Rozsah platnosti: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Poznámka
Informace v tomto tématu se vztahují k nástroji System Center 2012 Configuration Manager SP2 a System Center 2012 R2 Configuration Manager SP1.
Pokud používáte Rozšíření pro podmíněný přístup pro Microsoft Intune, funkce tohoto rozšíření je nyní zahrnutá v základním produktu a rozšíření se už nezobrazuje v uzlu Rozšíření pro Microsoft Intune konzoly Configuration Manager.
U nástroje System Center 2012 R2 Configuration Manager SP1 ale od 2. listopadu poskytuje Rozšíření pro podmíněný přístup následující nové funkce. Rozšíření se zobrazí v uzlu Rozšíření pro Microsoft Intune konzoly Configuration Manager.
Pravidlo minimální kompatibility OS
Pravidlo maximální kompatibility OS
Použití podmíněného přístupu v nástroji Configuration Manager k zabezpečení e-mailu a dalších služeb v zařízeních registrovaných pomocí Microsoft Intune v závislosti na zadaných podmínkách
Typický tok podmíněného přístupu může vypadat takto:
Použití podmíněného přístupu při správě přístupů k následujícím službám:
Místní Microsoft Exchange
Microsoft Exchange Online
Exchange Online Dedicated
SharePoint Online
Můžete řídit přístup k Exchangi Online a místnímu Exchangi z integrovaného e-mailového klienta v následujících platformách:
Android 4.0 nebo novější, Samsung Knox Standard 4.0 nebo novější
iOS 7.1 nebo novější
Windows Phone 8.1 nebo novější
Aplikace Mail v systému Windows 8.1 nebo novějším
Můžete řídit přístup k SharePointu Online z následujících aplikací v uvedených platformách:
Microsoft Office Mobile (Android)
Microsoft OneDrive (Android a iOS)
Microsoft Word (iOS)
Microsoft Excel (iOS)
Microsoft PowerPoint (iOS)
Microsoft OneNote (iOS)
Aplikace Office pro stolní počítače mají přístup k systému Exchange Online a SharePoint Online v počítačích, ve kterých se spustí:
Počítače by měly být připojené k doméně nebo kompatibilní se zásadami nastavenými v Intune.
Pokud chcete implementovat podmíněný přístup, nakonfigurujte v Configuration Manager dva typy zásad:
Zásady dodržování předpisů jsou nepovinné zásady, které můžete nasadit u kolekcí uživatelů a vyhodnocovat u nich třeba následující nastavení:
Heslo
Šifrování
Jestli je zařízení s jailbreakem nebo rootem
Jestli je e-mail na zařízení spravovaný zásadami nástroje Configuration Manager nebo služby Intune
Pokud na zařízení nejsou nasazené žádné zásady dodržování předpisů, pak všechny použitelné zásady podmíněného přístupu budou zařízení považovat za zařízení, které dodržuje předpisy.
Zásady podmíněného přístupu jsou nakonfigurované pro konkrétní službu a definují pravidla (třeba které skupiny uživatelů zabezpečení služby Azure Active Directory nebo kolekce uživatelů nástroje Configuration Manager budou cílem a které budou vyloučeny).
Zásady podmíněného přístupu pro místní Exchange můžete nakonfigurovat z konzoly Configuration Manager. Pokud ale konfigurujete zásady Exchange Online nebo SharePointu Online, otevře se konzola pro správu Microsoft Intune, kde pak zásadu nakonfigurujete.
Na rozdíl od jiných zásad služby Intune nebo nástroje Configuration Manager zásady podmíněného přístupu nenasazujete. Nakonfigurujete je jenom jednou a tím je nakonfigurujete pro všechny cílové uživatele.
Pokud zařízení nakonfigurované podmínky nesplňuje, může uživatel v průvodci procesem jeho zapsání opravit problém, který tomuto zařízení brání v dodržení předpisů.
Než začnete
Abyste mohli začít používat podmíněný přístup, ujistěte se, že máte nastavené správné požadavky:
Podmíněný přístup k Exchangi Online podporuje zařízení, na kterých běží:
Windows 8.1 nebo novější (při zapsání ve službě Intune)
Windows 7.0 nebo Windows 8.1 (při připojení k doméně)
Windows Phone 8.1 nebo novější
iOS 7.1 nebo novější
Android 4.0 nebo novější, Samsung Knox Standard 4.0 nebo novější
A dále:
Zařízení musí být připojená k síti na pracovišti, které je zaregistruje ve službě Azure Active Directory Device Registration Service (AAD DRS).
Počítače připojené k doméně se musí automaticky registrovat v Azure Active Directory pomocí zásad skupiny nebo MSI. Část Podmíněný přístup pro osobní počítače v tomto tématu popisuje všechny požadavky nutné k povolení podmíněného přístupu pro počítač.
Pro zákazníky Intune a Office 365 je služba AAD DRS aktivovaná automaticky. Zákazníci, kteří už mají nasazenou službu AD FS Device Registration Service, registrovaná zařízení ve svojí místní službě Active Directory neuvidí.
Je potřeba použít předplatné Office 365, které zahrnuje Exchange Online (třeba E3), a uživatelé musí mít licenci Exchange Online.
Nepovinný konektor systému Exchange Server připojí Configuration Manager k Microsoft Exchangi Online a prostřednictvím konzoly Configuration Manager vám pomůže s monitorováním informací o zařízení (viz Správa mobilních zařízení pomocí nástroje Configuration Manager a serveru Exchange). K používání zásad dodržování předpisů nebo zásad podmíněného přístupu tento konektor potřeba není, vyžaduje se ale ke spouštění sestav, které pomáhají hodnotit dopad podmíněného přístupu.
Exchange Online Dedicated
Podmíněný přístup k Exchangi Online Dedicated podporuje zařízení, na kterých běží:
Windows 8 a novější (při zaregistrování ve službě Intune)
Windows 7.0 nebo Windows 8.1 (při připojení k doméně)
Podmíněný přístup k počítačům připojeným k doméně mají jenom klienti v novém vyhrazeném prostředí Exchange Online.
Windows Phone 8 nebo novější
Jakékoli zařízení s iOS, které používá e-mailového klienta Exchange ActiveSync (EAS)
Android 4 nebo novější
Pro klienty ve starší verzi prostředí Exchange Online Dedicated:
Pro klienty v nové verzi prostředí Exchange Online Dedicated:
Nepovinný konektor systému Exchange Server připojí Configuration Manager k systému Microsoft Exchange Online a pomůže vám se správou informací o zařízení (viz Správa mobilních zařízení pomocí nástroje Configuration Manager a serveru Exchange). K používání zásad dodržování předpisů nebo zásad podmíněného přístupu tento konektor potřeba není, vyžaduje se ale ke spouštění sestav, které pomáhají hodnotit dopad podmíněného přístupu.
Místní Exchange
Podmíněný přístup k místnímu Exchangi podporuje:
Windows 8 a novější (při zaregistrování ve službě Intune)
Windows Phone 8 nebo novější
Nativní e-mailová aplikace v systému iOS
Nativní e-mailová aplikace v systému Android 4 nebo novějším
Aplikace Microsoft Outlook pro Android a iOS se nepodporuje.
A dále:
Musíte mít Exchange 2010 nebo novější. Podporuje se pole serveru pro klientský přístup (CAS) serveru Exchange.
Tip
Pokud je prostředí serveru Exchange v konfiguraci serveru CAS, musíte místní konektor Exchange nakonfigurovat tak, aby odkazoval na jeden ze serverů CAS.
Konektor musí být nainstalovaný jenom v primární lokalitě nástroje System Center Configuration Manager.
Tento konektor podporuje prostředí Exchange CAS. Při konfiguraci musíte konektor nastavit tak, aby komunikoval s jedním ze serverů Exchange CAS.
Exchange ActiveSync se dá nakonfigurovat s ověřováním na základě certifikátů nebo zadáváním přihlašovacích údajů uživateli.
SharePoint Online
Podmíněný přístup k SharePointu Online podporuje zařízení, na kterých běží:
Windows 8.1 nebo novější (při zapsání ve službě Intune)
Windows 7.0 nebo Windows 8.1 (při připojení k doméně)
Windows Phone 8.1 nebo novější
iOS 7.1 nebo novější
Android 4.0 nebo novější, Samsung Knox Standard 4.0 nebo novější
A dále:
Zařízení musí být připojená k síti na pracovišti, které je zaregistruje ve službě Azure Active Directory Device Registration Service (AAD DRS).
Počítače připojené k doméně se musí automaticky registrovat v Azure Active Directory pomocí zásad skupiny nebo MSI. Část Podmíněný přístup pro osobní počítače v tomto tématu popisuje všechny požadavky nutné k povolení podmíněného přístupu pro počítač.
Pro zákazníky Intune a Office 365 je služba AAD DRS aktivovaná automaticky. Zákazníci, kteří už mají nasazenou službu AD FS Device Registration Service, registrovaná zařízení ve svojí místní službě Active Directory neuvidí.
Je potřeba předplatné SharePointu Online a uživatelé musí mít licenci SharePointu Online.
Podmíněný přístup pro osobní počítače
Podmíněný přístup se dá nastavit pro počítače, které používají desktopové aplikace Office pro přístup k Exchangi Online a SharePointu Online a splňují následující požadavky:
V počítači musí být spuštěný systém Windows 7.0 nebo Windows 8.1.
Počítač musí být buď připojený k doméně, nebo splňovat požadavky.
Aby splňoval požadavky, že musí být zaregistrovaný v Intune a vyhovovat zásadám.
V případě počítačů připojených k doméně musíte zařízení nastavit tak, aby se zařízení automaticky zaregistrovalo do služby Azure Active Directory.
Moderní ověřování poskytuje klientům Office 2013 Windows přihlašování založené na ADAL (Active Directory Authentication Library) a umožňuje lepší zabezpečení, jako je vícefaktorové ověřování a ověřování prostřednictvím certifikátu.
Instalační ADFS nastavuje pravidla pro blokování jiných než moderních ověřovacích protokolů.
Další kroky
Přečtěte si následující témata, ve kterých se dozvíte, jak nakonfigurovat zásady dodržování předpisů a zásady podmíněného přístupu v případě vámi požadovaného scénáře:
.jpeg "Advanced conditional access flow")