Übersicht über den Cloudrichtliniendienst für Microsoft 365

Hinweis

"Office-Cloudrichtliniendienst" wurde in "Cloudrichtliniendienst für Microsoft 365" umbenannt. In den meisten Fällen wird dies nur als Cloudrichtlinie bezeichnet.

Mit dem Cloudrichtliniendienst für Microsoft 365 können Sie Richtlinieneinstellungen für Microsoft 365 Apps for Enterprise auf dem Gerät eines Benutzers erzwingen, auch wenn das Gerät nicht in die Domäne eingebunden oder anderweitig verwaltet wird. Wenn sich ein Benutzer auf einem Gerät bei Microsoft 365 Apps for Enterprise anmeldet, werden die Richtlinieneinstellungen auf dieses Gerät übertragen. Richtlinieneinstellungen sind für Geräte mit Windows, macOS, iOS und Android verfügbar, obwohl nicht alle Richtlinieneinstellungen für alle Betriebssysteme verfügbar sind. Sie können auch einige Richtlinieneinstellungen für Office für das Web erzwingen, sowohl für angemeldete Benutzer als auch für Benutzer, die anonym auf Dokumente zugreifen.

Die Cloudrichtlinie ist Teil des Microsoft 365 Apps Admin Centers. Der Dienst umfasst viele der gleichen benutzerbasierten Richtlinieneinstellungen, die in Gruppenrichtlinie verfügbar sind. Sie können Cloudrichtlinien auch direkt im Microsoft Endpoint Manager Admin Center unter Richtlinien für Apps>>für Office-Apps verwenden.

Wenn Sie Richtlinienkonfigurationen erstellen, können Sie Richtlinien überprüfen und anwenden, die von Microsoft als Sicherheitsbaselinerichtlinien empfohlen werden. Diese Empfehlungen werden beim Auswählen von Richtlinien als "Sicherheitsbaseline" gekennzeichnet.

Anforderungen für die Verwendung von Cloudrichtlinien

Im Folgenden sind die Anforderungen für die Verwendung von Cloudrichtlinien mit Microsoft 365 Apps for Enterprise aufgeführt:

  • Eine unterstützte Version von Microsoft 365 Apps for Enterprise.
  • Benutzerkonten, die in Azure Active Directory (Azure AD) erstellt oder synchronisiert wurden. Der Benutzer muss mit einem Azure AD-basierten Konto bei Microsoft 365 Apps for Enterprise angemeldet sein.
  • Cloudrichtlinie unterstützt Sicherheitsgruppen und E-Mail-aktivierte Sicherheitsgruppen, die in Azure AD erstellt oder mit Azure AD synchronisiert werden. Der Mitgliedschaftstyp kann entweder dynamisch oder Zugewiesen sein.
  • Zum Erstellen einer Richtlinienkonfiguration muss Ihnen eine der folgenden Rollen in Azure AD zugewiesen werden: Globaler Administrator, Sicherheitsadministrator oder Office Apps Admin.
  • Die erforderlichen URLs und IP-Adressbereiche müssen in Ihrem Netzwerk ordnungsgemäß konfiguriert sein.
  • Authentifizierte Proxys werden vom Cloudrichtliniendienst nicht unterstützt.

Wichtig

  • Die Cloudrichtlinie ist für Kunden mit den folgenden Plänen nicht verfügbar: Office 365, die von 21Vianet, Office 365 GCC oder Office 365 GCC High und DoD betrieben werden.
  • Eine Richtlinienkonfiguration kann nicht auf Volumenlizenzversionen von Office angewendet werden, die Klick-und-Run verwenden, z. B. Office LTSC Professional Plus 2021 oder Office Standard 2019.
  • Sie können eine Richtlinienkonfiguration für Microsoft 365 Apps for Business erstellen, aber nur Richtlinieneinstellungen im Zusammenhang mit Datenschutzsteuerelementen werden unterstützt. Weitere Informationen finden Sie unter Verwenden von Richtlinieneinstellungen zur Verwaltung von Datenschutzsteuerelementen für Microsoft 365 Apps for Enterprise.

Schritte zum Erstellen einer Richtlinienkonfiguration

Im Folgenden sind die grundlegenden Schritte zum Erstellen einer Richtlinienkonfiguration aufgeführt.

  1. Melden Sie sich beim Microsoft 365 Apps Admin Center an. Wenn Sie das Admin Center zum ersten Mal verwenden, lesen Sie die Bedingungen. Wählen Sie dann Annehmen aus.
  2. Wählen Sie unter Anpassung die Option Richtlinienverwaltung aus.
  3. Wählen Sie auf der Seite Richtlinienkonfigurationendie Option Erstellen aus.
  4. Geben Sie auf der Seite Mit den Grundlagen beginnen einen Namen (erforderlich) und eine Beschreibung (optional) ein, und wählen Sie dann Weiter aus.
  5. Wählen Sie auf der Seite Bereich auswählen aus, ob die Richtlinienkonfiguration für eine bestimmte Gruppe oder für Benutzer gilt, die anonym über Office für das Web auf Dokumente zugreifen.
  6. Wenn die Richtlinienkonfiguration für eine bestimmte Gruppe gilt, wählen Sie die Gruppe aus. Jede Richtlinienkonfiguration kann nur einer Gruppe zugewiesen werden, und jeder Gruppe kann nur eine Richtlinienkonfiguration zugewiesen werden. Die ausgewählte Gruppe kann jedoch andere (geschachtelte) Gruppen enthalten.
  7. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie Weiter aus.
  8. Wählen Sie auf der Seite Einstellungen konfigurieren die Richtlinien aus, die Sie in die Richtlinienkonfiguration einschließen möchten. Sie können die Richtlinie anhand des Namens suchen oder einen benutzerdefinierten Filter erstellen. Sie können nach Plattform und Anwendung filtern, ob die Richtlinie konfiguriert wurde und ob die Richtlinie eine empfohlene Sicherheitsbaseline ist.
  9. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie Weiter aus, um Ihre Auswahl zu überprüfen. Wählen Sie dann Erstellen aus, um die Richtlinienkonfiguration zu erstellen.

Verwalten von Richtlinienkonfigurationen

Um eine Richtlinienkonfiguration zu ändern, wählen Sie die Richtlinienkonfiguration auf der Seite Richtlinienkonfigurationen aus. Dadurch wird die Richtlinienkonfiguration geöffnet. Nehmen Sie die entsprechenden Änderungen vor, navigieren Sie dann zur Seite Überprüfen und veröffentlichen , und wählen Sie Aktualisieren aus.

Wenn Sie eine neue Richtlinienkonfiguration erstellen möchten, die einer vorhandenen Richtlinienkonfiguration ähnelt, wählen Sie auf der Seite Richtlinienkonfigurationen die vorhandene Richtlinienkonfiguration und dann Kopieren aus. Nehmen Sie die entsprechenden Änderungen vor, und wählen Sie dann Erstellen aus.

Um zu sehen, welche Richtlinien beim Bearbeiten einer Richtlinienkonfiguration konfiguriert werden, navigieren Sie zum Abschnitt Richtlinien , und filtern Sie nach der Spalte Status , oder wählen Sie oben in der Richtlinientabelle den Slicer Konfiguriert aus. Sie können auch nach Anwendung und Plattform filtern.

Um die Prioritätsreihenfolge für die Richtlinienkonfigurationen zu ändern, wählen Sie auf der Seite Richtlinienkonfigurationen die Option Priorität neu anordnen aus.

Wenn Sie eine Richtlinienkonfiguration exportieren möchten, wählen Sie auf der Seite Richtlinienkonfigurationen die vorhandene Richtlinienkonfiguration und dann Exportieren aus. Dadurch wird eine CSV-Datei zum Download generiert.

Anwendung der Richtlinienkonfiguration

Der klick-und-run-Dienst, der von Microsoft 365 Apps for Enterprise verwendet wird, überprüft regelmäßig die Cloudrichtlinie, um festzustellen, ob Richtlinienkonfigurationen vorhanden sind, die sich auf den Benutzer beziehen. Falls vorhanden, werden die entsprechenden Richtlinieneinstellungen angewendet und wirksam, wenn der Benutzer die Office-App das nächste Mal öffnet, z. B. Word oder Excel.

Hier ist eine Zusammenfassung der Vorgänge:

  • Wenn sich ein Benutzer zum ersten Mal auf einem Gerät bei Office anmeldet, wird sofort überprüft, ob eine Richtlinienkonfiguration vorhanden ist, die sich auf den Benutzer bezieht.

  • Wenn der Benutzer kein Mitglied einer Azure AD-Gruppe ist, der eine Richtlinienkonfiguration zugewiesen ist, wird in 24 Stunden erneut überprüft.

  • Wenn der Benutzer Mitglied einer Azure AD-Gruppe ist, der eine Richtlinienkonfiguration zugewiesen ist, werden die entsprechenden Richtlinieneinstellungen angewendet. In 90 Minuten wird erneut eine Überprüfung durchgeführt.

  • Wenn seit der letzten Überprüfung Änderungen an der Richtlinienkonfiguration vorgenommen wurden, werden die entsprechenden Richtlinieneinstellungen angewendet und in 90 Minuten erneut überprüft.

  • Wenn seit der letzten Überprüfung keine Änderungen an der Richtlinienkonfiguration vorgenommen wurden, wird in 24 Stunden erneut eine Überprüfung durchgeführt.

  • Wenn ein Fehler auftritt, wird eine Überprüfung durchgeführt, wenn der Benutzer eine Office-App wie Word oder Excel öffnet.

  • Wenn keine Office-Apps ausgeführt werden, wenn die nächste Überprüfung geplant ist, wird die Überprüfung durchgeführt, wenn der Benutzer das nächste Mal eine Office-App öffnet.

Hinweis

  • Richtlinien aus der Cloudrichtlinie werden nur angewendet, wenn die Office-App neu gestartet wird. Das Verhalten ist dasselbe wie bei Gruppenrichtlinie. Für Windows-Geräte werden Richtlinien basierend auf dem primären Benutzer erzwungen, der bei Microsoft 365 Apps for Enterprise angemeldet ist. Wenn mehrere Konten angemeldet sind, werden nur Richtlinien für das primäre Konto angewendet. Wenn das primäre Konto gewechselt wird, werden die meisten Richtlinien, die diesem Konto zugewiesen sind, erst angewendet, wenn die Office-Apps neu gestartet werden. Einige Richtlinien im Zusammenhang mit Datenschutzsteuerelementen gelten, ohne Office-Apps neu zu starten.

  • Wenn sich Benutzer in geschachtelten Gruppen befinden und die übergeordnete Gruppe auf Richtlinien ausgerichtet ist, erhalten die Benutzer in den geschachtelten Gruppen die Richtlinien. Die geschachtelten Gruppen und die Benutzer in diesen geschachtelten Gruppen müssen in Azure AD erstellt oder mit dieser synchronisiert werden.

Wenn der Benutzer Mitglied mehrerer Azure AD-Gruppen mit in Konflikt stehenden Richtlinieneinstellungen ist, wird die Priorität verwendet, um zu bestimmen, welche Richtlinieneinstellung angewendet wird. Die höchste Priorität wird angewendet, wobei "0" die höchste Priorität ist, die Sie zuweisen können. Sie können die Priorität festlegen, indem Sie auf der Seite Richtlinienkonfigurationendie Option Priorität neu anordnen auswählen.

Darüber hinaus haben Richtlinieneinstellungen, die mithilfe von Cloudrichtlinie implementiert werden, Vorrang vor Richtlinieneinstellungen, die mithilfe von Gruppenrichtlinie unter Windows Server implementiert werden, und haben Vorrang vor Einstellungseinstellungen oder lokal angewendeten Richtlinieneinstellungen.

Zusätzliche Informationen zur Cloudrichtlinie

  • Es sind nur benutzerbasierte Richtlinieneinstellungen verfügbar. Computerbasierte Richtlinieneinstellungen sind nicht verfügbar.
  • Wenn neue benutzerbasierte Richtlinieneinstellungen für Office verfügbar gemacht werden, fügt die Cloudrichtlinie diese automatisch hinzu. Es ist nicht erforderlich, aktualisierte Administrative Vorlagendateien (ADMX/ADML) herunterzuladen.
  • Sie können auch Richtlinienkonfigurationen erstellen, um Richtlinieneinstellungen für unterstützte Versionen der Desktop-Apps anzuwenden, die im Abonnementplan von Project und Visio enthalten sind.
  • Das Integritätsstatusfeature wurde in der zweiten Märzhälfte 2022 eingestellt. In Zukunft (zu diesem Zeitpunkt noch kein bekanntes Datum) planen wir die Bereitstellung erweiterter Integritätsberichterstellungs- und Complianceüberwachungsfeatures für Cloudrichtlinien.

Tipps zur Problembehandlung

Wenn die erwarteten Richtlinien nicht ordnungsgemäß auf das Gerät eines Benutzers angewendet wurden, versuchen Sie es mit den folgenden Aktionen:

  • Stellen Sie sicher, dass der Benutzer bei Microsoft 365 Apps for Enterprise angemeldet ist, aktiviert hat und über eine gültige Lizenz verfügt.

  • Stellen Sie sicher, dass der Benutzer Teil der entsprechenden Sicherheitsgruppe ist.

  • Vergewissern Sie sich, dass Sie keinen authentifizierten Proxy verwenden.

  • Überprüfen Sie die Priorität der Richtlinienkonfigurationen. Wenn sich der Benutzer in mehreren Sicherheitsgruppen befindet, denen Richtlinienkonfigurationen zugewiesen sind, bestimmt die Priorität der Richtlinienkonfigurationen, welche Richtlinien wirksam werden.

  • In einigen Fällen werden Richtlinien möglicherweise nicht ordnungsgemäß angewendet, wenn sich zwei Benutzer mit unterschiedlichen Richtlinien während derselben Windows-Sitzung auf demselben Gerät bei Office anmelden.

  • Richtlinieneinstellungen, die aus der Cloudrichtlinie abgerufen werden, werden in der Windows-Registrierung unter HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 gespeichert. Dieser Schlüssel wird jedes Mal überschrieben, wenn während des Eincheckvorgangs ein neuer Satz von Richtlinien aus dem Richtliniendienst abgerufen wird.

  • Die Eincheckaktivität des Richtliniendiensts wird in der Windows-Registrierung unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy gespeichert. Wenn Sie diesen Schlüssel löschen und die Office-Apps neu starten, wird der Richtliniendienst beim nächsten Start einer Office-App eingecheckt.

  • Wenn Sie sehen möchten, dass ein Gerät unter Windows das nächste Mal mit der Cloudrichtlinie überprüfen soll, sehen Sie sich fetchInterval unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy an. Der Wert wird in Minuten ausgedrückt. Beispiel: 1440, was 24 Stunden entspricht.

  • Wenn Sie sehen möchten, dass ein Gerät unter Windows das nächste Mal mit der Cloudrichtlinie überprüfen soll, sehen Sie sich fetchInterval unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy an. Der Wert wird in Minuten ausgedrückt. Beispiel: 1440, was 24 Stunden entspricht.

  • Möglicherweise tritt der FetchInterval-Wert 0 auf. Wenn dieser Wert vorhanden ist, wartet der Client 24 Stunden nach dem letzten Einchecken, bevor er versucht, die Überprüfung mit der Cloudrichtlinie erneut durchzuführen.