Defender)。 如果未啟用,則會封鎖存取電子郵件和 SharePoint 服務。

步驟 2: 評估條件式存取的效果

執行條件式存取相容性報告。 您可以在 [報告] > [相容性和設定管理] 下方的 [監視] 區段中找到此報告。 這會顯示所有裝置的相容性狀態。 報告為不相容的裝置將遭到封鎖而無法存取 Exchange Online 和 SharePoint Online。

CA_相容性_報告

設定 Active Directory 安全性群組

您可以根據原則類型,將條件式存取原則的目標設為使用者群組。 這些群組包含將成為原則目標的使用者,或是免套用此原則的使用者。 當使用者成為原則的目標時,他們使用的每個裝置都必須相容,才能存取服務。

Active Directory 安全性使用者群組。 這些使用者群組應該同步處理至 Azure Active Directory。 您也可以在 Office 365 系統管理中心或 Intune 帳戶入口網站中設定這些群組。

您可以在每個原則中指定兩種群組類型:

  • 目標群組 - 套用原則的使用者群組

  • 免套用的群組 - 免於套用原則的使用者群組 (選擇性)
    如果使用者隸屬於這兩個群組,他們將免套用原則。

    系統只會評估條件式存取原則設定為目標的群組。

步驟 3: 建立 Exchange Online 和 SharePoint Online 的條件式存取原則

  1. 在 Configuration Manager 主控台中,按一下 [資產與相容性] 。

  2. 若要建立 Exchange Online 原則,請選取 [啟用 Exchange Online 的條件式存取原則]

    若要建立 SharePoint Online 原則,請選取 [啟用 Exchange Online 的條件式存取原則]

  3. 在 [常用] 索引標籤的 [連結] 群組中,按一下 [在 Intune 主控台中設定條件存取原則] 。 您可能需要提供用來連線 Configuration Manager 與 Intune 的帳戶使用者名稱和密碼。

    Intune 管理主控台隨即開啟。

  4. 針對 Exchange Online,在 Microsoft Intune 管理主控台中,按一下 [原則] > [條件式存取] > [Exchange Online 原則]

    針對 SharePoint Online,在 Microsoft Intune 管理主控台中,按一下 [原則] > [條件式存取] > [SharePoint Online 原則]

  5. 將 Windows 電腦需求設定為 [裝置必須符合規定] 選項。

  6. 按一下 [目標群組] 下方的 [修改] ,選取要套用原則的 Azure Active Directory 安全性群組。

    System_CAPS_ICON_note.jpg 注意


    要套用條件式存取原則的使用者群組也應具有套用到它們的相容性原則。

    按一下 [豁免群組] 下方的 [修改] ,選取豁免此原則的 Azure Active Directory 安全性群組。

  7. 按一下 [儲存] 來建立並儲存原則

因不相容而遭到封鎖的使用者將可在 System Center Configuration Manager 軟體中心檢視相容性資訊,並且在補救相容性問題時將起始新的原則評估。

使用此功能時,您可能會看到下列問題︰

  • 在這個 1602 更新中,不會強制執行 5 天的相容性。 即使使用者裝置上的相容性檢查是在 5 天前發生,使用者仍然可以線上存取 Office 365 和 SharePoint。

  • 當裝置不符合相容性原則時,不會自動顯示原因。 使用者必須移至新的軟體中心來尋找不相容的原因。 原因會顯示於軟體中心的 [裝置相容性] 區段中。

  • 當 Windows 10 使用者嘗試連線到 O365 和/或 SharePoint 線上資源時,可能會看到多個存取失敗。 請注意,條件式存取並未完全支援 Windows 10。

System_CAPS_ICON_important.jpg 重要


目前並未針對所有的 Intune 客戶提供電腦的條件式存取。 如果您已經透過 Intune 使用電腦的條件式存取,就不需要採取任何動作。 您可以繼續使用此功能。
如果您尚未針對電腦建立條件式存取原則,您就需要提交要求以進行存取。 您可以在 Connect 站台上找到已知問題及如何存取此功能的詳細資訊。

Protect data and site infrastructure with System Center Configuration Manager (使用 System Center Configuration Manager 保護資料和站台基礎結構)

顯示: