建立及部署裝置安全性原則

您可以使用 適用於 Office 365 的行動裝置管理 來建立裝置原則,協助保護貴組織在 Office 365 免遭未授權存取的資訊。 您可以將原則套用到貴組織中的任何行動裝置,裝置的使用者都有適用的 Office 365 授權,且已在 MDM for Office 365中註冊裝置。

本文內容:

開始之前

  • 瞭解 MDM for Office 365 支援的裝置、行動裝置應用程式及安全性設定。 請參閱適用于 Office 365 的行動裝置管理功能

  • 建立安全性群組,包括您想要部署原則的 Office 365 使用者,以及您可能想要排除其無法存取 Office 365的使用者。 我們建議您將新原則部署到貴組織之前,請先將原則部署到少數使用者,以測試該原則。 您可以建立並使用安全性群組,其中只包含您自己或可為您測試原則的小型 Office 365 使用者。 若要進一步瞭解安全性群組,請參閱建立、編輯或刪除安全性群組

  • 重要: 在您可以建立行動裝置原則之前,您必須啟動並設定 MDM for Office 365。 請參閱Office 365 行動裝置管理的概覽

  • 若要在 Office 365中建立及部署行動裝置管理原則,您必須是 Office 365 全域系統管理員。 請參閱Office 365 安全 & 合規性系統管理中心中的許可權

  • 在您部署原則之前,請讓您的組織知道在 MDM for Office 365中註冊裝置可能會造成的影響。 視原則的設定方式而定,不相容的裝置可能會封鎖存取 Office 365 和資料,包括已註冊裝置上已安裝的應用程式、相片及個人資訊,也可以刪除。

附註: MDM for Office 365 中建立的原則和存取規則將覆寫 Exchange 系統管理中心中建立的 Exchange ActiveSync 行動裝置信箱原則和裝置存取規則。 在 MDM for Office 365 註冊裝置之後,將會忽略任何套用到裝置的 Exchange ActiveSync 行動裝置信箱原則或裝置存取規則。 若要深入了解 Exchange ActiveSync,請參閱 Exchange Online 中的 Exchange ActiveSync

步驟1:建立裝置原則並部署到測試群組

在您開始之前,請確定您已啟用並設定 MDM for Office 365。 如需相關指示,請參閱Office 365 行動裝置管理的概覽

  1. 使用您的全域系統管理員帳戶登入 Office 365。

  2. 從您的瀏覽器類型: HTTPs://protection.office.com

  3. 移至 [資料遺失防護] >裝置原則,然後選取 [建立原則]。

    新增裝置安全性原則
  4. 在 [原則設定] 頁面上,指定您要套用至組織中行動裝置的需求。

    1. 需要管理電子郵件設定檔:啟用時,沒有由 Office 365 MDM 管理的電子郵件設定檔的裝置會被視為不相容。 裝置無法正確設定目標,或使用者已在裝置上手動設定電子郵件帳戶時,無法使用受管理的電子郵件設定檔。 如果您將它保持不啟用(預設),則不會針對合規性或非合規性評估此設定。 在選取此選項時,請參閱現有的公司電子郵件帳戶,以取得使用者可以符合規範的指示。

  5. 在 [您想要立即套用此原則嗎?] 中,選擇您要套用此原則的群組。

  6. 完成後,請選取 [建立此原則]。

原則適用的每個使用者,下次使用行動裝置登入 Office 365 時,就會將原則推送到他們的裝置。 如果使用者之前未曾將原則套用到其行動裝置,則在您部署原則之後,他們會在其裝置上收到一則通知,其中包含註冊和啟動 Office 365 的 MDM 的步驟。 在客戶完成註冊至由 Intune 服務託管的 Office 365 MDM 之前,將會限制存取電子郵件、OneDrive 及其他服務。 使用 Intune 公司入口網站應用程式完成登記之後,他們就可以使用服務,而原則則會套用到裝置上。

步驟2:驗證您的原則是否正常運作

在您建立裝置原則之後,您應該先檢查原則是否按照預期的方式運作,然後再將它部署到您的組織。

  1. 使用您的全域系統管理員帳戶登入 Office 365。

  2. 從您的瀏覽器類型: HTTPs://protection.office.com

  3. 移至 [資料遺失防護] >裝置管理] >查看受管理的裝置清單

  4. 檢查已套用原則的使用者裝置狀態。 您想要管理裝置狀態

  5. 您也可以在選取裝置後,按一下 [出廠重設] 或 [從管理移除公司資料] 按鈕,在裝置上進行完全或選擇性擦除。 如需相關指示,請參閱在 Office 365 中擦除行動裝置

步驟3:將原則部署到您的組織

在您建立裝置原則並確認它如期運作之後,請將它部署到您的組織。

  1. 使用您的全域系統管理員帳戶登入 Office 365。

  2. 從您的瀏覽器類型: HTTPs://protection.office.com

  3. 選取您要部署的原則,然後選擇 [已套用的群組] 旁的 [編輯]。

  4. 搜尋要新增的群組,然後按一下 [選取]。

  5. 按一下 [變更設定] 上的 [關閉]。

  6. 按一下 [編輯原則] 上的 [關閉]。

原則適用的每個使用者,都會在他們下次從行動裝置登入 Office 365 時,將原則推送到他們的裝置。 如果使用者沒有將原則套用到其行動裝置,他們會在裝置上收到通知,並提供在 MDM for Office 365上註冊及啟用的步驟。 完成登記之後,原則就會套用到其裝置。

步驟4:封鎖不受支援裝置的電子郵件存取權

若要協助保護貴組織的資訊,您應該封鎖對 MDM for Office 365不支援之行動裝置的 app 存取 Office 365 電子郵件。 如需支援的裝置清單,請參閱支援的裝置。 方法如下:

  1. 使用您的全域系統管理員帳戶登入 Office 365。

  2. 從您的瀏覽器類型: HTTPs://protection.office.com

  3. 移至 [資料遺失防護] >裝置原則,並選取 [裝置原則] >管理組織範圍的裝置存取設定

  4. 若要封鎖不支援的裝置,請選擇 [如果 MDM for Office 365 不支援此裝置] 下的 [封鎖],您想要允許或封鎖它使用 Exchange 帳戶來存取貴組織的電子郵件> [儲存]。

    移至 [規範中心] > 裝置安全性原則]> 管理組織範圍的裝置存取設定 > 封鎖]。

步驟5:選擇要從條件式存取檢查中排除的安全性群組

如果您想要將某些人排除在其行動裝置上的條件式存取檢查,且您已為這些人員建立一個或多個安全性群組,請在這裡新增安全性群組。 這些群組中的人員將不會針對其支援的行動裝置強制執行任何原則。 如果您不想再使用貴組織中的 Office 365 MDM,建議您選擇此選項。

  1. 使用您的全域系統管理員帳戶登入 Office 365。

  2. 按一下此連結:啟用行動裝置管理

  3. 移至 [資料遺失防護] >裝置原則,然後選取 [管理全組織的裝置存取設定]。

    新增裝置安全性原則
  4. 選取 [新增] 以新增您想要排除其使用者不受封鎖存取權 Office 365的安全性群組。 當使用者已新增至此清單時,他們將能夠在使用不受支援的裝置時存取 Office 365 電子郵件。

  5. 在 [選取群組] 面板中,選取您要使用的安全性群組。

  6. 選取名稱,然後按一下 [新增>儲存]。

  7. 在 [組織範圍的裝置存取設定] 面板上,選擇 [儲存]。

    在組織範圍的 [裝置存取設定] 上,選擇 [排除在存取控制之外的群組]。

安全性原則對不同裝置類型有何影響?

當您將原則套用到使用者裝置時,每個裝置上的影響會在不同的裝置類型之間有所不同。 請參閱下表,以取得不同裝置上的原則影響範例。

安全性原則

Windows Phone 8.1 以上版本

Android 4+

Samsung Knox

IOS 6 +

附註

需要加密備份

需要 IOS 加密備份。

封鎖雲端備份

在 iOS 上封鎖 Google 備份(灰色),在 iOS 上進行雲端備份。

封鎖檔同步處理

iOS:封鎖雲端中的檔。

封鎖相片同步處理

iOS (原生):封鎖相片串流。

封鎖螢幕捕獲

X

在嘗試時封鎖。

封鎖視訊會議

FaceTime 在 iOS 上封鎖,而不是 Skype 或其他人。

封鎖傳送診斷資料

X

封鎖在 Android 上傳送 Google 損毀報告。

封鎖 app store 的存取權

X

Android 首頁上的 [App store] 圖示遺失,在 Windows 上停用,在 iOS 上遺失。

App store 需要密碼

iOS: iTunes 購買所需的密碼。

封鎖與卸除式存放裝置的連線

X

NA

Android: SD 記憶卡將在 [設定] 中呈現灰色,Windows 會通知使用者,但無法使用已安裝的應用程式

封鎖藍牙連線

***

***

我們無法停用藍牙做為 Android 上的設定。 相反地,我們會停用所有需要藍牙的交易: [高級音訊發佈]、[音訊/視頻遙控]、[免操作裝置]、[耳機]、[電話簿存取] 和 [序列埠]。 當您使用其中任何一項時,會出現一則小的快顯訊息。

當您刪除原則或從原則移除使用者時,會發生什麼情況?

當您刪除原則或從部署策略的群組中移除使用者時,原則設定、 Office 365 電子郵件設定檔和快取的電子郵件,都可能會從使用者的裝置中移除。 請參閱下表,查看不同裝置類型移除的內容:

移除的專案

Windows Phone 8.1 以上版本

iOS 6 +

Android 4 + (包括 Samsung Knox)

受管理的電子郵件設定檔 *

原則設定


除了封鎖從裝置傳送診斷資料以外。

附註: * 如果已在已選取 [管理電子郵件設定檔] 的情況下部署原則,則該設定檔中的受管理電子郵件設定檔和快取電子郵件將會從使用者的裝置上刪除。

已套用之原則的每個使用者,下次其行動裝置會以 MDM for Office 365 簽入時,就會從裝置中移除原則。 如果您部署的新原則會套用至這些使用者的裝置,系統會提示您重新註冊 MDM for Office 365。

您也可以將裝置完全移除,或選擇性地拭由裝置中的組織資訊。

相關主題


365 office 365 行動裝置管理功能的行動裝置管理的概覽

附註:  本頁面是經由自動翻譯而成,因此文中可能有文法錯誤或不準確之處。 讓這些內容對您有所幫助是我們的目的。 告訴我們這項資訊是否有幫助? 這裡是供您參考的英文文章

增進您的 Office 技巧
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與我們的其中一個 Office 支援專員連絡以深入了解您的意見。

×