在 Microsoft 365 中设置移动设备管理(MDM)

Microsoft 365 的内置移动设备管理(MDM)可帮助你保护和管理你的用户的移动设备,如 Iphone、Ipad、可能和 Windows 手机。 你可以创建和管理设备安全策略、远程擦除设备和查看详细的设备报告。

有问题吗? 我们整理了常见问题以帮助解决常见问题。 请注意,您不能使用委派的管理员帐户来管理 Microsoft 365 商业标准版的移动设备管理 。

设备管理是 安全与合规中心 的一部分,因此你需要转到此处才能启动 MDM 设置。

若要设置 Microsoft 365 商业标准版的移动设备管理 需要执行以下操作:

激活移动设备管理服务

设置移动设备管理

确保用户注册其设备

激活移动设备管理服务

  1. 使用全局管理员帐户登录 Microsoft 365。

  2. 单击此链接:激活移动设备管理

  3. 转到 "设备策略",然后选择 "管理组织范围的设备访问设置"。

激活 Microsoft 365 商业标准版的移动设备管理 可能需要一些时间。 完成后,你将收到一封电子邮件,说明要采取的后续步骤。

设置移动设备管理

服务准备就绪后,请完成以下四个步骤以完成设置。

步骤1:(必需)为 MDM 配置域

如果你没有与 Microsoft 365 关联的自定义域,或者如果你不管理 Windows 设备,则可以跳过此部分。 否则需要在您的 DNS 主机中为该域添加 DNS 记录。 如果您已添加记录,则在设置域的同时 Microsoft 365 ,您就已全部设置完毕。 添加记录后, Microsoft 365 组织中使用使用您的自定义域的电子邮件地址登录到其 Windows 设备的用户将被重定向为 " Microsoft 365 商业标准版的移动设备管理 注册"。

需要有关设置记录的帮助吗? 在任何 dns 托管提供商处的 Microsoft 365 的 "创建 dns 记录" 中提供的列表中找到您的域注册机构,然后选择注册机构名称以转到创建 dns 记录的分步帮助。 使用这些说明添加下面的两条记录:

主机名

记录类型

地址

TTL

EnterpriseEnrollment

CNAME

EnterpriseEnrollment.manage.microsoft.com

3600

EnterpriseRegistration

CNAME

EnterpriseRegistration.windows.net

3600

添加这两条记录后,返回到 安全与合规中心 并导航到 "设备管理" > "管理设置" 以完成下一步。

步骤2:(必需)为 iOS 设备配置 APNs 证书

若要管理 iPad 和 Iphone 之类的 iOS 设备,你需要创建 APNs 证书。

  1. 使用全局管理员帐户登录 Microsoft 365。

  2. 在浏览器类型中:https://protection.office.com

  3. 选择“数据丢失防护”>“数据管理”,然后选择“适合 iOS 设备的 APN 证书”。

  4. 在“Apple 推送通知证书设置”页面上,选择“下一步”。

  5. 选择“下载 CSR 文件”,将证书签名请求保存到计算机上你能记住的某个位置。 选择“下一步”。

  6. 在“创建 APNs 证书“页面上:

    • 选择“Apple APNS 门户”打开 Apple 推送证书门户。

    • 使用 Apple ID 登录。

      重要: 请使用与电子邮件帐户相关联的公司 Apple ID,即使管理该帐户的用户离去,此 ID 仍保留在你的组织内。 请保存此 ID,因为在续订证书时,你需要使用相同的 ID。

    • 选择“创建证书”并接受“使用条款”。

    • 浏览找到你从 Microsoft 365 下载到计算机上的证书签名请求,然后选择“上传”。

    • 将 Apple 推送证书门户创建的 APN 证书下载到计算机。

      提示: 如果下载证书时遇到问题,请刷新浏览器。

  7. 返回到 Microsoft 365 并选择“下一步”以转到“上载 APNS 证书”页面。

  8. 浏览找到您从 Apple 推送证书门户下载的 APN 证书。

  9. 选择“完成”。

添加 APN 证书后,返回并导航到 "管理组织范围内的设备访问设置" 以完成下一步。

步骤3:(推荐)设置多重身份验证

如果在 "推荐的步骤" 下看不到多重身份验证(MFA),可以跳过本部分。 如果列出了此选项,建议您在 Azure AD 门户中打开 MFA 以提高“Microsoft 365 商业标准版的移动设备管理”注册过程的安全性。 默认情况下此选项已关闭。

通过要求第二种形式的身份验证,MFA 有助于保护登录到 Microsoft 365 进行移动设备注册。 将要求用户在正确输入工作帐户密码之后,在自己的移动设备上确认电话、短消息或应用通知。 完成辅助身份验证之后,只能注册自己的设备。 用户的设备注册 Microsoft 365 商业标准版的移动设备管理 后,用户只需使用其工作帐户即可访问 Microsoft 365 资源。

选择“设置多重身份验证”旁边的“设置”。 若要了解如何在 Azure AD 门户中启用 MFA,请参阅设置多重身份验证

设置 MFA 之后,返回到 安全与合规中心 并导航到 "设备管理" > "管理设置" 以完成下一步。

步骤4:(推荐)管理设备安全策略

下一步是创建和部署设备安全策略,以帮助保护 Microsoft 365 组织的数据。 例如,如果用户通过创建策略以在5分钟不活动后锁定设备,并且在3次登录失败后擦除了设备,则可以帮助防止数据丢失。

  1. 使用全局管理员帐户登录 Microsoft 365。

  2. 单击此链接:激活移动设备管理。 如果服务已激活,您将看到 "管理设备" 的链接,而不是激活步骤。

  3. 转到 "设备策略",然后选择 "管理组织范围的设备访问设置"。

    添加设备安全策略

有关如何创建新策略的分步说明,请参阅创建和部署设备安全策略

提示: 

  • 创建新策略时,建议您设置策略,以便支持访问以及报告用户设备不符合该策略的策略违反。 这使你可以查看受策略影响的移动设备数,而不阻止对 Microsoft 365 的访问。

  • 在你向组织中的每个人部署新策略之前,建议你在少量用户使用的设备上测试该策略。

  • 此外,在部署策略之前,让你的组织知道在 Microsoft 365 商业标准版的移动设备管理 中注册设备的潜在影响。 根据你设置策略的方式,不符合它们的设备(不兼容的设备)可能会被阻止访问 Microsoft 365 。 不兼容的设备也可能还具有已注册设备上安装的应用、照片和其他个人信息,如果擦除设备,该信息可能会被删除。 详细信息:在 Microsoft 365 中擦除移动设备

确保用户注册其设备

创建并部署移动设备管理策略之后,你的组织中的每个授权 Microsoft 365 用户在下次从其移动设备登录 Microsoft 365 时,都将收到注册消息。 他们必须先完成注册和激活步骤,然后才能访问 Microsoft 365 电子邮件和文档。 请参阅在移动设备上注册工作或学校帐户

重要: 如果注册过程不支持用户的首选语言,用户可能会在其移动设备上收到其他语言的注册通知和步骤。 移动设备上的注册过程目前不支持 Microsoft 365 中所支持的所有语言。

Android 或 iOS 设备用户需要在注册过程中安装公司门户应用。

相关主题

移动设备管理
的功能创建和部署设备安全策略

注意:  本页面是自动翻译的,可能包含语法错误或不准确之处。 我们的目的是使此内容能对你有所帮助。 能否告知我们此信息是否有所帮助? 下面是该参考内容的英文版

扩展你的 Office 技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×