适用于 Configuration Manager 中 SharePoint Online 的条件访问
适用对象:System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager SP1
.jpeg "System_CAPS_note"){kind=icon} 注意 |
|---|
本主题中的信息适用于 System Center 2012 Configuration Manager SP1 和更高版本以及 System Center 2012 R2 Configuration Manager 和更高版本。 |
使用 配置管理器SharePoint Online 条件访问策略可基于指定的条件,管理对位于 SharePoint Online 上的 OneDrive for Business 文件的访问。
当目标用户尝试在其设备上使用支持的应用(如 OneDrive)连接到文件时,会进行以下评估:
.jpeg "Conditional Access for SharePoint")
若要连接到所需文件,运行 OneDrive 的设备必须:
已向 Microsoft Intune 注册或是加入域的 PC。
在 Azure Active Directory 中注册设备(向 Intune 注册设备时会自动发生此情况)。
对于加入域的 PC,必须将它设置为向 Azure Active Directory 自动注册。
符合任何已部署的 配置管理器 符合性策略
基于指定的条件,设备状态存储在可授予或阻止对文件的访问权限的 Azure Active Directory 中。
如果不满足条件,则用户将在登录时看到以下消息的其中一条:
如果未向 Intune 注册设备,或未在 Azure Active Directory 中注册,则会显示一条消息,说明有关如何安装公司门户应用和进行注册
如果设备不合规,则显示一条消息,将用户定向到 Intune web 门户,用户可在该门户中找到有关相关问题及其修正方式的信息。
对于 PC:
如果策略设置为要求加入域,而 PC 未加入域,则会显示一条与 IT 管理员联系的消息。
如果策略设置要求加入域或合规,而 PC 不符合任一要求,则会显示一条消息,其中包含有关如何安装公司门户应用和注册的说明。
你可以从以下应用阻止对 SharePoint Online 的访问:
Microsoft Office Mobile (Android)
Microsoft OneDrive(Android 和 iOS)
Microsoft Word(Android 和 iOS)
Microsoft Excel(Android 和 iOS)
Microsoft PowerPoint(Android 和 iOS)
Microsoft OneNote(Android 和 iOS)
为 SharePoint Online 配置条件访问的步骤
步骤 1:配置 Active Directory 安全组
在开始之前,针对条件访问策略配置 Azure Active Directory 安全组。 你可以在**“Office 365 管理中心”,或“Intune 帐户门户”**中配置这些组。 这些组包含将作为目标的用户,或从策略中免除的用户。 如果将某个用户设定为策略的目标,则其使用的每个设备必须合规才能访问资源。
你可以在 SharePoint Online 策略中指定两种组类型:
目标组 – 包含将应用策略的用户的组
免除组 – 包含从策略中免除的用户的组(可选)
如果用户位于两个组中,则会将其从策略中免除。
步骤 2:配置和部署符合性策略
确保你创建合规性策略并将其部署到设定为 SharePoint Online 策略的目标的所有设备。
| 注意 |
|---|
将符合性策略部署到 Intune 组或 配置管理器 集合,而条件访问策略以 Azure Active Directory 安全组为目标。 |
有关如何配置符合性策略的详细信息,请参阅 Configuration Manager 中的符合性策略。
.jpeg "System_CAPS_important"){kind=icon} 重要事项 |
|---|
如果你尚未部署合规性策略,但是启用了 SharePoint Online 策略,则允许所有目标设备进行访问。 |
准备就绪后,继续步骤 3。
步骤 3:配置 SharePoint Online 策略
接下来,配置策略以要求只有托管及合规设备才能访问 SharePoint Online。 此策略会存储在 Azure Active Directory 中。
-
在 配置管理器 控制台中,单击“资产和符合性”。
-
选择“启用 SharePoint Online 的条件访问策略”。
-
在“使用新式验证的应用”下,可以选择将访问仅限为对每个平台合规的设备。
.jpeg "System_CAPS_tip")
提示“新式验证”允许基于 Active Directory 身份验证库 (ADAL) 登录到 Office 客户端。
基于 ADAL 的身份验证使 Office 客户端能够实现基于浏览器的身份验证(也称为被动身份验证)。 为了进行身份验证,用户将被导向登录网页。
这种全新的登录方法实现了新的方案,如基于“设备符合性”以及“多重身份验证”执行情况的条件访问。
本文提供有关新式身份验证工作原理的更多详细信息。
对于 Windows PC,PC 必须加入域,或是向 Intune 注册并合规。 可以设置以下要求:
- **设备必须已加入域或必须是合规的。**这意味着 PC 必须已加入域或符合在 Intune 中设置的策略。 如果 PC 不满足任一要求,则系统会提示用户向 Intune 注册设备。 - **设备必须已加入域。**这意味着 PC 必须加入域才能访问 Exchange Online。 如果 PC 未加入域,则系统会阻止对电子邮件的访问,并且提示用户与 IT 管理员联系。 - **设备必须是合规的。**这意味着 PC 必须在 Intune 中注册并且合规。 如果 PC 未注册,则会显示一条消息,其中包含有关如何注册的说明。 -
在“主页”选项卡的“链接”组,单击“在 Intune 控制台中配置条件性访问策略”。 你可能需要提供用于连接 配置管理器 和 Intune 的帐户的用户名和密码。
随即将打开 Intune 管理控制台。
-
在 Microsoft Intune 管理控制台中,单击“策略”>“条件访问” >“SharePoint Online 策略”。
-
选择如果该设备不符合要求,阻止应用访问 SharePoint Online。
-
在“目标组”下,单击“修改”以选择将应用策略的 Azure Active Directory 安全组。
-
在“免除组”下,可以选择“修改”以选择从此策略中免除的 Azure Active Directory 安全组。
-
完成后,请单击“保存”。
不需要部署条件访问策略,它将立即生效。
请参阅使用 Microsoft Intune 管理 SharePoint Online 访问以获取关于如何监视来自 Intune 控制台的策略的信息。