建立及部署裝置安全性原則

重要:  本文係由機器翻譯而成,請參閱免責聲明。本文的英文版本請見這裡,以供參考。



您可以使用Office 365 的行動裝置管理建立安全性原則,協助防止未經授權存取Office 365貴組織的資訊。您可以套用至任何行動裝置的原則,組織裝置的使用者具有適用Office 365授權及已註冊的裝置中MDM for Office 365的位置。

本主題內容

開始之前

  • 若要建立並部署Office 365在行動裝置管理原則,您必須Office 365全域管理員]。請參閱在 Office 365 的安全性與規範中心的權限

  • 您可以建立行動裝置的原則之前,您必須啟動,並設定MDM for Office 365。請參閱Office 365 的行動裝置管理概觀

  • 深入了解裝置、 行動裝置的應用程式,以及安全性設定的MDM for Office 365支援。請參閱Office 365 的行動裝置管理的功能

  • 建立包含您想要部署原則的Office 365使用者的安全性群組,而且使用者您可能會想要排除的封鎖Office 365存取。我們建議您在您的組織部署新原則之前,您測試原則,將其部署到少數使用者。您可以建立及使用包含只自己或小型的、 數字的可以測試原則,為您的 Office 365 使用者的安全性群組。若要進一步瞭解安全性群組,請參閱建立、 編輯或刪除安全性群組

  • 部署原則之前,請讓組織了解在 MDM for Office 365 中註冊裝置的潛在影響。根據您設定原則的方式,不相容的裝置可能會遭封鎖而無法存取 Office 365,且資料 (包括註冊的裝置上已安裝的應用程式、相片及個人資訊) 可能會被刪除。

附註: MDM for Office 365 中建立的原則和存取規則將覆寫 Exchange 系統管理中心中建立的 Exchange ActiveSync 行動裝置信箱原則和裝置存取規則。在 MDM for Office 365 註冊裝置之後,系統會忽略任何套用至裝置的 Exchange ActiveSync 行動裝置信箱原則或裝置存取規則。若要深入了解 Exchange ActiveSync,請參閱 Exchange Online 中的 Exchange ActiveSync

步驟 1:建立安全性原則並部署至測試群組

  1. 在Office 365,移至 [ 安全性與合規性中心 >安全性原則>裝置安全性原則

  2. 選取 [加入 [新增] 圖示 ]。

  3. 輸入新原則的 [名稱][描述],然後選取 [下一步]

  4. 選取您要對組織中的行動裝置套用的需求。

  5. 選擇要允許裝置存取 Office 365 並回報違規,或封鎖裝置並回報違規。然後,選取 [下一步]

    選取是否要封鎖存取或允許存取但回報違規。
  6. 選取任何其他要套用至行動裝置的組態,然後選取 [下一步]

  7. 選取 [套用至一或多個安全性群組]

  8. 選取 [加入 [新增] 圖示 ]。

  9. 在部署至組織之前,選取將測試原則的成員所屬的安全性群組名稱。在您輸入安全性群組名稱或部分名稱,然後按一下 [搜尋] 圖示之前,清單會是空白的。或輸入 *,然後按一下搜尋圖示,以查看所有群組的清單。

    輸入安全性群組名稱與搜尋。
  10. 選取名稱,然後選取 [新增]

  11. 選取 [確定],然後選取 [下一步]

  12. 檢閱並確認新裝置原則的詳細資訊,然後選取 [完成]

原則會套用至每個使用者,將會放入他們的裝置在下次登入時Office 365從行動裝置。如果使用者未套用至之前行動裝置的原則,然後部署原則之後, 他們會收到通知,其中包含註冊及啟動 Office 365 的 MDM 步驟裝置上。等到完成註冊之後, 存取電子郵件、 OneDrive 和其他服務將會限制。完成註冊使用 Intune 公司入口網站應用程式之後,能夠使用的服務,然後原則會套用到他們的裝置。

步驟 2:確認原則的運作符合預期

建立安全性原則之後,您應先確認原則的運作符合您的預期,再將其部署至您的組織。

  1. 在Office 365,移至 [ 安全性與合規性中心 >報表>裝置相容性報告

  2. 檢查已套用原則的使用者裝置處於何種狀態。您可以依 [狀態] 進行篩選或排序,以檢視針對 Office 365 處於 [回報違規][封鎖存取] 狀態的一或多個 [相容] 裝置。

  3. 選取裝置以查看其套用的原則。

  4. 如果需要變更原則,請執行下列動作:

    1. 選取 [安全性原則>裝置安全性原則

    2. 選取原則,然後按一下 [編輯] [編輯] 圖示

    3. 變更您的原則,然後選取 [儲存]

在測試原則後,如果您可以接受裝置相容報告的結果,即可將其套用至您的組織。

步驟 3:將原則部署到您的組織

在您建立行動裝置原則並確認其運作符合預期後,請將其部署至您的組織。

  1. 在Office 365,移至 [ 安全性與合規性中心 >安全性原則>裝置安全性原則

  2. 選取您想要部署的原則,然後選取 [編輯 [編輯] 圖示

  3. 選取 [部署] 索引標籤。

  4. 選取 [套用至一或多個安全性群組]。

  5. 選取 [新增至您的組織,更廣泛部署原則 [新增] 圖示 ]。

  6. 輸入安全性群組名稱。

  7. 選取名稱,然後選取 [新增]

  8. 選取 [確定],然後選取 [儲存]

原則會套用至每個使用者,將會放入他們的裝置在下次登入時Office 365從行動裝置。如果使用者未套用至行動裝置的原則,他們會收到通知他們的裝置上註冊,並啟動MDM for Office 365的步驟。完成註冊後,原則會套用至其裝置。

步驟 4:對不支援的裝置封鎖 Exchange ActiveSync 電子郵件存取

為了保護組織的資訊,您應該針對 MDM for Office 365 不支援的行動裝置,封鎖其 Office 365 電子郵件的 Exchange ActiveSync 應用程式存取。若要執行這個動作:

  1. 在安全性與合規性中心中,移至 [裝置]。

  2. 選取 [管理裝置存取設定]。

    移至 [規範中心] > [裝置],然後按一下 [管理裝置存取設定] 連結。
  3. 選取 [封鎖]。

    封鎖不支援的裝置。
  4. 選取 [儲存]。

若想了解 MDM for Office 365 支援哪些裝置,請參閱Capabilities of Mobile Device Management for Office 365

步驟 5:選擇不要進行條件存取檢查的安全性群組

如果您不想某些人在他們的行動裝置上進行條件存取檢查,且您已經針對這些人建立一或多個安全性群組,請在此新增安全性群組。系統不會針對這些群組中的人,強制在他們支援的行動裝置上執行任何原則。

  1. 移至 [ 安全性與合規性中心>安全性原則>裝置安全性原則

  2. 選取 [管理整個組織的裝置存取設定]。

    移至 [規範中心] > [裝置],然後按一下 [管理裝置存取設定] 連結。
  3. 選取 [新增] [新增] 圖示 新增安全性群組內擁有您要允許存取 Office 365 的使用者。將使用者新增至此清單後,他們就能在使用不受支援的裝置時存取 Office 365 電子郵件。

    附註: 您新增的所有安全性群組成員也可在使用不相容的裝置時,允許存取 Office 365。

    封鎖不支援的裝置。
  4. 輸入安全性群組。

  5. 選取名稱,然後選取 [新增]

  6. 選取 [確定],然後選取 [儲存]

安全性原則對於不同的裝置類型有何影響?

當您將原則套用至使用者裝置時,每個裝置所受到的影響會隨著裝置類型而有所不同。請參閱下表中的範例,瞭解原則對於不同裝置的影響。

安全性原則

Windows Phone 8.1 以上版本

Android 4+

針對 Samsung Knox

IOS 6+

附註

需要加密備份

需要 IOS 加密備份。

封鎖雲端備份

封鎖 Android 上的 Google 備份 (呈現灰色)、iOS 上的雲端備份。

封鎖文件同步處理

iOS:封鎖雲端中的文件。

封鎖相片同步處理

iOS (原生):封鎖相片串流。

封鎖螢幕擷取畫面

X

在嘗試時遭封鎖。

封鎖視訊會議

FaceTime 在 iOS 上遭封鎖,Skype 或其他項目則否。

封鎖診斷資料的傳送

X

在 Android 上封鎖 Google 當機報告的傳送。

封鎖對應用程式市集的存取

X

應用程式市集圖示未出現在 Android 首頁上、在 Windows 上停用、在 iOS 上未顯示。

應用程式市集需要密碼

iOS:ITunes 購物需要密碼。

封鎖卸除式存放裝置的連線

X

NA

Android:SD 記憶卡在 [設定] 中會呈現為灰色,Windows 會通知使用者該處安裝的應用程式無法使用

封鎖藍芽連線

***

***

***我們無法在 Android 上將 BlueTooth 設定為停用。我們反而會停用所有需要 BlueTooth 的交易:進階播音、音訊/視訊遠端控制、免持裝置、耳機、電話簿存取及序列埠。使用上述任一項時,頁面底部會出現小型快顯通知訊息。

當您刪除原則或從原則中移除使用者時,會發生什麼情況?

當您刪除原則,或移除的群組的原則已部署至原則設定Office 365電子郵件設定檔] 和 [快取電子郵件中的使用者可能會從使用者的裝置。請參閱下表,請參閱針對不同的裝置類型移除的功能:

移除的項目

Windows Phone 8.1 以上版本

iOS 6+

Android 4 + (包括 Samsung Knox)

受管理的電子郵件設定檔 *

原則設定


除了從裝置傳送診斷資料區塊。

附註: * 如果已選取選項 [受管理的電子郵件設定檔] 而部署原則,則會從使用者的裝置中刪除受管理的電子郵件設定檔和快取的電子郵件。

已移除的原則套用至每個使用者,將會移除其裝置的下次檢查MDM for Office 365用的行動裝置。如果部署新原則套用至這些使用者的裝置,系統會提示您MDM for Office 365重新加入。

您也可以抹除裝置,請完全,或者選擇性抹除裝置的組織資訊。

相關主題

Office 365 的行動裝置管理概觀
的 Office 365 的行動裝置管理功能

附註: 機器翻譯免責聲明︰本文係以電腦系統翻譯而成,未經人為介入。Microsoft 提供此等機器翻譯旨在協助非英語系使用者輕鬆閱讀 Microsoft 產品、服務及技術相關內容。基於本文乃由機器翻譯而成,因此文中可能出現詞辭、語法、文法上之錯誤。

擴展您的技能
探索訓練
優先取得新功能
加入 Office 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

感謝您的意見反應! 我們將協助您與其中一位 Office 支援專員連絡以深入了解您的意見。

×