Microsoft 365 商业版中的保护功能如何映射到 Intune 设置

Android 和 iOS 应用程序保护设置

下表详细介绍了 Android 和 iOS 应用程序策略设置如何映射到 Intune 设置。

使用 Microsoft 365 商业版管理员凭据进行登录时,若要查找 Intune 设置,请转到 Azure 门户,然后选择“更多服务”,并在“筛选器”中键入 Intune,选择“Intune 应用保护”>“应用策略”。

重要提示:Microsoft 365 商业版订阅向你提供许可证,仅用于修改映射到 Microsoft 365 商业版中设置的 Intune 设置。

单击要选择的策略名称,如 Android 的应用程序策略,然后选择“策略设置”。

在“设备丢失或被盗时保护工作文件”下

Android 或 iOS 应用程序策略设置

Intune 设置

在以下时间后,从非活动设备删除工作文件

擦除应用数据之前的脱机时间间隔(天)

强制用户将工作文件保存到 OneDrive for Business

请注意,仅允许 OneDrive for Business

选择企业数据可保存到其中的存储服务

在“管理用户在移动设备上访问 Office 文件的方式”下

Android 或 iOS 应用程序策略设置

Intune 设置

在以下时间后,从非活动设备删除工作文件

擦除应用数据之前的脱机时间间隔(天)

强制用户将工作文件保存到 OneDrive for Business

请注意,仅允许 OneDrive for Business

选择企业数据可保存到其中的存储服务

对工作文件进行加密

对应用数据进行加密

在“管理用户在移动设备上访问 Office 文件的方式”下

需要 PIN 或指纹才能访问 Office 应用

需要 PIN 才能访问

这还进行以下设置:

  • 将“允许简单的 PIN”设置为“

  • 将“PIN 长度”设置为 4

  • 将“允许使用指纹而不允许使用 PIN”设置为“

  • 将“管理设备 PIN 时禁用应用 PIN”设置为“

登录失败以下次数后重置 PIN(如不需要 PIN,则禁用)

PIN 重置之前的尝试次数

要求用户在 Office 应用空闲以下时间后重新登录(如不需要 PIN,则禁用)

在以下时间后重新检查访问要求(分钟)

这还进行以下设置:

  • 将“超时”设置为几分钟

    这与在 Microsoft 365 商业版中设置的分钟数相同。

  • 将默认“脱机宽限期”设置为 720 分钟

在已越狱或取得 root 权限的设备上拒绝对工作文件的访问

阻止托管的应用在已越狱或取得 root 权限的设备上运行

允许用户从 Office 应用将内容复制到个人应用

限制使用其他应用进行剪切、复制和粘贴操作

如果 Microsoft 365 商业版选项设置为“”,则在 Intune 中这三个选项还会设置为“所有应用”:

  • 允许应用将数据传输到其他应用

  • 允许应用从其他应用接收数据

  • 限制使用其他应用进行剪切、复制和粘贴操作

如果 Microsoft 365 商业版选项设置为“”,则所有 Intune 选项均设置为:

  • 允许应用将数据传输到其他应用”设置为“策略托管的应用

  • 允许应用从其他应用接收数据”设置为“所有应用

  • 限制使用其他应用进行剪切、复制和粘贴操作”设置为“带粘贴的策略托管应用

Windows 10 应用保护设置

下表详细介绍了 Windows 10 应用程序策略设置如何映射到 Intune 设置。

使用 Microsoft 365 商业版管理员凭据进行登录时,若要查找 Intune 设置,请转到 Azure 门户,然后选择“更多服务”,并在“筛选器”中键入 Intune,选择“Intune 应用保护”>“应用策略”。

重要提示:Microsoft 365 商业版订阅向你提供许可证,仅用于修改映射到 Microsoft 365 商业版中设置的 Intune 设置。

单击要选择的策略名称,然后从左导航窗格选择“常规”、“分配”、“允许的应用”、“豁免应用”、“必需设置”或“高级设置”,并探索可用的设置。

Windows 10 应用程序策略设置

Intune 设置

对工作文件进行加密

高级设置”>“数据保护”:“取消注册时撤销加密密钥”和“撤销对注册到 MDM 的受保护数据设备的访问”均设置为“”。

阻止用户将公司数据复制到个人文件,并强制其将工作文件保存到 OneDrive for Business

必需​​设置”>“Windows 信息保护模式”。Microsoft 365 商业版中的“”映射到:“隐藏覆盖”,Microsoft 365 商业版中的“”映射到:“”。

Office 文档访问控制

如果此项在 Microsoft 365 商业版中设置为“”,则

高级设置”>“访问”、“使用 Windows Hello 企业版作为登录 Windows 的方法”设置为“”,并进行以下设置:

  • 将“设置 PIN 所需的最少字符数”设置为“4”。

  • 将“在 Windows Hello 企业版 PIN 中配置大写字母的使用”设置为“不允许对 PIN 使用大写字母”。

  • 将“在 Windows Hello 企业版 PIN 中配置小写字母的使用”设置为“不允许对 PIN 使用小写字母”。

  • 将“在 Windows Hello 企业版 PIN 中配置特殊字符的使用”设置为“不允许对 PIN 使用特殊字符”。

  • 将“指定在系统要求用户更改 PIN 之前可以使用 PIN 的时间段(以天为单位)”设置为“0”。

  • 将“指定可以与无法重复使用的用户帐户相关联的之前的 PIN 数”设置为“0”。

  • 将“擦除设备前允许身份验证失败的次数”设置为与 Microsoft 365 商业版中相同的次数(默认为 5)。

  • 将“设备空闲后,导致设备锁定 PIN 或密码前允许的最长时间(以分钟为单位)”设置为与 Microsoft 365 商业版中相同的时间。

启用受保护数据的恢复

高级设置”>“数据保护”:“显示企业数据保护图标”和“使用 Azure RMS for WIP”均设置为“”。

保护其他公司云位置

高级设置”>“受保护的域”和“云资源”显示域和 SharePoint 网站。

这些应用所用的文件受到保护

受保护的应用列表在“允许的应用”中列出。

Windows 10 设备保护设置

下表详细介绍了 Windows 10 设备配置设置如何映射到 Intune 设置。

使用 Microsoft 365 商业版管理员凭据进行登录时,若要查找 Intune 设置,请转到 Azure 门户,然后选择“更多服务”,并在“筛选器”中键入 Intune,选择“Intune”>“设备配置”>“配置文件”。然后选择“Windows 10 的设备策略”>“属性”>“设置”。

Windows 10 设备策略设置

Intune 设置

使用 Windows Defender 防病毒软件帮助保护电脑免遭病毒和其他威胁

允许实时监视 = 开 

允许云保护 = 开

提示用户提交示例 = 自动发送安全示例(默认非 PII 自动提交)

帮助保护电脑免遭 Microsoft Edge 中基于 Web 的威胁

Microsoft Edge 浏览器设置”中的“Microsoft SmartScreen”设置为“必需”。

在闲置此时长后关闭设备屏幕(分钟)

幕锁定前的最大非活动分钟数

允许用户从 Microsoft Store 下载应用

自定义 URI 策略

允许用户访问 Cortana

如果在 Microsoft 365 商业版中“常规”>“Cortana”设置为“”,则在 Intune 中设置为“阻止”。

允许用户接收来自 Microsoft 的 Windows 提示和广告

Windows 聚焦”,如果此项在 Microsoft 365 商业版中设置为“”,则阻止全部。

让 Windows 10 设备自动保持最新状态

此设置位于“Microsoft Intune”>“服务更新 - Windows 10 更新环”,选择“更新 Windows 10 设备的策略”,然后选择“属性”>“设置”。

如果Microsoft 365 商业版设置设为“”,则进行以下设置:

  • 将“服务分支”设置为“CB”(如果在 Microsoft 365 商业版中为关闭状态,则为 CBB)。

  • Microsoft 产品更新”设置为“允许”。

  • 将“Windows 驱动程序”设置为“允许”。

  • 将“自动更新行为”设置为“维护时自动安装”,其中:

    • 开始时间”设置为“上午 6 点”。

    • 活动结束时间”设置为“晚上 10 点”。

  • 质量更新延迟期(天)”设置为”0”。

  • 功能更新延迟期(天)”设置为”0”。

  • 交付优化下载模式”设置为“与相同 NAT 后面的对等互连混合的 HTTP”。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×