创建和部署设备安全策略

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。



Office 365 的移动设备管理可用于创建安全策略,以帮助防止未经授权访问Office 365您所在组织的信息。您的组织,其中设备的用户具有适用Office 365许可证和已注册MDM for Office 365中的设备中,可应用于任何移动设备的策略。

本主题内容

开始之前

  • 若要创建和部署移动设备管理策略中Office 365时,您需要是Office 365全局管理员。请参阅在 Office 365 安全和合规性管理中心中的权限

  • 您可以创建移动设备策略之前,您必须激活,并设置MDM for Office 365。请参阅Office 365 的移动设备管理概述

  • 了解有关设备、 移动设备的应用程序和安全设置该MDM for Office 365支持。请参阅office 365 的移动设备管理功能

  • 创建包含您要部署到策略的Office 365用户的安全组和用户可能希望从被排除禁止访问Office 365。我们建议,向您的组织中部署新策略之前,您将其部署到少量用户测试该策略。您可以创建和使用包含刚刚您自己或可以为您测试该策略小型 Office 365 用户的安全组。若要了解有关安全组的详细信息,请参阅创建、 编辑或删除安全组

  • 在部署策略前,请告知您的组织在 MDM for Office 365 中注册设备的潜在影响。不相容的设备会被阻止访问 Office 365,并且也可以从已注册的设备上删除已安装的应用程序、照片和个人信息等数据,具体取决于您如何设置策略。

注意: 在 MDM for Office 365 中创建的策略和访问规则将覆盖在 Exchange 管理中心中创建的 Exchange ActiveSync 移动设备邮箱策略和设备访问规则。在 MDM for Office 365 中注册设备后,应用于该设备的所有 Exchange ActiveSync 移动设备邮箱策略或设备访问规则都将被忽略。若要了解有关 Exchange ActiveSync 的详细信息,请参阅 Exchange Online 中的 Exchange ActiveSync

第 1 步:创建安全策略并向测试组部署策略

  1. 在Office 365,转到安全与合规中心 >安全策略>设备安全策略

  2. 选择“添加” 添加图标

  3. 依次输入新策略的“名称”和“说明”,然后选择“下一步”。

  4. 选择要向组织中的移动设备应用的要求。

  5. 选择是允许设备访问 Office 365 并报告违反,还是阻止设备并报告违反。然后,选择“下一步”。

    选择阻止访问还是允许访问但报告违规。
  6. 选择要向移动设备应用的其他任何配置,然后选择“下一步”。

  7. 选择“将其应用到一个或多个安全组”。

  8. 选择“添加” 添加图标

  9. 输入一个安全组名称,该组中包含您在向组织部署此策略之前用来测试策略的成员。除非您输入一个安全组名称或部分名称,否则该列表为空;输入相关内容之后单击搜索图标。或输入 *,然后单击搜索图标,查看所有组的列表。

    键入安全组名称并执行搜索。
  10. 依次选择相应的名称和“添加”。

  11. 依次选择“确定”和“下一步”。

  12. 查看并确认新设备策略的详细信息,然后选择“完成”。

策略应用于每个用户将拥有推送到其设备的下次他们登录到Office 365从移动设备的策略。如果用户觉得应用到之前其移动设备的策略,然后部署该策略之后, 他们将收到通知包括步骤注册并激活 Office 365 的 MDM其设备上。完成注册,直到将受限访问电子邮件、 OneDrive 和其他服务。他们完成注册使用 Intune 公司门户应用程序之后,他们将能够使用的服务和策略将应用于其设备。

第 2 步:验证策略运行是否符合预期

在创建安全策略后,您应该先检查此策略的运行是否符合预期,然后再向组织部署此策略。

  1. 在Office 365,转到安全与合规中心 >报表>设备合规性报告

  2. 检查已应用此策略的用户设备的状态。您可以按“状态”进行筛选或排序,以查看“相容”、“报告违反”或“阻止对 Office 365 访问”设备。

  3. 选择一个设备,查看其已应用的策略。

  4. 如果您需要更改策略,请执行以下操作:

    1. 选择安全策略>设备安全策略

    2. 选择相应的策略,然后单击“编辑” “编辑”图标

    3. 更改此策略,然后选择“保存”。

如果您接受在测试策略后生成的设备相容性报告结果,便可以向组织部署此策略了。

第 3 步:向组织部署策略

在创建移动设备策略并确认其运行是否符合预期后,您便可以向组织部署此策略了。

  1. 在Office 365,转到安全与合规中心 >安全策略>设备安全策略

  2. 选择您想要部署的策略,然后选择编辑 “编辑”图标

  3. 选择“部署”选项卡。

  4. 选择将其应用于一个或多个安全组

  5. 选择添加到您的组织广泛部署策略 添加图标

  6. 输入一个安全组名称。

  7. 依次选择相应的名称和“添加”。

  8. 依次选择“确定”和“保存”。

策略应用于每个用户将拥有推送到其设备的下次他们登录到Office 365从移动设备的策略。如果用户觉得应用到他们的移动设备的策略,他们将收到其设备上的通知与注册并激活MDM for Office 365的步骤。他们已完成注册后,该策略将应用于其设备。

第 4 步:阻止不受支持的设备使用 Exchange ActiveSync 访问电子邮件

若要帮助保护您组织的信息,您应在不受 MDM for Office 365 支持的移动设备上阻止 Exchange ActiveSync 应用访问 Office 365 电子邮件。为此,请执行以下操作:

  1. 在 安全与合规中心 中,转到“设备”。

  2. 选择“管理设备访问设置”。

    转到“合规中心”>“设备”,并单击管理设备访问设置链接。
  3. 选择“”。

    阻止不支持的设备。
  4. 选择“保存”。

若要了解 MDM for Office 365 支持哪些设备,请参阅 Capabilities of Mobile Device Management for Office 365

步骤 5:选择要从条件访问检查中排除的安全组

如果您要从他们的移动设备上的条件访问检查中排除某些人员,并且已为这些人员创建了一个或多个安全组,则在此处添加安全组。这些组中的人员将不会为其受支持的移动设备执行任何策略。

  1. 转到安全与合规中心>安全策略>设备安全策略

  2. 选择管理组织范围内的设备访问设置

    转到“合规中心”>“设备”,并单击管理设备访问设置链接。
  3. 选择“添加” 添加图标 ,即可添加含有您希望排除的用户的安全组,使它们不会被阻止访问 Office 365。当用户已添加到此列表中时,他们将能够在使用不受支持的设备时访问 Office 365 电子邮件。

    注意: 您添加的安全组的任何成员在使用不兼容设备访问 Office 365 时也不会受到阻止。

    阻止不支持的设备。
  4. 输入安全组。

  5. 依次选择相应的名称和“添加”。

  6. 依次选择“确定”和“保存”。

安全策略对不同设备类型的影响是什么?

将策略应用于用户的设备时,对每个设备的影响在不同的设备类型之间将稍有不同。请查看以下示例表,了解策略对不同设备的影响。

安全策略

Windows Phone 8.1 及更高版本

Android 4+

Samsung Knox

IOS 6+

备注

需要加密备份

所需的 IOS 加密备份。

阻止云备份

阻止在 Android 上进行 Google 备份(灰显),阻止在 iOS 上进行云备份。

阻止文档同步

iOS:阻止云中的文档。

阻止照片同步

iOS(本机):阻止照片流。

阻止屏幕捕获

x

在尝试时被阻止。

阻止视频会议

FaceTime 在 iOS 上会被阻止,而 Skype 或其他则不会。

阻止发送诊断数据

x

阻止在 Android 上发送 Google 故障报告。

阻止对应用商店的访问

x

应用商店图标在 Android 主页上缺失,在 Windows 上禁用,在 iOS 上缺失。

要求提供应用商店的密码

iOS:购买 iTunes 所需的密码。

阻止连接到可移动存储

x

NA

Android:SD 卡将呈灰色显示在设置中,Windows 通知用户,安装在那里的应用不可用

阻止蓝牙连接

***

***

***作为 Android 上的一个设置,我们无法禁用蓝牙功能。相反,我们可以禁用需要蓝牙的所有事务:高级音频通讯组、音频/视频远程控制、免提设备、耳机、电话簿访问和串行端口。使用以上任一项时,页面底部将显示一个小型 Toast 消息。

当您删除策略或从策略中删除用户时,会发生什么情况?

当您删除策略或从组的策略已部署到,策略设置, Office 365电子邮件配置文件和缓存的电子邮件中删除用户可能会删除从用户的设备。请参阅下表,请参阅什么删除的不同类型的设备:

删除的内容

Windows Phone 8.1 及更高版本

iOS 6+

Android 4 + (包括 Samsung Knox)

托管电子邮件配置文件 *

策略设置


从设备发送诊断数据块。

注意: *如果您在部署策略时选择了“电子邮件配置文件已托管”,则托管电子邮件配置文件及其中的缓存电子邮件也会从用户设备中删除。

已删除的策略应用于每个用户将拥有从其设备上删除的下次使用MDM for Office 365检查其移动设备的策略。如果您部署新策略应用于这些用户的设备,它们会提示在MDM for Office 365重新注册。

您还可以擦除设备,或者完全,或有选择地擦除设备组织信息。

相关主题

Office 365 的移动设备管理概述
的 Office 365 的移动设备管理功能

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×