Configuration Manager 中的條件存取

 

適用於: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

注意事項

本主題中的資訊適用於 System Center 2012 Configuration Manager SP2 和 System Center 2012 R2 Configuration Manager SP1。 如果使用 Microsoft Intune 的 [條件存取擴充功能]，現在會在核心產品中包含這個擴充功能的功能，而且 Configuration Manager 主控台的 [Microsoft Intune 的延伸模組] 節點中不會再顯示這個擴充功能。 然而，針對 System Center 2012 R2 Configuration Manager SP1，自 11 月 2 日起，下列的新功能會由條件式存取擴充功能提供。擴充功能會顯示在 Configuration Manager 主控台的 [Microsoft Intune 擴充功能] 節點中。 最小作業系統相容性規則 最大作業系統相容性規則

在 Configuration Manager 中使用 [條件存取]，可依據您指定的條件，保護已向 Microsoft Intune 註冊的電子郵件及其他服務。

條件式存取的標準流程大致如下：

您可以使用條件存取來管理下列服務的存取：

• Microsoft Exchange 內部部署

• Microsoft Exchange Online

• Exchange Online Dedicated

• SharePoint Online

您可以從下列平台的內建電子郵件用戶端，控制對 Exchange Online 及 Exchange 內部部署的存取：

• Android 4.0 和更新版本、Samsung Knox Standard 4.0 和更新版本

• iOS 7.1 和更新版本

• Windows Phone 8.1 和更新版本

• Windows 8.1 及更新版本上的郵件應用程式

您可以從上述平台的下列應用程式中，控制對 SharePoint Online 的存取：

• Microsoft Office Mobile (Android)

• Microsoft OneDrive (Android 和 iOS)

• Microsoft Word (iOS)

• Microsoft Excel (iOS)

• Microsoft PowerPoint (iOS)

• Microsoft OneNote (iOS)

Office 桌面應用程式可以在執行下列項目的電腦上存取 Exchange Online 和 SharePoint Online：

• 已啟用數據機驗證的 Office 桌面 2013 和更新版本。

• Windows 7.0 或 Windows 8.1

注意事項
電腦應該要和網域聯結或與 Intune 設定的原則相容。

若要實作條件式存取，可以設定在 Configuration Manager 中設定兩種原則類型：

• 相容性原則不是必要的原則，可以部署到使用者集合，以及用於評估設定，例如：

  • 密碼

  • 加密

  • 裝置為 jailbroken 或根目錄

  • 裝置上的電子郵件是否由 Configuration Manager 或 Intune 原則管理

  若未將相容性原則部署到裝置，所有適用的條件存取原則皆會將裝置視為相容。

• 條件存取原則會針對特定服務設定，並定義規則，例如哪一種 Azure Active Directory 安全性使用者群組或 Configuration Manager 使用者集合將是目標，或是豁免。

  您可設定 Configuration Manager 主控台的內部部署 Exchange 條件存取原則。 不過，當您設定 Exchange Online 或 SharePoint Online 的原則時，這會開啟您用來設定原則的 Microsoft Intune 管理主控台。

  不同於其他 Intune 或 Configuration Manager 原則，您無須部署條件存取原則。 這類原則只需要部署一次，就會套用到所有受管理的使用者。

當裝置不符合您設定的條件時，會將使用者導向註冊裝置及修正裝置不相容之問題的程序。

開始之前

在您開始使用條件存取之前，請確定您已確實地了解需求：

原則類型	需求
Exchange Online (使用共用的多租用戶環境)	Exchange Online 條件式存取支援執行下列各項的裝置： Windows 8.1 及更新版本 (已向 Intune 註冊) Windows 7.0 或 Windows 8.1 (已加入網域時) Windows Phone 8.1 和更新版本 iOS 7.1 和更新版本 Android 4.0 和更新版本、Samsung Knox Standard 4.0 和更新版本 此外： 裝置必須加入工作地點，以向 Azure Active Directory 裝置註冊服務 (AAD DRS) 註冊。 聯結網域的電腦必須透過群組原則或 MSI 自動向 Azure Active Directory 註冊。 本主題中的電腦的條件存取一節將說明為電腦啟用條件存取的所有需求。 Intune 和 Office 365 客戶將會自動啟用 AAD DRS。 已部署 ADFS 裝置註冊服務的客戶不會在其內部部署 Active Directory 中看到已註冊的裝置。 您必須使用包含 Exchange Online (例如 E3) 的 Office 365 訂閱，而且使用者必須具備 Exchange Online 授權。 選擇性 Exchange Server 連接器 是選擇性的，而且會連線 Configuration Manager Microsoft Exchange Online，並可協助您監視裝置資訊，方法是透過 Configuration Manager 主控台 (請參閱如何使用 Configuration Manager 和 Exchange 管理行動裝置)。 您無須使用連接器，就能使用相容性原則或條件存取原則，但在執行報告必須使用，以協助您評估條件存取的影響。
Exchange Online Dedicated	Exchange Online Dedicated 的條件存取支援執行下列平台的裝置： Windows 8 和更新版本 (已向 Intune 註冊) Windows 7.0 或 Windows 8.1 (已加入網域時) 對網域的條件存取只會將電腦聯結至新的 Exchange Online 專用環境中的租用戶。 Windows Phone 8 和更新版本 所有使用 Exchange ActiveSync (EAS) 電子郵件用戶端的 iOS 裝置 Android 4 及更新版本 對於使用舊版 Exchange Online Dedicated 環境的租用戶： 您必須使用 Exchange Server 連接器，將 Configuration Manager 連接到 Microsoft Exchange 內部部署。 這可讓您管理行動裝置和啟用條件式存取 (請參閱如何使用 Configuration Manager 和 Exchange 管理行動裝置)。 對於使用新 Exchange Online Dedicated 環境的租用戶： 選擇性 Exchange Server 連接器會將 Configuration Manager 連線至 Microsoft Exchange Online，並可協助您管理裝置資訊 (請參閱如何使用 Configuration Manager 和 Exchange 管理行動裝置)。 您無須使用連接器，就能使用相容性原則或條件存取原則，但在執行報告必須使用，以協助您評估條件存取的影響。
Exchange 內部部署	Exchange 內部部署的條件式存取支援： Windows 8 和更新版本 (已向 Intune 註冊) Windows Phone 8 和更新版本 iOS 上的原生電子郵件應用程式 Android 4 或更新版本上的原生電子郵件應用程式 不支援 Android 和 iOS 上的 Microsoft Outlook 應用程式。 此外： 您的 Exchange 版本必須是 Exchange 2010 或更新版本。 支援 Exchange 伺服器用戶端存取伺服器 (CAS) 陣列。 提示 如果您的 Exchange 環境位在 CAS 伺服器設定中，則您必須將內部部署 Exchange Connector 設定為指向其中一個 CAS 伺服器。 您必須使用 Exchange Server 連接器，將 Configuration Manager 連線到 Microsoft Exchange 內部部署。 這可讓您管理行動裝置和啟用條件式存取 (請參閱如何使用 Configuration Manager 和 Exchange 管理行動裝置)。 請確定您是使用最新版的內部部署 Exchange Connector。 應透過 Configuration Manager 主控台安裝並設定內部部署 Exchange Connector。 如需詳細的逐步解說，請參閱如何使用 Configuration Manager 和 Exchange 管理行動裝置。 連接器必須且只能安裝在 System Center Configuration Manager 主要站台上。 此連接器支援 Exchange CAS 環境。 設定連接器時，您必須加以設定，使該連接器可與其中一個 Exchange CAS 伺服器聯繫。 Exchange ActiveSync 可以設定成具有憑證型驗證或使用者認證項目
SharePoint Online	SharePoint Online 條件式存取支援執行下列各項的裝置： Windows 8.1 及更新版本 (已向 Intune 註冊) Windows 7.0 或 Windows 8.1 (已加入網域時) Windows Phone 8.1 和更新版本 iOS 7.1 和更新版本 Android 4.0 和更新版本、Samsung Knox Standard 4.0 和更新版本 此外： 裝置必須加入工作地點，以向 Azure Active Directory 裝置註冊服務 (AAD DRS) 註冊。 聯結網域的電腦必須透過群組原則或 MSI 自動向 Azure Active Directory 註冊。 本主題中的電腦的條件存取一節將說明為電腦啟用條件存取的所有需求。 Intune 和 Office 365 客戶將會自動啟用 AAD DRS。 已部署 ADFS 裝置註冊服務的客戶不會在其內部部署 Active Directory 中看到已註冊的裝置。 需要 SharePoint Online 訂閱，且使用者必須具備 SharePoint Online 授權。
電腦的條件存取	您可以針對執行 Office 桌面應用程式的電腦安裝條件存取，以便針對符合下列需求的電腦存取 Exchange Online 和 SharePoint Online： 電腦必須執行 Windows 7.0 或 Windows 8.1。 這部電腦必須已聯結網域或與網域相容。 為了相容，此電腦必須在 Intune 註冊，並與該原則相容。 已加入網域的電腦必須設為向 Azure Active Directory 自動註冊裝置。 必須啟用 Office 365 的數據機驗證，以及具有所有最新的 Office 更新。 新式驗證將 Active Directory 驗證程式庫 (ADAL) 登入整合到 Office 2013 Windows 用戶端中，並啟用更佳的安全性，例如多因素驗證和憑證式驗證。 設定 ADFS 宣告規則來封鎖非新式驗證通訊協定。

後續步驟

閱讀下列主題，以了解如何針對您的需要設定相容性原則及條件存取原則：

• Configuration Manager 中的相容性原則

• Configuration Manager 中的 Exchange 電子郵件條件式存取

• Configuration Manager 的 SharePoint Online 條件式存取

請參閱

Configuration Manager 中的合規性設定