创建和部署设备安全策略

你可以使用 Microsoft 365 商业标准版的移动设备管理 来创建设备策略,以帮助保护你的组织在 Office 365 上的信息免遭未经授权的访问。 你可以将策略应用于你组织中的任何移动设备,该设备的用户具有适用的 Office 365 许可证并已在 Microsoft 365 商业标准版的移动设备管理 中注册了该设备。

本文内容:

准备工作

  • 了解 Microsoft 365 商业标准版的移动设备管理 支持的设备、移动设备应用和安全设置。 请参阅Office 365 的移动设备管理功能

  • 创建包含要为其部署策略的 Office 365 用户以及希望阻止其阻止访问 Office 365 的用户的安全组。 建议在将新策略部署到组织之前,通过将策略部署到少量用户来测试该策略。 你可以创建和使用安全组,其中仅包含你自己或少量 Office 365 可为你测试该策略的用户。 若要了解有关安全组的详细信息,请参阅创建、编辑或删除安全组

  • 重要提示: 必须先激活并设置 Microsoft 365 商业标准版的移动设备管理 ,然后才能创建移动设备策略。 请参阅Office 365 的移动设备管理概述

  • 若要在 Office 365 中创建和部署移动设备管理策略,您必须是 Office 365 全局管理员。 请参阅Office 365 安全 & 合规性管理中心中的权限

  • 部署策略之前,让你的组织知道在 Microsoft 365 商业标准版的移动设备管理 中注册设备的潜在影响。 根据你设置策略的方式,可以阻止不兼容的设备访问 Office 365 和数据,包括已注册设备上已安装的应用程序、照片和个人信息。

注意: 在 Microsoft 365 商业标准版的 MDM 中创建的策略和访问规则将覆盖在 Exchange 管理中心中创建的 Exchange ActiveSync 移动设备邮箱策略和设备访问规则。 在 Microsoft 365 商业标准版的 MDM 中注册设备后,应用于该设备的所有 Exchange ActiveSync 移动设备邮箱策略或设备访问规则都将被忽略。 若要了解有关 Exchange ActiveSync 的详细信息,请参阅 Exchange Online 中的 Exchange ActiveSync

步骤1:创建设备策略并部署到测试组

开始之前,请确保已激活并设置 Microsoft 365 商业标准版的移动设备管理 。 有关说明,请参阅Office 365 的移动设备管理概述

  1. 利用全局管理员帐户登录到 Office 365 。

  2. 从浏览器类型: https://protection.office.com

  3. 转到 "数据丢失防护>设备策略",然后选择 "创建策略"。

    添加设备安全策略
  4. 在 "策略设置" 页面上,指定要应用到组织中的移动设备的要求。

    1. 需要管理电子邮件配置文件:启用后,没有由 Microsoft 365 商业标准版的移动设备管理 管理的电子邮件配置文件的设备将被视为不合规。 当设备未正确定向或用户手动在设备上设置电子邮件帐户时,设备不能有托管电子邮件配置文件。 如果您不启用此设置(默认),则不会针对合规性或非合规性评估此设置。 如果选中此选项,请参阅现有公司电子邮件帐户,获取有关用户如何符合标准的说明。

  5. 在 "是否要立即应用此策略?" 中,选择要对其应用此策略的组。

  6. 完成后,选择 "创建此策略"。

应用策略的每位用户在下次使用其移动设备登录 Office 365 时,都会将策略推送到其设备。 如果用户以前没有将策略应用到其移动设备,则在部署该策略后,他们将在其设备上收到通知,其中包括注册和激活 Office 365 的 MDM 的步骤。 在他们完成注册到由 Intune 服务托管的 Microsoft 365 商业标准版的移动设备管理 之前,对电子邮件、OneDrive 和其他服务的访问将受到限制。 在使用 Intune 公司门户应用完成注册后,他们将能够使用服务,并且策略将应用到其设备。

步骤2:验证你的策略是否有效

创建设备策略后,应检查策略是否按预期工作,然后再将其部署到你的组织。

  1. 利用全局管理员帐户登录到 Office 365 。

  2. 从浏览器类型: https://protection.office.com

  3. 转到 "数据丢失防护" >设备管理"> 查看托管设备的列表

  4. 检查已应用策略的用户设备的状态。 您希望管理设备的状态

  5. 您还可以在选择设备后,通过单击 "恢复时恢复" 或 "从管理删除公司数据" 按钮,在设备上执行完全或选择性擦除。 有关说明,请参阅在 Office 365 中擦除移动设备

步骤3:将策略部署到你的组织

创建设备策略并验证它是否按预期工作后,将其部署到你的组织。

  1. 利用全局管理员帐户登录到 Office 365 。

  2. 从浏览器类型: https://protection.office.com

  3. 选择要部署的策略,然后选择 "要应用的组" 旁边的 "编辑"。

  4. 搜索要添加的组,然后单击 "选择"。

  5. 单击 "更改时关闭"设置。

  6. 单击 "编辑策略" 上的 "关闭"。

应用策略的每位用户在下次从其移动设备登录到 Office 365 时,都会将策略推送到其设备。 如果用户未将策略应用到其移动设备,他们将在其设备上收到通知,其中包含为 Microsoft 365 商业标准版的移动设备管理 注册和激活它的步骤。 注册完成后,策略将应用到其设备。

步骤4:阻止不受支持的设备的电子邮件访问

为了帮助保护组织的信息,你应该阻止 Microsoft 365 商业标准版的移动设备管理 不支持的移动设备的应用访问 Office 365 电子邮件。 请参阅支持的设备,获取受支持的设备列表。 目的:

  1. 利用全局管理员帐户登录到 Office 365 。

  2. 从浏览器类型: https://protection.office.com

  3. 转到 "数据丢失防护>设备策略",然后选择 "设备策略" > "管理组织范围的设备访问设置"。

  4. 若要阻止不受支持的设备,请选择 "如果设备不受 Office 365 MDM 支持" 下的 "阻止",您是否希望允许或阻止其使用 Exchange 帐户访问组织的电子邮件 > "保存"。

    转到合规中心 > 设备安全策略> 管理组织范围内的设备访问设置 > 阻止。

步骤5:选择要从条件访问检查中排除的安全组

如果你想要将某些人从条件访问检查排除在其移动设备上,并且你为这些人员创建了一个或多个安全组,请在此处添加安全组。 这些组中的人员将不会为其支持的移动设备实施任何策略。 如果您不再希望在组织中使用 Microsoft 365 商业标准版的移动设备管理 ,建议使用此选项。。

  1. 利用全局管理员帐户登录到 Office 365 。

  2. 单击此链接:激活移动设备管理

  3. 转到 "数据丢失防护>设备策略",然后选择 "管理组织范围的设备访问设置"。

    添加设备安全策略
  4. 选择 "添加" 以添加要阻止其阻止访问 Office 365 的用户的安全组。 当用户已添加到此列表后,他们将能够在使用不受支持的设备时访问 Office 365 电子邮件。

  5. 在 "选择组" 面板中选择要使用的安全组。

  6. 选择名称,然后添加> "保存"。

  7. 在 "组织范围的设备访问设置" 面板上,选择 "保存"。

    在组织范围的设备访问设置中,选择从访问控制中排除的组。

安全策略对不同设备类型有何影响?

当你将策略应用到用户设备时,对每个设备的影响在不同设备类型之间稍有不同。 有关不同设备上的策略影响的示例,请参阅下表。

安全策略

Windows Phone 8.1 及更高版本

Android 4+

Samsung Knox

IOS 6 +

备注

需要加密备份

需要 IOS 加密备份。

阻止云备份

在 Android 上阻止 Google 备份(灰显),在 iOS 上进行云备份。

阻止文档同步

iOS:阻止云中的文档。

阻止照片同步

iOS (本机):阻止照片流。

阻止屏幕捕获

X

在尝试时被阻止。

阻止视频会议

FaceTime 在 iOS 上阻止,而不是 Skype 或其他人。

阻止发送诊断数据

X

阻止在 Android 上发送 Google 崩溃报告。

阻止访问应用商店

X

Android 主页上缺少应用商店图标,在 Windows 上禁用,在 iOS 上丢失。

应用商店需要密码

iOS: iTunes 购买所需的密码。

阻止与可移动存储的连接

X

NA

Android: SD 卡将在 "设置" 中灰显,Windows 通知用户,安装的应用程序不可用

阻止蓝牙连接

***

***

无法禁用蓝牙作为 Android 上的设置。 而是禁用所有需要蓝牙的交易:高级音频分发、音频/视频远程控制、免提设备、耳机、电话簿访问和串行端口。 当使用其中任何一项时,将在页面底部显示一条小 toast 消息。

删除策略或从策略中删除用户时会发生什么情况?

当您从部署策略的组中删除策略或删除用户时,策略设置、 Office 365 电子邮件配置文件和缓存的电子邮件可能会从用户的设备中删除。 请参阅下表,查看为不同设备类型删除的内容:

删除的内容

Windows Phone 8.1 及更高版本

iOS 6 +

Android 4 + (包括 Samsung Knox)

托管电子邮件配置文件 *

策略设置


除了阻止从设备发送诊断数据。

注意: * 如果策略是通过选择 "管理电子邮件配置文件" 管理的,则该配置文件中的托管电子邮件配置文件和缓存的电子邮件将从用户的设备中删除。

应用了已删除的策略的每个用户在其移动设备下次与 Microsoft 365 商业标准版的移动设备管理 一起检查时,将从其设备中删除该策略。 如果你部署适用于这些用户的设备的新策略,系统将提示他们重新注册 Microsoft 365 商业标准版的移动设备管理 。

你还可以完全擦除设备,也可以选择性地擦除设备中的组织信息。

相关主题

适用于 office 365
移动设备管理的移动设备管理功能概述 office 365 的移动设备管理

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×