Übersicht über den Cloudrichtliniendienst für Microsoft 365
Hinweis
"Office-Cloudrichtliniendienst" wurde in "Cloudrichtliniendienst für Microsoft 365" umbenannt. In den meisten Fällen wird dies nur als Cloudrichtlinie bezeichnet.
Mit dem Cloudrichtliniendienst für Microsoft 365 können Sie Richtlinieneinstellungen für Microsoft 365 Apps for Enterprise auf dem Gerät eines Benutzers erzwingen, auch wenn das Gerät nicht in die Domäne eingebunden oder anderweitig verwaltet wird. Wenn sich ein Benutzer auf einem Gerät bei Microsoft 365 Apps for Enterprise anmeldet, werden die Richtlinieneinstellungen auf dieses Gerät übertragen. Richtlinieneinstellungen sind für Geräte mit Windows, macOS, iOS und Android verfügbar, obwohl nicht alle Richtlinieneinstellungen für alle Betriebssysteme verfügbar sind. Sie können auch einige Richtlinieneinstellungen für Office für das Web und Loop erzwingen, sowohl für angemeldete Gastbenutzer als auch für Benutzer, die anonym auf Dokumente zugreifen.
Die Cloudrichtlinie ist Teil des Microsoft 365 Apps Admin Centers. Der Dienst umfasst viele der gleichen benutzerbasierten Richtlinieneinstellungen, die in Gruppenrichtlinie verfügbar sind. Sie können Cloudrichtlinien auch direkt im Microsoft Intune Admin Center unter Richtlinien für Apps>>für Office-Apps verwenden.
Anforderungen
Unterstützte integrierte Administratorrollen
Sie können die folgenden integrierten Microsoft Entra-Rollen für den Zugriff auf und die Verwaltung des Features verwenden:
Wichtig
Microsoft empfiehlt die Verwendung von Rollen mit den wenigsten Berechtigungen. Dies trägt zur Verbesserung der Sicherheit für Ihre Organisation bei. Globaler Administrator ist eine hoch privilegierte Rolle, die auf Notfallszenarien beschränkt werden sollte, wenn Sie keine vorhandene Rolle verwenden können.
Rolle | Beschreibung |
---|---|
Office-Apps-Administrator (empfohlen) | Diese Rolle kann die Office-Apps-Cloud-Dienste verwalten, einschließlich der Verwaltung von Richtlinien und Einstellungen, und die Fähigkeit verwalten, den Inhalt der "Neuigkeiten"-Funktionen auszuwählen, abzuwählen und auf den Geräten der Endbenutzer zu veröffentlichen. |
Sicherheitsadministrator | Diese Rolle kann Sicherheitsinformationen und Berichte lesen und die Konfiguration in Microsoft Entra ID und Office 365 verwalten. |
Globaler Administrator | Diese Rolle kann alle Aspekte von Microsoft Entra ID und Microsoft-Diensten verwalten, die Microsoft-Entra-Identitäten verwenden. |
Hinweis
Globaler Leser ist eine weitere integrierte Rolle, die vom Microsoft 365 Apps Admin Center unterstützt wird, aber einige Features wie Cloudupdate oder die Seite "Einstellungen für moderne Apps" nicht unterstützt.
Lizenzierungsanforderungen
Ihr Benutzer muss einem der folgenden Abonnementpläne zugewiesen sein:
Typ | Abonnementplan |
---|---|
Education | |
Business | |
Großunternehmen | |
Government |
Wichtig
Die folgenden Pläne werden nicht unterstützt:
- Microsoft 365, betrieben von 21Vianet
- Microsoft 365 GCC High und DoD
Hinweis
- Eine Richtlinienkonfiguration kann nicht auf Volumenlizenzversionen von Office angewendet werden, die Klick-und-Run verwenden, z. B. Office LTSC Professional Plus 2021 oder Office Standard 2019.
- Sie können eine Richtlinienkonfiguration für Microsoft 365 Apps for Business erstellen, aber nur Richtlinieneinstellungen im Zusammenhang mit Datenschutzsteuerelementen werden unterstützt. Weitere Informationen finden Sie unter Verwenden von Richtlinieneinstellungen zur Verwaltung von Datenschutzsteuerelementen für Microsoft 365 Apps for Enterprise.
Erforderliche Produktversionen
Sie können Microsoft 365 Apps unter Windows mit den folgenden Versionen verwalten:
- Unterstützte Version von Microsoft 365 Apps
- Unterstützte Version von Microsoft Windows 10/11
- Unterstützte Version von Windows Server, die Microsoft 365 Apps unterstützt
Hinweis
Für GCC-Kunden ist die mindestens unterstützte Office-Clientversion für Richtlinien, die an Microsoft 365 Apps unter Windows ausgeführt werden, Version 2410 oder höher.
Netzwerkanforderungen
Geräte, auf denen Microsoft 365 Apps ausgeführt wird, benötigen Zugriff auf die folgenden Endpunkte:
Microsoft-Dienst | URLs auf Zulassungsliste erforderlich |
---|---|
Microsoft 365 Apps Admin Center | |
Office-Netzwerk für die Inhaltsübermittlung (CDN) |
Quelle: Microsoft 365-URLs und -IP-Adressbereiche
Anforderungen an Microsoft Entra Gruppen
Der Cloudrichtliniendienst unterstützt die Verwendung von Microsoft Entra Gruppen mit den folgenden Anforderungen:
- Richtlinien gelten nur für Benutzerobjekte.
- Benutzerobjekte müssen in der Microsoft-Entra-ID vorhanden sein und es muss eine unterstützte Lizenz zugewiesen sein.
- Geschachtelte Gruppen unterstützen auf bis zu drei Ebenen.
- Eine Gruppe kann sowohl Geräteobjekte als auch Benutzerobjekte enthalten, die Geräteobjekte werden jedoch ignoriert.
Schritte zum Erstellen einer Richtlinienkonfiguration
Im Folgenden sind die grundlegenden Schritte zum Erstellen einer Richtlinienkonfiguration aufgeführt.
- Melden Sie sich beim Microsoft 365 Apps Admin Center an. Wenn Sie das Admin Center zum ersten Mal verwenden, lesen Sie die Bedingungen. Wählen Sie dann Annehmen aus.
- Wählen Sie unter Anpassung die Option Richtlinienverwaltung aus.
- Wählen Sie auf der Seite Richtlinienkonfigurationendie Option Erstellen aus.
- Geben Sie auf der Seite Mit den Grundlagen beginnen einen Namen (erforderlich) und eine Beschreibung (optional) ein, und wählen Sie dann Weiter aus.
- Bestimmen Sie auf der Seite Bereich auswählen, ob die Richtlinienkonfiguration für alle Benutzer, bestimmte Gruppen oder für Benutzer gilt, die anonym mit Office für das Web auf Dokumente zugreifen.
- Wenn die Richtlinienkonfiguration für bestimmte Gruppen gilt, können Sie jetzt mehrere Gruppen zu einer einzelnen Richtlinienkonfiguration hinzufügen, um eine flexiblere Ausrichtung zu erreichen. Um Gruppen hinzuzufügen, wählen Sie Gruppen hinzufügen und dann die relevanten Gruppen aus. Durch das Hinzufügen mehrerer Gruppen zu einer einzelnen Richtlinienkonfiguration kann dieselbe Gruppe in mehrere Richtlinienkonfigurationen einbezogen werden, wodurch ein optimierter und effizienterer Richtlinienverwaltungsprozess ermöglicht wird.
- Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie Weiter aus.
- Wählen Sie auf der Seite Einstellungen konfigurieren die Richtlinien aus, die Sie in die Richtlinienkonfiguration einschließen möchten. Sie können die Richtlinie anhand des Namens suchen oder einen benutzerdefinierten Filter erstellen. Sie können nach Plattform und Anwendung filtern, ob die Richtlinie konfiguriert ist und ob die Richtlinie eine empfohlene Sicherheitsbaseline ist.
- Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie Weiter aus, um Ihre Auswahl zu überprüfen. Wählen Sie dann Erstellen aus, um die Richtlinienkonfiguration zu erstellen.
Verwalten von Richtlinienkonfigurationen
So ändern Sie eine Richtlinienkonfiguration:
- Wechseln Sie zur Seite Richtlinienkonfigurationen .
- Öffnen Sie die Konfigurationsdetails der Richtlinie, die Sie ändern möchten, indem Sie sie auswählen.
- Nehmen Sie die entsprechenden Änderungen an der Richtlinienkonfiguration vor.
- Navigieren Sie zur Seite Überprüfen und veröffentlichen .
- Wählen Sie Aktualisieren aus, um Ihre Änderungen zu speichern und anzuwenden.
Wenn Sie eine neue Richtlinienkonfiguration erstellen möchten, die einer vorhandenen Richtlinienkonfiguration ähnelt, wählen Sie auf der Seite Richtlinienkonfigurationen die vorhandene Richtlinienkonfiguration und dann Kopieren aus. Nehmen Sie die entsprechenden Änderungen vor, und wählen Sie dann Erstellen aus.
Um zu sehen, welche Richtlinien beim Bearbeiten einer Richtlinienkonfiguration konfiguriert werden, navigieren Sie zum Abschnitt Richtlinien , und filtern Sie nach der Spalte Status , oder wählen Sie oben in der Richtlinientabelle den Slicer Konfiguriert aus. Sie können auch nach Anwendung und Plattform filtern.
Um die Prioritätsreihenfolge für die Richtlinienkonfigurationen zu ändern, wählen Sie auf der Seite Richtlinienkonfigurationen die Option Priorität neu anordnen aus.
Wenn Sie eine Richtlinienkonfiguration exportieren möchten, wählen Sie auf der Seite Richtlinienkonfigurationen die vorhandene Richtlinienkonfiguration und dann Exportieren aus. Durch diese Aktion wird eine CSV-Datei zum Download generiert.
Anwendung der Richtlinienkonfiguration
Der klick-und-run-Dienst, der von Microsoft 365 Apps for Enterprise verwendet wird, checkt regelmäßig beim Cloudrichtliniendienst ein, um festzustellen, ob Richtlinien für den angemeldeten Benutzer vorhanden sind. Falls vorhanden, werden die entsprechenden Richtlinien angewendet und werden wirksam, wenn der Benutzer das nächste Mal eine Office-App öffnet, z. B. Word oder Excel.
- Wenn eine Office-App gestartet wird oder sich der angemeldete Benutzer ändert, bestimmt der Klick-und-Run-Dienst, ob es zeit ist, Richtlinien für den angemeldeten Benutzer abzurufen.
- Wenn dies die erste Anmeldung des Benutzers ist, wird der Eincheckaufruf durchgeführt, um Richtlinien für den angemeldeten Benutzer abzurufen.
- Wenn sich der Benutzer zuvor angemeldet hat, wird der Eincheckaufruf nur durchgeführt, wenn das Eincheckintervall abgelaufen ist.
- Wenn der Dienst den Eincheckaufruf empfängt, wird Microsoft Entra Gruppenmitgliedschaft für den Benutzer bestimmt.
- Wenn der Benutzer kein Mitglied einer Microsoft Entra Gruppe ist, der eine Richtlinienkonfiguration zugewiesen ist, informiert der Dienst klick-und-run darüber, dass dieser Benutzer in 24 Stunden zurückgecheckt wird.
- Wenn der Benutzer Mitglied einer Microsoft Entra Gruppe ist, der eine Richtlinienkonfiguration zugewiesen ist, gibt der Dienst die entsprechenden Richtlinieneinstellungen für den Benutzer zurück und informiert Klick-und-Run, um in 90 Minuten zurückzukehren.
- Wenn ein Fehler auftritt, wird beim nächsten Öffnen einer Office-App, z. B. Word oder Excel, ein weiterer Eincheckaufruf ausgeführt.
- Wenn keine Office-Apps ausgeführt werden, wenn der nächste Eincheckaufruf geplant ist, wird die Überprüfung durchgeführt, wenn der Benutzer das nächste Mal eine Office-App öffnet, z. B. Word oder Excel.
Hinweis
Richtlinien aus der Cloudrichtlinie werden nur angewendet, wenn die Office-App neu gestartet wird. Das Verhalten ist dasselbe wie bei Gruppenrichtlinie. Für Windows-Geräte werden Richtlinien basierend auf dem primären Benutzer erzwungen, der bei Microsoft 365 Apps for Enterprise angemeldet ist. Wenn mehrere Konten angemeldet sind, werden nur Richtlinien für das primäre Konto angewendet. Wenn das primäre Konto gewechselt wird, werden die meisten Richtlinien, die diesem Konto zugewiesen sind, erst angewendet, wenn die Office-Apps neu gestartet werden. Einige Richtlinien im Zusammenhang mit Datenschutzsteuerelementen gelten, ohne Office-Apps neu zu starten.
Wenn sich Benutzer in geschachtelten Gruppen befinden und die übergeordnete Gruppe auf Richtlinien ausgerichtet ist, erhalten die Benutzer in den geschachtelten Gruppen die Richtlinien. Die geschachtelten Gruppen und die Benutzer in diesen geschachtelten Gruppen müssen in Microsoft Entra ID erstellt oder synchronisiert werden.
Das Eincheckintervall wird vom Cloudrichtliniendienst gesteuert und während jedes Eincheckaufrufs an klick-und-run übermittelt.
Wenn der Benutzer Mitglied mehrerer Microsoft Entra Gruppen mit in Konflikt stehenden Richtlinieneinstellungen ist, wird die Priorität verwendet, um zu bestimmen, welche Richtlinieneinstellung angewendet wird. Die höchste Priorität wird angewendet, wobei "0" die höchste Priorität ist, die Sie zuweisen können. Sie können die Priorität festlegen, indem Sie auf der Seite Richtlinienkonfigurationendie Option Priorität neu anordnen auswählen.
Darüber hinaus haben Richtlinieneinstellungen, die mithilfe von Cloudrichtlinie implementiert werden, Vorrang vor Richtlinieneinstellungen, die mithilfe von Gruppenrichtlinie unter Windows Server implementiert werden, und haben Vorrang vor Einstellungseinstellungen oder lokal angewendeten Richtlinieneinstellungen.
Baselines
Bei Microsoft sind wir bestrebt, mit der Erstellung moderner Verwaltungstools Innovationen zu entwickeln und den Aufwand für IT-Administratoren zu reduzieren. Vor diesem Grund sind die Baselines in Der Cloudrichtlinie eine weitere Möglichkeit, Zeit beim Bereitstellen von Richtlinien für Ihre organization zu sparen. Die Baselines für Sicherheit und Barrierefreiheit bieten einen eindeutigen Filter für die Gruppenrichtlinie, die erforderlich sind, um Ihre organization zu schützen und Ihre Endbenutzer in die Lage zu versetzen, barrierefreie Inhalte zu erstellen.
Sicherheitsbaseline
Zur einfachen Identifizierung von Sicherheitsbaselinerichtlinien wurde der Richtlinientabelle eine neue Spalte namens Empfehlung hinzugefügt. Richtlinien, die für die Sicherheitsbaseline empfohlen werden, werden in dieser Spalte ausgelöst. Sie können den Spaltenfilter auch verwenden, um die Ansicht nur auf Richtlinien zu beschränken, die als Sicherheitsbaseline gekennzeichnet sind.
Weitere Informationen finden Sie unter Sicherheitsbaseline für Microsoft 365 Apps for Enterprise.
Baseline für Barrierefreiheit
Die meisten unserer Kunden machen Fortschritte, um als organization zugänglicher zu werden. Die Barrierefreiheitsbaseline ermöglicht ES IT-Experten, Barrierefreiheitsrichtlinien zu konfigurieren, damit endbenutzer barrierefreie Inhalte erstellen und die Möglichkeit einschränken können, einstellungen für die Barrierefreiheitsprüfung zu entfernen.
Zusätzliche Informationen zur Cloudrichtlinie
- Es sind nur benutzerbasierte Richtlinieneinstellungen verfügbar. Computerbasierte Richtlinieneinstellungen sind nicht verfügbar.
- Wenn neue benutzerbasierte Richtlinieneinstellungen für Office verfügbar gemacht werden, fügt cloud policy diese automatisch hinzu. Es ist nicht erforderlich, aktualisierte Administrative Vorlagendateien (ADMX/ADML) herunterzuladen.
- Sie können auch Richtlinienkonfigurationen erstellen, um Richtlinieneinstellungen für unterstützte Versionen der Desktop-Apps anzuwenden, die im Abonnementplan von Project und Visio enthalten sind.
- Das Feature "Health status" wurde in der zweiten Märzhälfte 2022 eingestellt. In Zukunft (zu diesem Zeitpunkt noch kein bekanntes Datum) planen wir die Bereitstellung erweiterter Integritätsberichterstellungs- und Complianceüberwachungsfeatures für Cloudrichtlinien.
Tipps zur Problembehandlung
Wenn die erwarteten Richtlinien nicht ordnungsgemäß auf das Gerät eines Benutzers angewendet werden, probieren Sie die folgenden Aktionen aus:
Stellen Sie sicher, dass der Benutzer bei Microsoft 365 Apps for Enterprise angemeldet, aktiviert und über eine gültige Lizenz verfügt.
Stellen Sie sicher, dass der Benutzer Teil der entsprechenden Sicherheitsgruppe ist.
Vergewissern Sie sich, dass Sie keinen authentifizierten Proxy verwenden.
Überprüfen Sie die Priorität der Richtlinienkonfigurationen. Wenn sich der Benutzer in mehreren Sicherheitsgruppen befindet, denen Richtlinienkonfigurationen zugewiesen sind, bestimmt die Priorität der Richtlinienkonfigurationen, welche Richtlinien wirksam werden.
In einigen Fällen werden Richtlinien möglicherweise nicht ordnungsgemäß angewendet, wenn sich zwei Benutzer mit unterschiedlichen Richtlinien während derselben Windows-Sitzung auf demselben Gerät bei Office anmelden.
Richtlinieneinstellungen, die aus der Cloudrichtlinie abgerufen werden, werden in der Windows-Registrierung unter HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 gespeichert. Dieser Schlüssel wird jedes Mal überschrieben, wenn während des Eincheckvorgangs ein neuer Satz von Richtlinien aus dem Richtliniendienst abgerufen wird.
Die Eincheckaktivität des Richtliniendiensts wird in der Windows-Registrierung unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy gespeichert. Wenn Sie diesen Schlüssel löschen und die Office-Apps neu starten, wird der Richtliniendienst beim nächsten Start einer Office-App eingecheckt.
Wenn Sie sehen möchten, dass ein Gerät unter Windows das nächste Mal mit der Cloudrichtlinie überprüfen soll, sehen Sie sich fetchInterval unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy an. Der Wert wird in Minuten ausgedrückt. Beispiel: 1440, was 24 Stunden entspricht.
Möglicherweise tritt der FetchInterval-Wert 0 auf. Wenn dieser Wert vorhanden ist, wartet der Client 24 Stunden nach dem letzten Einchecken, bevor er versucht, die Überprüfung mit der Cloudrichtlinie erneut durchzuführen.