Перейти к основному контенту
Office

Создание и развертывание политик безопасности устройств

Вы можете использовать Управление мобильными устройствами для Office 365 для создания политик устройств, которые помогают защитить сведения Организации Office 365 от несанкционированного доступа. Политики можно применять к любым мобильным устройствам в организации, если у пользователя или устройства есть соответствующая лицензия на Office 365 и устройство зарегистрировано в MDM для Office 365.

В этой статье

Подготовка

  • Узнайте подробнее об устройствах, приложениях и параметрах безопасности, поддерживаемых MDM для Office 365. Дополнительные сведения см. в статье Возможности управления мобильными устройствами для Office 365.

  • Создайте группы безопасности, включающие пользователей Office 365, для которых требуется развернуть политики, а также пользователей, для которых может потребоваться разблокировать доступ к Office 365. Перед развертыванием новой политики организации рекомендуем проверить ее, развернув для небольшого количества пользователей. Можно создать и использовать группу безопасности, включающую только вас или небольшое количество пользователей Office 365, которые помогут проверить политику. Дополнительные сведения о группах безопасности см. в статье Создание, изменение и удаление группы безопасности.

  • Внимание! Перед тем как приступить к созданию политик мобильных устройств, необходимо активировать и настроить MDM для Office 365. Дополнительные сведения см. в статье Общие сведения об управлении мобильными устройствами для Office 365.

  • Для создания и развертывания политик управления мобильными устройствами в Office 365 вы должны быть глобальным администратором Office 365. Дополнительные сведения см. в статье Разрешения в Центре безопасности и соответствия требованиям Office 365.

  • Перед развертыванием политик сообщите сотрудникам организации о возможных последствиях регистрации их устройств в MDM для Office 365. В зависимости от того, как настроены политики, для несоответствующих устройств может быть заблокирован доступ к Office 365, а данные, хранящиеся на зарегистрированных устройствах, включая установленные приложения, фотографии и личные сведения, могут быть удалены.

Примечание: Политики и правила доступа, созданные в службе управления мобильными устройствами для Office 365, имеют приоритет над политиками почтовых ящиков Exchange ActiveSync для мобильных устройств и правилами доступа устройств, созданными в Центре администрирования Exchange. После регистрации устройства в службе управления мобильными устройствами для Office 365 любые политики почтовых ящиков Exchange ActiveSync для мобильных устройств и правила доступа устройств будут игнорироваться. Дополнительные сведения об Exchange ActiveSync см. в статье Exchange ActiveSync в Exchange Online.

Действие 1: Создание политики устройства и развертывание в тестовой группе

Прежде чем начать, убедитесь, что вы активировали и настроили MDM для Office 365. Инструкции см. в статье Общие сведения об управлении мобильными устройствами для Office 365.

  1. Войдите в Office 365 с помощью учетной записи глобального администратора.

  2. В браузере введите: https://Protection.Office.com.

  3. Перейдите к разделу Защита от потери данных > политиках устройств и выберите пункт Создание политики.

    Добавление политики безопасности устройств
  4. На странице Параметры политики укажите требования, которые нужно применять к мобильным устройствам в Организации.

    1. Запрашивать Управление профилем электронной почты: Если этот флажок установлен, устройства без профиля электронной почты, которыми управляет Office 365 MDM, считаются несовместимыми. Устройство не может иметь управляемый профиль электронной почты, если он неправильно нацелен или пользователь вручную настроил учетную запись электронной почты на устройстве. Если не включить (по умолчанию), этот параметр не оценивается на соответствие требованиям или несоответствия требованиям. Просмотр существующей учетной записи электронной почты компаниидля получения инструкций о том, как пользователи могут получить соответствие, если выбран этот параметр,

  5. На странице вы хотите применить эту политику?выберите группы, к которым вы хотите применить эту политику.

  6. Нажмите кнопку создать эту политику , когда все будет готово.

При следующем входе в Office 365 каждого пользователя, к которому применяется политика, она будет передана на его мобильное устройство. Если к мобильным устройствам ранее не применялась политика, то после ее развертывания политики на них появятся уведомления с указаниями по регистрации и активации MDM для Office 365. Пока не завершите регистрацию в Office 365 MDM, размещенных в службе Intune, доступ к электронной почте, службе OneDrive и другим службам будет ограничен. После регистрации с помощью приложения корпоративного портала Intune они смогут использовать службы, а к их устройствам будет применена политика

Шаг 2. Проверка правильности работы политики

После создания политики устройства убедитесь, что она работает, как ожидается перед развертыванием в Организации.

  1. Войдите в Office 365 с помощью учетной записи глобального администратора.

  2. В браузере введите: https://Protection.Office.com.

  3. Перейдите на вкладку Защита от потери данных > Управление устройствами > просмотра списка управляемых устройств.

  4. Проверьте статус устройств пользователей, к которым применяется политика. Вы хотите, чтобы состояние устройств было управляемым.

  5. Вы также можете выполнить полную или выборочную очистку на устройстве, щелкнув заводские сбросы или удалив данные компании с помощью кнопки " Управление " после выбора устройства. Инструкции см. в статье Очистка мобильного устройства в Office 365.

Шаг 3. Развертывание политики в организации

После создания политики устройства и проверки правильности ее работы разверните ее в своей организации.

  1. Войдите в Office 365 с помощью учетной записи глобального администратора.

  2. В браузере введите: https://Protection.Office.com.

  3. Выберите политику, которую вы хотите развернуть, и нажмите кнопку изменить рядом с группой, к которой применены.

  4. Найдите группу, которую нужно добавить, и нажмите кнопку выбрать.

  5. Нажмите кнопку Закрыть в диалоговом параметре изменить.

  6. Нажмите кнопку Закрыть , чтобы изменить политику.

При следующем входе в Office 365 каждого пользователя, к которому применяется политика, она будет передана на его мобильное устройство. Если к мобильным устройствам ранее не применялась политика, то после ее развертывания на них появятся уведомления с указаниями по регистрации и активации MDM для Office 365. После завершения регистрации к устройствам будет применена политика.

Шаг 4. Блокирование доступа к электронной почте для неподдерживаемых устройств

Для обеспечения безопасности данных Организации следует заблокировать доступ приложения к Office 365 электронной почте для мобильных устройств, которые не поддерживаются MDM для Office 365. (Список поддерживаемых устройств можно найти здесь.) Для этого сделайте следующее:

  1. Войдите в Office 365 с помощью учетной записи глобального администратора.

  2. В браузере введите: https://Protection.Office.com.

  3. Перейдите к разделу Защита от потери данных > политиках устройств и выберите политики устройств > управления параметрами доступа к устройствам в пределах организации.

  4. Чтобы заблокировать неподдерживаемые устройства, выберите Блокировать в разделе Что делать, если MDM для Office 365 не поддерживает устройство: разрешить подключение к электронной почте организации с помощью учетной записи Exchange или заблокировать? и нажмите кнопку Сохранить.

    В Центре соответствия требованиям выберите "Политики безопасность устройств" > "Управление параметрами доступа к устройствам в пределах организации" > "Заблокировать".

Шаг 5. Выбор групп безопасности, которые будут исключены из проверок условного доступа

Если вы хотите исключить определенных пользователей из проверок условного доступа на мобильных устройствах и для них создана одна или несколько групп безопасности, добавьте эти группы сюда. К поддерживаемым мобильным устройствам участников этих групп не будут принудительно применяться политики. Это рекомендуемый вариант, если вы больше не хотите использовать Office 365 MDM в вашей организации...

  1. Войдите в Office 365 с помощью учетной записи глобального администратора.

  2. Щелкните эту ссылку: Активация управления мобильными устройствами.

  3. Перейдите к разделу Защита от потери данных > политиках устройств и выберите пункт Управление параметрами доступа к устройствам в масштабе организации.

    Добавление политики безопасности устройств
  4. Нажмите кнопку Добавить, чтобы добавить группу безопасности, включающую пользователей, для которых требуется разблокировать доступ к Office 365. Если пользователь добавлен в этот список, он сможет работать с почтой Office 365 при использовании неподдерживаемого устройства.

  5. Выберите нужную группу безопасности в области Выбор группы.

  6. Выберите имя, а затем нажмите кнопки Добавить > Сохранить.

  7. На панели параметры доступа к устройствам в масштабах Организации нажмите кнопку сохранить.

    В области "Управление параметрами доступа к устройствам в пределах организации" выберите группы, к которым не будет применяться управление доступом.

Как политики безопасности влияют на разные типы устройств?

Влияние, которая политика оказывает на устройство, зависит от его типа. Примеры см. в следующей таблице.

Политика безопасности

Windows Phone 8.1+

Android 4+

Samsung Knox

iOS 6+

Заметки

Требовать шифрование резервных копий

Требуется шифрованное резервное копирование iOS.

Блокировать резервное копирование в облаке

Блокировать резервное копирование Google для Android (параметр недоступен), облачное резервное копирование для iOS.

Блокировать синхронизацию документов

iOS: блокировка документов в облаке.

Блокировать синхронизацию фотографий

iOS (собственный параметр): блокировать поток фотографий.

Блокировать снимки экрана

X

Блокируется при попытке.

Блокировать видеоконференции

В iOS заблокирован FaceTime, но не Skype и другие приложения.

Блокировать отправку диагностических данных

X

Блокировка отправки отчетов о сбоях Google на устройствах Android.

Блокировать доступ к магазину приложений

X

Значок магазина приложений отсутствует на главной странице Android, отключен в Windows, отсутствует в iOS.

Требовать пароль для магазина приложений

iOS: пароль требуется для покупок в iTunes.

Блокировать соединение со съемными носителями

X

Н/Д

На устройве Android SD-карта будет недоступна в параметрах, Windows уведомляет пользователя, установленные приложения недоступны

Блокировать подключение Bluetooth

***

***

*** На устройствах Android невозможно отключить BlueTooth как параметр. Поэтому мы отключаем все транзакции, требующие BlueTooth: дополнительное распространение звука, удаленное управление звуком и видео, гарнитуры, наушники, доступ к телефонной книге и последовательный порт. При использовании этих функций в нижней части страницы появляется небольшое всплывающее сообщение.

Что происходит при удалении самой политики или удалении пользователя из политики?

При удалении политики или удалении пользователя из группы, к которой была применена политика, с устройства такого пользователя удаляются параметры политики, профиль электронной почты Office 365 и кэшированные сообщения. В таблице ниже указано, какие элементы удаляются в зависимости от типа устройства.

Удаляемые элементы

Windows Phone 8.1+

iOS 6+

Android  4+ (в том числе Samsung Knox)

Управляемые профили электронной почты*

Параметры политики


За исключением параметра Блокировать отправку диагностических данных с устройств

Примечание: * Если политика была развернута с использованием параметра Управление профилем электронной почты, то управляемый профиль электронной почты и хранящиеся в нем кэшированные сообщения будут удалены с устройства пользователя.

Политика будет удалена с устройства при его следующем обращении к MDM для Office 365. Если вы развернете новую политику, применяемую к устройствам пользователей, им будет предложено повторно зарегистрироваться в MDM для Office 365.

Вы также можете очистить устройство полностью или выборочно удалить с него данные организации.

См. также

Обзор управления мобильными устройствами для Office 365
Возможности управления мобильными устройствами для Office 365

Примечание:  Эта страница переведена автоматически, поэтому ее текст может содержать неточности и грамматические ошибки. Для нас важно, чтобы эта статья была вам полезна. Была ли информация полезной? Для удобства также приводим ссылку на оригинал (на английском языке).

Совершенствование навыков работы с Office
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединиться к программе предварительной оценки Office

Были ли сведения полезными?

Спасибо за ваш отзыв!

Благодарим за отзыв! Возможно, будет полезно связать вас с одним из наших специалистов службы поддержки Office.

×