Создание и развертывание политик безопасности устройств

Вы можете использовать компонент "Управление мобильными устройствами для Office 365" для создания политик безопасности, позволяющих защищать данные вашей организации в Office 365 от несанкционированного доступа. Политики можно применять к любым мобильным устройствам в организации, если у пользователя или устройства есть соответствующая лицензия на Office 365 и устройство зарегистрировано в MDM для Office 365.

В этой статье

Подготовка

  • Узнайте подробнее об устройствах, приложениях и параметрах безопасности, поддерживаемых MDM для Office 365. Дополнительные сведения см. в статье Возможности управления мобильными устройствами для Office 365.

  • Создайте группы безопасности, включающие пользователей Office 365, для которых требуется развернуть политики, а также пользователей, для которых может потребоваться разблокировать доступ к Office 365. Перед развертыванием новой политики организации рекомендуем проверить ее, развернув для небольшого количества пользователей. Можно создать и использовать группу безопасности, включающую только вас или небольшое количество пользователей Office 365, которые помогут проверить политику. Дополнительные сведения о группах безопасности см. в статье Создание, изменение и удаление группы безопасности.

  • Внимание! Перед тем как приступить к созданию политик мобильных устройств, необходимо активировать и настроить MDM для Office 365. Дополнительные сведения см. в статье Общие сведения об управлении мобильными устройствами для Office 365.

  • Для создания и развертывания политик управления мобильными устройствами в Office 365 вы должны быть глобальным администратором Office 365. Дополнительные сведения см. в статье Разрешения в Центре безопасности и соответствия требованиям Office 365.

  • Перед развертыванием политик сообщите сотрудникам организации о возможных последствиях регистрации их устройств в MDM для Office 365. В зависимости от того, как настроены политики, для несоответствующих устройств может быть заблокирован доступ к Office 365, а данные, хранящиеся на зарегистрированных устройствах, включая установленные приложения, фотографии и личные сведения, могут быть удалены.

Примечание: Политики и правила доступа, созданные в службе управления мобильными устройствами для Office 365, имеют приоритет над политиками почтовых ящиков Exchange ActiveSync для мобильных устройств и правилами доступа устройств, созданными в Центре администрирования Exchange. После регистрации устройства в службе управления мобильными устройствами для Office 365 любые политики почтовых ящиков Exchange ActiveSync для мобильных устройств и правила доступа устройств будут игнорироваться. Дополнительные сведения о Exchange ActiveSync см. в статье Exchange ActiveSync в Exchange Online.

Шаг 1. Создание политики безопасности и ее развертывание для группы тестирования

Прежде чем начать, убедитесь, что вы активировали и настроили MDM для Office 365. Инструкции см. в статье Общие сведения об управлении мобильными устройствами для Office 365.

  1. В Центре безопасности и соответствия требованиям Office 365 выберите Защита от потери данных > Политики безопасности устройств.

    Примечание: Пункт Политик безопасности устройств отображается в меню только после активации службы управления мобильными устройствами.

  2. Нажмите кнопку + Создать политику.

  3. Введите имя и описание для новой политики, а затем нажмите кнопку Далее.

  4. На странице Какие требования вы хотите применять к устройствам? укажите требования, которые нужно применять к мобильным устройствам в вашей организации, и нажмите кнопку Далее.

  5. На странице Что нужно настроить? укажите дополнительные требования, которые нужно применять к мобильным устройствам, и нажмите кнопку Далее.

  6. На странице Вы хотите применить эту политику сейчас? выберите Да, а затем нажмите кнопку + Добавить.

  7. Выберите группы, которые будут тестировать политику перед ее развертыванием в организации, и нажмите кнопку Добавить.

  8. Нажмите кнопку Далее.

  9. Проверьте и подтвердите сведения о новой политике устройств и нажмите кнопку Создать политику.

  10. Нажмите кнопку Закрыть.

При следующем входе в Office 365 каждого пользователя, к которому применяется политика, она будет передана на его мобильное устройство. Если к мобильным устройствам ранее не применялась политика, то после ее развертывания политики на них появятся уведомления с указаниями по регистрации и активации MDM для Office 365. Пока пользователи не завершат регистрацию, доступ к электронной почте, OneDrive и другим службам будет ограничен. После регистрации с помощью приложения корпоративного портала Intune они смогут использовать службы, а к их устройствам будет применена политика

Шаг 2. Проверка правильности работы политики

После создания политики безопасности следует убедиться, что она работает должным образом, прежде чем развертывать ее в организации.

  1. В Office 365 выберите Центр соответствия требованиям > Защита от потери данных > Управление устройствами.

  2. На странице Управление мобильными устройствами для Office 365 проверьте статус устройств пользователей, к которым применяется политика. Вы можете применить фильтр, а также просмотреть все устройства или только заблокированные.

  3. Можно также полностью или выборочно очистить данные на устройстве. Инструкции см. в статье Очистка мобильного устройства в Office 365.

Шаг 3. Развертывание политики в организации

После создания политики мобильных устройств и проверки ее работы можно развернуть политику для своей организации.

  1. В Office 365 выберите Центр безопасности и соответствия требованиям > Защита от потери данных > Политики безопасности устройств.

  2. Выберите политику, которую вы хотите развернуть, и щелкните Изменить политику в области <policy name>.

  3. Откройте вкладку Развертывание.

  4. На вкладке Развертывание щелкните Да над разделом Выберите одну или несколько групп безопасности с пользователями, к которым вы хотите применить эту политику, а затем нажмите кнопку Добавить.

    • В области Выбор группы можно найти нужную группу или отфильтровать группы по псевдониму либо отображаемому имени. Вы также можете добавить группу из списка Группы.

      Вы можете добавить несколько групп, к которым следует применить политику.

      Нажмите кнопку Добавить внизу области.

  5. Нажмите кнопку Сохранить на вкладке Развертывание.

    Разверните политику MDM в организации.

При следующем входе в Office 365 каждого пользователя, к которому применяется политика, она будет передана на его мобильное устройство. Если к мобильным устройствам ранее не применялась политика, то после ее развертывания на них появятся уведомления с указаниями по регистрации и активации MDM для Office 365. После завершения регистрации к устройствам будет применена политика.

Шаг 4. Блокирование доступа к электронной почте для неподдерживаемых устройств

Для защиты данных организации необходимо заблокировать доступ приложений к электронной почте Office 365 на мобильных устройствах, которые не поддерживаются MDM для Office 365. (Список поддерживаемых устройств можно найти здесь.) Для этого сделайте следующее:

  1. Выберите Центр соответствия требованиям > Защита от потери данных > Политики безопасности устройств.

  2. Выберите Управление параметрами доступа к устройствам в пределах организации.

    В Центре соответствия требованиям выберите «Устройства» и щелкните ссылку «Управление параметрами доступа к устройствам».
  3. Чтобы заблокировать неподдерживаемые устройства, выберите Блокировать в разделе Что делать, если MDM для Office 365 не поддерживает устройство: разрешить подключение к электронной почте организации с помощью учетной записи Exchange или заблокировать? и нажмите кнопку Сохранить.

    В Центре соответствия требованиям выберите "Политики безопасность устройств" > "Управление параметрами доступа к устройствам в пределах организации" > "Заблокировать".

Шаг 5. Выбор групп безопасности, которые будут исключены из проверок условного доступа

Если вы хотите исключить определенных пользователей из проверок условного доступа на мобильных устройствах и для них создана одна или несколько групп безопасности, добавьте эти группы сюда. К поддерживаемым мобильным устройствам участников этих групп не будут принудительно применяться политики.

  1. Откройте Центр безопасности и соответствия требованиям и выберите Защита от потери данных > Политики безопасности устройств.

  2. Выберите Управление параметрами доступа к устройствам в пределах организации.

    В Центре соответствия требованиям выберите «Устройства» и щелкните ссылку «Управление параметрами доступа к устройствам».
  3. Нажмите кнопку Добавить, чтобы добавить группу безопасности, включающую пользователей, для которых требуется разблокировать доступ к Office 365. Если пользователь добавлен в этот список, он сможет работать с почтой Office 365 при использовании неподдерживаемого устройства.

  4. Выберите нужную группу безопасности в области Выбор группы.

  5. Выберите имя, а затем нажмите кнопки Добавить > Сохранить.

  6. В области Управление параметрами доступа к устройствам в пределах организации нажмите кнопку Сохранить.

    В области "Управление параметрами доступа к устройствам в пределах организации" выберите группы, к которым не будет применяться управление доступом.

Как политики безопасности влияют на разные типы устройств?

Влияние, которая политика оказывает на устройство, зависит от его типа. Примеры см. в следующей таблице.

Политика безопасности

Windows Phone 8.1+

Android 4+

Samsung Knox

iOS 6+

Заметки

Требовать шифрование резервных копий

Требуется шифрованное резервное копирование iOS.

Блокировать резервное копирование в облаке

Блокировать резервное копирование Google для Android (параметр недоступен), облачное резервное копирование для iOS.

Блокировать синхронизацию документов

iOS: блокировка документов в облаке.

Блокировать синхронизацию фотографий

iOS (собственный параметр): блокировать поток фотографий.

Блокировать снимки экрана

X

Блокируется при попытке.

Блокировать видеоконференции

В iOS заблокирован FaceTime, но не Skype и другие приложения.

Блокировать отправку диагностических данных

X

Блокировка отправки отчетов о сбоях Google на устройствах Android.

Блокировать доступ к магазину приложений

X

Значок магазина приложений отсутствует на главной странице Android, отключен в Windows, отсутствует в iOS.

Требовать пароль для магазина приложений

iOS: пароль требуется для покупок в iTunes.

Блокировать соединение со съемными носителями

X

Н/Д

На устройве Android SD-карта будет недоступна в параметрах, Windows уведомляет пользователя, установленные приложения недоступны

Блокировать подключение Bluetooth

***

***

*** На устройствах Android невозможно отключить BlueTooth как параметр. Поэтому мы отключаем все транзакции, требующие BlueTooth: дополнительное распространение звука, удаленное управление звуком и видео, гарнитуры, наушники, доступ к телефонной книге и последовательный порт. При использовании этих функций в нижней части страницы появляется небольшое всплывающее сообщение.

Что происходит при удалении самой политики или удалении пользователя из политики?

При удалении политики или удалении пользователя из группы, к которой была применена политика, с устройства такого пользователя удаляются параметры политики, профиль электронной почты Office 365 и кэшированные сообщения. В таблице ниже указано, какие элементы удаляются в зависимости от типа устройства.

Удаляемые элементы

Windows Phone 8.1+

iOS 6+

Android  4+ (в том числе Samsung Knox)

Управляемые профили электронной почты*

Параметры политики


За исключением параметра Блокировать отправку диагностических данных с устройств

Примечание: * Если политика была развернута с использованием параметра Управление профилем электронной почты, то управляемый профиль электронной почты и хранящиеся в нем кэшированные сообщения будут удалены с устройства пользователя.

Политика будет удалена с устройства при его следующем обращении к MDM для Office 365. Если вы развернете новую политику, применяемую к устройствам пользователей, им будет предложено повторно зарегистрироваться в MDM для Office 365.

Вы также можете очистить устройство полностью или выборочно удалить с него данные организации.

См. также

Обзор управления мобильными устройствами для Office 365
Возможности управления мобильными устройствами для Office 365

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×