Create zásad zabezpečení zařízení v Základní mobilita a zabezpečení
Pomocí Základní mobilita a zabezpečení můžete vytvořit zásady pro zařízení, které pomáhají chránit informace vaší organizace v Microsoftu 365 před neoprávněným přístupem. Zásady můžete použít na libovolné mobilní zařízení ve vaší organizaci, kde má uživatel příslušné licence Microsoftu 365 a zaregistroval zařízení v Základní mobilita a zabezpečení.
Než začnete
Důležité
Než budete moct vytvořit zásadu pro mobilní zařízení, musíte aktivovat a nastavit Základní mobilita a zabezpečení. Další informace najdete v tématu Přehled Základní mobilita a zabezpečení pro Microsoft 365.
- Přečtěte si o zařízeních, aplikacích pro mobilní zařízení a nastaveních zabezpečení, která Základní mobilita a zabezpečení podporují. Viz Možnosti Základní mobilita a zabezpečení.
- Create skupiny zabezpečení, které zahrnují uživatele Microsoftu 365, pro které chcete zásady nasadit, a pro uživatele, které byste mohli chtít vyloučit z blokování přístupu k Microsoftu 365. Doporučujeme, abyste před nasazením nové zásady do vaší organizace tuto zásadu otestovali tak, že ji nasadíte malému počtu uživatelů. Můžete vytvořit a používat skupinu zabezpečení, která zahrnuje jenom vás nebo malý počet uživatelů Microsoftu 365, kteří za vás můžou zásady otestovat. Další informace o skupinách zabezpečení najdete v tématu Create, úprava nebo odstranění skupiny zabezpečení.
- Pokud chcete v Microsoftu 365 vytvářet a nasazovat zásady Základní mobilita a zabezpečení, musíte být globálním správcem Microsoftu 365. Další informace najdete v tématu Role a skupiny rolí v Microsoft Defender a dodržování předpisů Microsoft Purview.
- Před nasazením zásad informujte organizaci o potenciálních dopadech registrace zařízení v Základní mobilita a zabezpečení. V závislosti na tom, jak zásady nastavíte, můžete zařízením nesplňujících předpisy zablokovat přístup k Microsoftu 365 a data, včetně nainstalovaných aplikací, fotek a osobních údajů na zaregistrovaných zařízeních, a data se můžou odstranit.
Poznámka
Zásady a pravidla přístupu vytvořená v Základní mobilita a zabezpečení pro Microsoft 365 Business Standard přepisují zásady protokol Exchange ActiveSync poštovní schránky mobilních zařízení a pravidla přístupu zařízení vytvořená v Centru pro správu Exchange. Jakmile je zařízení zaregistrované v Základní mobilita a zabezpečení pro Microsoft 365 Business Standard, všechny zásady protokol Exchange ActiveSync poštovní schránky mobilního zařízení nebo pravidlo přístupu k zařízení použité na zařízení se ignorují. Další informace o protokol Exchange ActiveSync najdete v tématu protokol Exchange ActiveSync v Exchange Online.
Krok 1: Create zásad zařízení a nasazení do testovací skupiny
Než začnete, ujistěte se, že jste aktivovali a nastavili Základní mobilita a zabezpečení. Pokyny najdete v tématu Přehled Základní mobilita a zabezpečení.
V prohlížeči přejděte na https://compliance.microsoft.com/basicmobilityandsecurity.
Na kartě Zásady vyberte Create.
Na stránce Název zásady přidejte a název a popis a vyberte Další.
Na stránce Požadavky na přístup zadejte požadavky, které chcete použít pro mobilní zařízení ve vaší organizaci, a vyberte Další.
Na stránce Konfigurace vyberte požadavky na konfiguraci pro vaši organizaci a vyberte Další.
Na stránce Nasazení zvolte skupinu zabezpečení, na kterou chcete tuto zásadu použít.
Na stránce Revize ověřte vybrané možnosti a zvolte Odeslat.
Zásady se nasdílí do zařízení každého uživatele a platí pro další přihlášení k Microsoftu 365 pomocí svého mobilního zařízení. Pokud uživatelé ještě zásady na mobilní zařízení nepoužili, po nasazení zásady se jim na zařízení zobrazí oznámení, které obsahuje postup registrace a aktivace Základní mobilita a zabezpečení. Další informace najdete v tématu Registrace mobilního zařízení pomocí Základní mobilita a zabezpečení. Až do dokončení registrace v Základní mobilita a zabezpečení hostovaných službou Intune Service je přístup k e-mailu, OneDrivu a dalším službám omezený. Po dokončení registrace pomocí aplikace Portál společnosti Intune můžou tyto služby používat a zásady se použijí na jejich zařízení.
Krok 2: Ověření, že vaše zásady fungují
Po vytvoření zásady pro zařízení zkontrolujte, jestli tato zásada funguje podle očekávání, než ji nasadíte do vaší organizace.
- V prohlížeči přejděte na https://compliance.microsoft.com/basicmobilityandsecurity.
- Vyberte Zobrazit seznam spravovaných zařízení.
- Zkontrolujte stav uživatelských zařízení, na kterých se zásady použily. Chcete, aby stav zařízení byl Spravovaný.
- Úplné nebo selektivní vymazání zařízení můžete provést také tak, že po výběru zařízení kliknete na Obnovení továrního nastavení do továrního nastavení nebo Na tlačítko Odebrat firemní data z tlačítka Spravovat . Pokyny najdete v tématu Vymazání mobilního zařízení v Základní mobilita a zabezpečení.
Krok 3: Nasazení zásady do vaší organizace
Jakmile vytvoříte zásadu zařízení a ověříte, že funguje podle očekávání, nasaďte ji do vaší organizace.
- V prohlížeči zadejte: https://compliance.microsoft.com/basicmobilityandsecurity.
- Vyberte zásadu, kterou chcete nasadit, a zvolte Upravit vedle Skupiny použít.
- Search pro skupinu, kterou chcete přidat, a klikněte na Vybrat.
- Vyberte Zavřít a Změnit nastavení.
- Vyberte Zavřít a upravit zásadu.
Zásady se nasdílí na mobilní zařízení každého uživatele, na které se zásady vztahují při příštím přihlášení k Microsoftu 365 ze svého mobilního zařízení. Pokud uživatelé nemají na svém mobilním zařízení použitou zásadu, dostanou na zařízení oznámení s postupem registrace a aktivace pro Základní mobilita a zabezpečení. Po dokončení registrace se zásady použijí na jejich zařízení. Další informace najdete v tématu Registrace mobilního zařízení pomocí Základní mobilita a zabezpečení.
Krok 4: Blokování přístupu k e-mailu pro nepodporovaná zařízení
Pokud chcete zabezpečit informace o vaší organizaci, měli byste zablokovat přístup aplikace k e-mailu Microsoft 365 pro mobilní zařízení, která nejsou podporována Základní mobilita a zabezpečení. Seznam podporovaných zařízení najdete v tématu Podporovaná zařízení.
Blokování přístupu k aplikacím:
V prohlížeči zadejte https://compliance.microsoft.com/basicmobilityandsecurity.
Vyberte kartu Nastavení organizace .
Pokud chcete blokovat nepodporovaná zařízení, zvolte Přístup v části Pokud Základní mobilita a zabezpečení pro Microsoft 365 nepodporuje zařízení a pak vyberte Uložit.
Krok 5: Výběr skupin zabezpečení, které mají být vyloučeny z kontrol podmíněného přístupu
Pokud chcete některé uživatele vyloučit z kontrol podmíněného přístupu na jejich mobilních zařízeních a vytvořili jste pro tyto uživatele jednu nebo více skupin zabezpečení, přidejte skupiny zabezpečení sem. Lidé v těchto skupinách nebudou mít pro podporovaná mobilní zařízení vynucované žádné zásady. Toto je doporučená možnost, pokud už nechcete používat Základní mobilita a zabezpečení ve vaší organizaci.
V prohlížeči zadejte https://compliance.microsoft.com/basicmobilityandsecurity.
Vyberte kartu Nastavení organizace .
Vyberte Přidat a přidejte skupinu zabezpečení obsahující uživatele, které chcete vyloučit z blokování přístupu k Microsoftu 365. Když je uživatel přidaný do tohoto seznamu, bude mít přístup k e-mailu Microsoftu 365, když používá nepodporované zařízení.
Na panelu Vybrat skupinu vyberte skupinu zabezpečení, kterou chcete použít.
Vyberte název a potom Přidat>uložit.
Na panelu Nastavení organizace zvolte Uložit.
Jaký je dopad zásad zabezpečení na různé typy zařízení?
Když použijete zásadu na uživatelská zařízení, dopad na jednotlivá zařízení se u jednotlivých typů zařízení poněkud liší. Příklady dopadu zásad na různá zařízení najdete v následující tabulce.
| Zásady zabezpečení | Android | Samsung KNOX | iOS | Poznámky |
|---|---|---|---|---|
| Vyžadovat šifrované zálohování | Ne | Ano | Ano | Vyžaduje se šifrované zálohování iOS. |
| Blokování cloudového zálohování | Ano | Ano | Ano | Blokování zálohování Google na Androidu (neaktivní) a cloudové zálohování v iOSu pod dohledem. |
| Blokovat synchronizaci dokumentů | Ne | Ne | Ano | iOS: Blokování dokumentů v cloudu na zařízeních s iOSem pod dohledem |
| Blokovat synchronizaci fotek | Ne | Ne | Ano | iOS (nativní): Blokovat Stream fotek. |
| Blokovat snímek obrazovky | Ne | Ano | Ano | Blokováno při pokusu. |
| Blokovat videokonferenci | Ne | Ne | Ano | FaceTime je blokovaný na zařízeních s iOSem pod dohledem, ne na Skypu nebo jiných zařízeních. |
| Blokování odesílání diagnostických dat | Ne | Ano | Ano | Blokovat odesílání zprávy o chybách Google na Androidu |
| Blokování přístupu k App Storu | Ne | Ano | Ano | Na domovské stránce Androidu chybí ikona App Storu, ve Windows je zakázaná a na zařízeních s iOSem pod dohledem. |
| Vyžadovat heslo pro App Store | Ne | Ne | Ano | iOS: Heslo se vyžaduje pro nákupy v iTunes. |
| Blokování připojení k vyměnitelnému úložišti | Ne | Ano | Není k dispozici. | Android: Karta SD je v nastavení zašedlá, Systém Windows uživatele upozorní, nainstalované aplikace nejsou k dispozici |
| Blokovat připojení Bluetooth | Zobrazit poznámky | Zobrazit poznámky | Ano | BlueTooth nemůžeme zakázat jako nastavení na Androidu. Místo toho zakážeme všechny transakce, které vyžadují BlueTooth: Rozšířená distribuce zvuku, dálkové ovládání zvuku/videa, zařízení hands-free, náhlavní souprava, přístup k telefonnímu seznamu a sériový port. Malá informační zpráva se zobrazí v dolní části stránky, když se některá z těchto zpráv použije. |
Co se stane, když odstraníte zásadu nebo ze zásady odeberete uživatele?
Když odstraníte zásadu nebo odeberete uživatele ze skupiny, do které byla zásada nasazená, můžou se ze zařízení uživatele odebrat nastavení zásad, e-mailový profil Microsoft 365 a e-maily uložené v mezipaměti. V následující tabulce se dozvíte, co se odebere pro různé typy zařízení.
| Co se odebralo | iOS | Android (včetně Samsung KNOX) |
|---|---|---|
| Spravované e-mailové profily1 | Ano | Ne |
| Blokování cloudového zálohování | Ano | Ne |
1 Pokud se zásada nasadila s vybranou možností Email profil je spravovaná, spravovaný e-mailový profil a e-maily v mezipaměti v daném profilu se ze zařízení uživatele odstraní.
Zásada se odebere z mobilního zařízení pro každého uživatele, na které se zásada vztahuje, když se jejich zařízení příště přihlásí s Základní mobilita a zabezpečení. Pokud nasadíte novou zásadu, která se vztahuje na tato uživatelská zařízení, zobrazí se jim výzva k opětovné registraci v Základní mobilita a zabezpečení.
Zařízení můžete také úplně vymazat nebo ze zařízení selektivně vymazat informace organizace. Další informace najdete v článku Vymazání mobilního zařízení v Základní mobilita a zabezpečení.
Související obsah
Přehled Základní mobilita a zabezpečení (článek)
Možnosti Základní mobilita a zabezpečení (článek)
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro