Übersicht über den Cloudrichtliniendienst für Microsoft 365

Hinweis

"Office-Cloudrichtliniendienst" wurde in "Cloudrichtliniendienst für Microsoft 365" umbenannt. In den meisten Fällen bezeichnen wir sie nur als Cloudrichtlinie.

Mit dem Cloudrichtliniendienst für Microsoft 365 können Sie Richtlinieneinstellungen für Microsoft 365 Apps for Enterprise auf dem Gerät eines Benutzers erzwingen, auch wenn das Gerät keiner Domäne beigetreten ist oder anderweitig verwaltet wird. Wenn sich ein Benutzer mit einem Gerät bei Microsoft 365 Apps for Enterprise anmeldet, werden die Richtlinieneinstellungen auf dieses Gerät übertragen. Richtlinieneinstellungen sind für Geräte mit Windows, macOS, iOS und Android verfügbar, obwohl nicht alle Richtlinieneinstellungen für alle Betriebssysteme verfügbar sind. Sie können auch einige Richtlinieneinstellungen für Office für das Web erzwingen, sowohl für angemeldete Benutzer als auch für Benutzer, die anonym auf Dokumente zugreifen.

Die Cloudrichtlinie ist Teil des Microsoft 365 Apps Admin Centers. Der Dienst enthält viele der gleichen benutzerbasierten Richtlinieneinstellungen, die in Gruppenrichtlinie verfügbar sind. Sie können Cloudrichtlinien auch direkt im Microsoft Endpoint Manager Admin Center unter "Richtlinienrichtlinien für Apps > > " für Office-Apps verwenden.

Wenn Sie Richtlinienkonfigurationen erstellen, können Sie Richtlinien überprüfen und anwenden, die von Microsoft als Sicherheitsgrundlinienrichtlinien empfohlen werden. Diese Empfehlungen werden bei der Auswahl von Richtlinien als "Sicherheitsbaseline" gekennzeichnet.

Anforderungen für die Verwendung von Cloudrichtlinien

Im Folgenden sind die Anforderungen für die Verwendung von Cloudrichtlinien mit Microsoft 365 Apps for Enterprise:

  • Eine unterstützte Version von Microsoft 365 Apps for Enterprise.
  • Benutzerkonten, die in Azure Active Directory (Azure AD) erstellt oder mit diesem synchronisiert wurden. Der Benutzer muss mit einem Azure AD-basierten Konto bei Microsoft 365 Apps for Enterprise angemeldet sein.
  • Cloudrichtlinie unterstützt Sicherheitsgruppen und E-Mail-aktivierte Sicherheitsgruppen, die in Azure AD erstellt oder mit Azure AD synchronisiert wurden. Der Mitgliedschaftstyp kann entweder "Dynamisch" oder "Zugewiesen" sein.
  • Um eine Richtlinienkonfiguration zu erstellen, muss Ihnen eine der folgenden Rollen in Azure AD zugewiesen werden: globaler Administrator, Sicherheitsadministrator oder Office Apps Admin. Die Rolle muss Ihrem Benutzerkonto zugewiesen werden. Derzeit werden Azure AD-Rollen, die Gruppen zugewiesen sind, von der Cloudrichtlinie nicht unterstützt.
  • Die erforderlichen URLs und IP-Adressbereiche müssen in Ihrem Netzwerk ordnungsgemäß konfiguriert sein.

Wichtig

  • Cloudrichtlinien sind für Kunden mit den folgenden Plänen nicht verfügbar: Office 365 betrieben von 21Vianet, Office 365 GCC oder Office 365 GCC High und DoD.
  • Eine Richtlinienkonfiguration kann nicht auf Volumenlizenzversionen von Office angewendet werden, die Klick-und-Los verwenden, z. B. Office LTSC Professional Plus 2021 oder Office Standard 2019.
  • Sie können eine Richtlinienkonfiguration für Microsoft 365 Apps for Business erstellen, es werden jedoch nur Richtlinieneinstellungen im Zusammenhang mit Datenschutzsteuerelementen unterstützt. Weitere Informationen finden Sie unter Verwenden von Richtlinieneinstellungen zur Verwaltung von Datenschutzsteuerelementen für Microsoft 365 Apps for Enterprise.

Schritte zum Erstellen einer Richtlinienkonfiguration

Im Folgenden finden Sie die grundlegenden Schritte zum Erstellen einer Richtlinienkonfiguration.

  1. Melden Sie sich beim Microsoft 365 Apps Admin Center an. Wenn Sie das Admin Center zum ersten Mal verwenden, überprüfen Sie die Bedingungen. Wählen Sie dann "Annehmen" aus.
  2. Wählen Sie unter "Anpassung" die Option "Richtlinienverwaltung" aus.
  3. Wählen Sie auf der Seite "Richtlinienkonfigurationen " die Option "Erstellen" aus.
  4. Geben Sie auf der Seite "Mit den Grundlagen beginnen " einen Namen (erforderlich) und eine Beschreibung (optional) ein, und wählen Sie dann "Weiter" aus.
  5. Wählen Sie auf der Seite "Bereich auswählen" aus, ob die Richtlinienkonfiguration für eine bestimmte Gruppe oder für Benutzer gilt, die anonym mithilfe von Office für das Web auf Dokumente zugreifen.
  6. Wenn die Richtlinienkonfiguration für eine bestimmte Gruppe gilt, wählen Sie die Gruppe aus. Jede Richtlinienkonfiguration kann nur einer Gruppe zugewiesen werden, und jeder Gruppe kann nur eine Richtlinienkonfiguration zugewiesen werden. Die ausgewählte Gruppe kann jedoch andere (geschachtelte) Gruppen enthalten.
  7. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie "Weiter" aus.
  8. Wählen Sie auf der Seite "Einstellungen konfigurieren " die Richtlinien aus, die Sie in die Richtlinienkonfiguration einbeziehen möchten. Sie können nach der Richtlinie anhand des Namens suchen oder einen benutzerdefinierten Filter erstellen. Sie können auf der Plattform nach Anwendung filtern, ob die Richtlinie konfiguriert wurde und ob die Richtlinie eine empfohlene Sicherheitsbaseline ist.
  9. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie "Weiter " aus, um Ihre Auswahl zu überprüfen. Wählen Sie dann "Erstellen" aus, um die Richtlinienkonfiguration zu erstellen.

Verwalten von Richtlinienkonfigurationen

Um eine Richtlinienkonfiguration zu ändern, wählen Sie die Richtlinienkonfiguration auf der Seite "Richtlinienkonfigurationen " und dann " Bearbeiten" aus. Nehmen Sie die entsprechenden Änderungen vor, und wählen Sie dann "Aktualisieren" aus.

Wenn Sie eine neue Richtlinienkonfiguration erstellen möchten, die einer vorhandenen Richtlinienkonfiguration ähnelt, wählen Sie die vorhandene Richtlinienkonfiguration auf der Seite "Richtlinienkonfigurationen " und dann " Kopieren" aus. Nehmen Sie die entsprechenden Änderungen vor, und wählen Sie dann "Erstellen" aus.

Um zu sehen, welche Richtlinien konfiguriert werden, wenn Sie eine Richtlinienkonfiguration bearbeiten, navigieren Sie zum Abschnitt "Richtlinien ", und filtern Sie nach der Spalte "Status ", oder wählen Sie oben in der Richtlinientabelle den "Konfigurierten Datenschnitt" aus. Sie können auch nach Anwendung und Plattform filtern.

Um die Prioritätsreihenfolge für die Richtlinienkonfigurationen zu ändern, wählen Sie auf der Seite "Richtlinienkonfigurationen" die Option "Priorität neu anordnen" aus.

So wird die Richtlinienkonfiguration angewendet

Der Klick-und-Los-Dienst, der von Microsoft 365 Apps for Enterprise verwendet wird, überprüft regelmäßig mit der Cloudrichtlinie, ob Richtlinienkonfigurationen vorhanden sind, die sich auf den Benutzer beziehen. Falls vorhanden, werden die entsprechenden Richtlinieneinstellungen angewendet und wirksam, wenn der Benutzer die Office-App das nächste Mal öffnet, z. B. Word oder Excel.

Hier ist eine Zusammenfassung, was geschieht:

  • Wenn sich ein Benutzer zum ersten Mal auf einem Gerät bei Office anmeldet, wird sofort überprüft, ob eine Richtlinienkonfiguration für den Benutzer vorhanden ist.

  • Wenn der Benutzer kein Mitglied einer Azure AD-Gruppe ist, der eine Richtlinienkonfiguration zugewiesen ist, wird in 24 Stunden erneut überprüft.

  • Wenn der Benutzer Mitglied einer Azure AD-Gruppe ist, der eine Richtlinienkonfiguration zugewiesen ist, werden die entsprechenden Richtlinieneinstellungen angewendet. Eine Überprüfung erfolgt in 90 Minuten erneut.

  • Wenn seit der letzten Überprüfung Änderungen an der Richtlinienkonfiguration vorgenommen wurden, werden die entsprechenden Richtlinieneinstellungen angewendet, und eine weitere Überprüfung erfolgt in 90 Minuten erneut.

  • Wenn seit der letzten Überprüfung keine Änderungen an der Richtlinienkonfiguration vorgenommen wurden, wird in 24 Stunden erneut überprüft.

  • Wenn ein Fehler auftritt, wird eine Überprüfung durchgeführt, wenn der Benutzer eine Office-App wie Word oder Excel öffnet.

  • Wenn keine Office-Apps ausgeführt werden, wenn die nächste Überprüfung geplant ist, wird die Überprüfung durchgeführt, wenn der Benutzer das nächste Mal eine Office-App öffnet.

Hinweis

  • Richtlinien aus der Cloudrichtlinie werden nur angewendet, wenn die Office-App neu gestartet wird. Das Verhalten ist das gleiche wie bei Gruppenrichtlinie. Für Windows-Geräte werden Richtlinien basierend auf dem primären Benutzer erzwungen, der bei Microsoft 365 Apps for Enterprise angemeldet ist. Wenn mehrere Konten angemeldet sind, werden nur Richtlinien für das primäre Konto angewendet. Wenn das primäre Konto gewechselt wird, gelten die meisten diesem Konto zugewiesenen Richtlinien erst, wenn die Office-Apps neu gestartet werden. Einige Richtlinien im Zusammenhang mit Datenschutzsteuerelementen gelten, ohne Office-Apps neu zu starten.

  • Wenn sich Benutzer in geschachtelten Gruppen befinden und die übergeordnete Gruppe auf Richtlinien ausgerichtet ist, erhalten die Benutzer in den geschachtelten Gruppen die Richtlinien. Die geschachtelten Gruppen und die Benutzer in diesen geschachtelten Gruppen müssen in Azure AD erstellt oder mit azure AD synchronisiert werden.

Wenn der Benutzer Mitglied mehrerer Azure AD-Gruppen mit widersprüchlichen Richtlinieneinstellungen ist, wird die Priorität verwendet, um zu bestimmen, welche Richtlinieneinstellung angewendet wird. Die höchste Priorität wird angewendet, wobei "0" die höchste Priorität ist, die Sie zuweisen können. Sie können die Priorität festlegen, indem Sie auf der Seite "Richtlinienkonfigurationen" die Option "Priorität neu anordnen" auswählen.

Außerdem haben Richtlinieneinstellungen, die mithilfe von Cloudrichtlinien implementiert werden, Vorrang vor Richtlinieneinstellungen, die mithilfe von Gruppenrichtlinie unter Windows Server implementiert wurden, und haben Vorrang vor Einstellungseinstellungen oder lokal angewendeten Richtlinieneinstellungen.

Weitere Informationen zur Cloudrichtlinie

  • Nur benutzerbasierte Richtlinieneinstellungen sind verfügbar. Computerbasierte Richtlinieneinstellungen sind nicht verfügbar.
  • Sobald neue benutzerbasierte Richtlinieneinstellungen für Office verfügbar gemacht werden, werden sie von der Cloudrichtlinie automatisch hinzugefügt. Es ist nicht erforderlich, aktualisierte Administrative Vorlagendateien (ADMX/ADML) herunterzuladen.
  • Sie können auch Richtlinienkonfigurationen erstellen, um Richtlinieneinstellungen für unterstützte Versionen der Desktop-Apps anzuwenden, die in Abonnementplänen von Project und Visio enthalten sind.
  • Das Feature "Integritätsstatus" wurde in der zweiten Märzhälfte 2022 eingestellt. In Zukunft (zu diesem Zeitpunkt kein bekanntes Datum) planen wir, erweiterte Funktionen zur Integritätsberichterstattung und Complianceüberwachung für Cloudrichtlinien bereitzustellen.

Tipps zur Problembehandlung

Wenn die erwarteten Richtlinien nicht ordnungsgemäß auf das Gerät eines Benutzers angewendet wurden, führen Sie die folgenden Aktionen aus:

  • Stellen Sie sicher, dass der Benutzer bei Microsoft 365 Apps for Enterprise angemeldet ist, ihn aktiviert hat und über eine gültige Lizenz verfügt.

  • Stellen Sie sicher, dass der Benutzer Teil der entsprechenden Sicherheitsgruppe ist.

  • Überprüfen Sie die Priorität der Richtlinienkonfigurationen.Wenn sich der Benutzer in mehreren Sicherheitsgruppen befindet, denen Richtlinienkonfigurationen zugewiesen sind, bestimmt die Priorität der Richtlinienkonfigurationen, welche Richtlinien wirksam werden.

  • In einigen Fällen werden Richtlinien möglicherweise nicht ordnungsgemäß angewendet, wenn sich zwei Benutzer mit unterschiedlichen Richtlinien während derselben Windows-Sitzung auf demselben Gerät bei Office anmelden.

  • Aus der Cloudrichtlinie abgerufene Richtlinieneinstellungen werden in der Windows-Registrierung unter HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 gespeichert. Dieser Schlüssel wird jedes Mal überschrieben, wenn während des Eincheckvorgangs eine neue Gruppe von Richtlinien aus dem Richtliniendienst abgerufen wird.

  • Die Aktivität zum Einchecken des Richtliniendiensts wird in der Windows-Registrierung unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy gespeichert. Wenn Sie diesen Schlüssel löschen und die Office-Apps neu starten, wird der Richtliniendienst beim nächsten Start einer Office-App eingecheckt.

  • Wenn Sie sehen möchten, wenn ein Gerät, auf dem Windows ausgeführt wird, das nächste Mal mit der Cloudrichtlinie überprüft werden soll, sehen Sie sich "FetchInterval" unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy an. Der Wert wird in Minuten ausgedrückt. Beispiel: 1440, was 24 Stunden entspricht.

  • Wenn Sie sehen möchten, wenn ein Gerät, auf dem Windows ausgeführt wird, das nächste Mal mit der Cloudrichtlinie überprüft werden soll, sehen Sie sich "FetchInterval" unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy an. Der Wert wird in Minuten ausgedrückt. Beispiel: 1440, was 24 Stunden entspricht.

  • Möglicherweise tritt ein FetchInterval-Wert von 0 auf. Wenn dieser Wert vorhanden ist, wartet der Client 24 Stunden nach dem letzten Einchecken, bevor er erneut versucht, die Cloudrichtlinie zu überprüfen.