Übersicht über den Cloudrichtliniendienst für Microsoft 365

  • Artikel

Hinweis

"Office-Cloudrichtliniendienst" wurde in "Cloudrichtliniendienst für Microsoft 365" umbenannt. In den meisten Fällen wird dies nur als Cloudrichtlinie bezeichnet.

Mit dem Cloudrichtliniendienst für Microsoft 365 können Sie Richtlinieneinstellungen für Microsoft 365 Apps for Enterprise auf dem Gerät eines Benutzers erzwingen, auch wenn das Gerät nicht in die Domäne eingebunden oder anderweitig verwaltet wird. Wenn sich ein Benutzer auf einem Gerät bei Microsoft 365 Apps for Enterprise anmeldet, werden die Richtlinieneinstellungen auf dieses Gerät übertragen. Richtlinieneinstellungen sind für Geräte mit Windows, macOS, iOS und Android verfügbar, obwohl nicht alle Richtlinieneinstellungen für alle Betriebssysteme verfügbar sind. Sie können auch einige Richtlinieneinstellungen für Office für das Web und Loop erzwingen, sowohl für angemeldete Gastbenutzer als auch für Benutzer, die anonym auf Dokumente zugreifen.

Die Cloudrichtlinie ist Teil des Microsoft 365 Apps Admin Centers. Der Dienst umfasst viele der gleichen benutzerbasierten Richtlinieneinstellungen, die in Gruppenrichtlinie verfügbar sind. Sie können Cloudrichtlinien auch direkt im Microsoft Intune Admin Center unter Richtlinien für Apps>>für Office-Apps verwenden.

Anforderungen für die Verwendung von Cloudrichtlinien

Im Folgenden sind die Anforderungen für die Verwendung von Cloudrichtlinien mit Microsoft 365 Apps for Enterprise aufgeführt:

  • Eine unterstützte Version von Microsoft 365 Apps for Enterprise.
  • Benutzerkonten, die in erstellt oder mit Microsoft Entra ID synchronisiert wurden. Der Benutzer muss mit einem Microsoft Entra ID-basierten Konto bei Microsoft 365 Apps for Enterprise angemeldet sein.
  • Cloudrichtlinien unterstützen Microsoft 365-Gruppen und Microsoft Entra Sicherheitsgruppen, die in Microsoft Entra ID erstellt oder synchronisiert werden. Der Mitgliedschaftstyp kann entweder dynamisch oder Zugewiesen sein.
  • Zum Erstellen einer Richtlinienkonfiguration muss Ihnen eine der folgenden Rollen in Microsoft Entra ID zugewiesen werden: Globaler Administrator, Sicherheitsadministrator oder Office Apps Admin.
  • Die erforderlichen URLs und IP-Adressbereiche müssen in Ihrem Netzwerk ordnungsgemäß konfiguriert sein.
  • Der Cloudrichtliniendienst unterstützt keine authentifizierten Proxys.

Wichtig

  • Die Cloudrichtlinie ist für Kunden mit den folgenden Plänen nicht verfügbar: Office 365, die von 21Vianet, Office 365 GCC oder Office 365 GCC High und DoD betrieben werden.
  • Eine Richtlinienkonfiguration kann nicht auf Volumenlizenzversionen von Office angewendet werden, die Klick-und-Run verwenden, z. B. Office LTSC Professional Plus 2021 oder Office Standard 2019.
  • Sie können eine Richtlinienkonfiguration für Microsoft 365 Apps for Business erstellen, aber nur Richtlinieneinstellungen im Zusammenhang mit Datenschutzsteuerelementen werden unterstützt. Weitere Informationen finden Sie unter Verwenden von Richtlinieneinstellungen zur Verwaltung von Datenschutzsteuerelementen für Microsoft 365 Apps for Enterprise.

Schritte zum Erstellen einer Richtlinienkonfiguration

Im Folgenden sind die grundlegenden Schritte zum Erstellen einer Richtlinienkonfiguration aufgeführt.

  1. Melden Sie sich beim Microsoft 365 Apps Admin Center an. Wenn Sie das Admin Center zum ersten Mal verwenden, lesen Sie die Bedingungen. Wählen Sie dann Annehmen aus.
  2. Wählen Sie unter Anpassung die Option Richtlinienverwaltung aus.
  3. Wählen Sie auf der Seite Richtlinienkonfigurationendie Option Erstellen aus.
  4. Geben Sie auf der Seite Mit den Grundlagen beginnen einen Namen (erforderlich) und eine Beschreibung (optional) ein, und wählen Sie dann Weiter aus.
  5. Bestimmen Sie auf der Seite Bereich auswählen, ob die Richtlinienkonfiguration für alle Benutzer, bestimmte Gruppen oder für Benutzer gilt, die anonym mit Office für das Web auf Dokumente zugreifen.
  6. Wenn die Richtlinienkonfiguration für bestimmte Gruppen gilt, können Sie jetzt mehrere Gruppen zu einer einzelnen Richtlinienkonfiguration hinzufügen, um eine flexiblere Ausrichtung zu erreichen. Um Gruppen hinzuzufügen, wählen Sie Gruppen hinzufügen und dann die relevanten Gruppen aus. Durch das Hinzufügen mehrerer Gruppen zu einer einzelnen Richtlinienkonfiguration kann dieselbe Gruppe in mehrere Richtlinienkonfigurationen einbezogen werden, wodurch ein optimierter und effizienterer Richtlinienverwaltungsprozess ermöglicht wird.
  7. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie Weiter aus.
  8. Wählen Sie auf der Seite Einstellungen konfigurieren die Richtlinien aus, die Sie in die Richtlinienkonfiguration einschließen möchten. Sie können die Richtlinie anhand des Namens suchen oder einen benutzerdefinierten Filter erstellen. Sie können nach Plattform und Anwendung filtern, ob die Richtlinie konfiguriert ist und ob die Richtlinie eine empfohlene Sicherheitsbaseline ist.
  9. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie Weiter aus, um Ihre Auswahl zu überprüfen. Wählen Sie dann Erstellen aus, um die Richtlinienkonfiguration zu erstellen.

Verwalten von Richtlinienkonfigurationen

So ändern Sie eine Richtlinienkonfiguration:

  1. Wechseln Sie zur Seite Richtlinienkonfigurationen .
  2. Öffnen Sie die Konfigurationsdetails der Richtlinie, die Sie ändern möchten, indem Sie sie auswählen.
  3. Nehmen Sie die entsprechenden Änderungen an der Richtlinienkonfiguration vor.
  4. Navigieren Sie zur Seite Überprüfen und veröffentlichen .
  5. Wählen Sie Aktualisieren aus, um Ihre Änderungen zu speichern und anzuwenden.

Wenn Sie eine neue Richtlinienkonfiguration erstellen möchten, die einer vorhandenen Richtlinienkonfiguration ähnelt, wählen Sie auf der Seite Richtlinienkonfigurationen die vorhandene Richtlinienkonfiguration und dann Kopieren aus. Nehmen Sie die entsprechenden Änderungen vor, und wählen Sie dann Erstellen aus.

Um zu sehen, welche Richtlinien beim Bearbeiten einer Richtlinienkonfiguration konfiguriert werden, navigieren Sie zum Abschnitt Richtlinien , und filtern Sie nach der Spalte Status , oder wählen Sie oben in der Richtlinientabelle den Slicer Konfiguriert aus. Sie können auch nach Anwendung und Plattform filtern.

Um die Prioritätsreihenfolge für die Richtlinienkonfigurationen zu ändern, wählen Sie auf der Seite Richtlinienkonfigurationen die Option Priorität neu anordnen aus.

Wenn Sie eine Richtlinienkonfiguration exportieren möchten, wählen Sie auf der Seite Richtlinienkonfigurationen die vorhandene Richtlinienkonfiguration und dann Exportieren aus. Durch diese Aktion wird eine CSV-Datei zum Download generiert.

Anwendung der Richtlinienkonfiguration

Der klick-und-run-Dienst, der von Microsoft 365 Apps for Enterprise verwendet wird, checkt regelmäßig beim Cloudrichtliniendienst ein, um festzustellen, ob Richtlinien für den angemeldeten Benutzer vorhanden sind. Falls vorhanden, werden die entsprechenden Richtlinien angewendet und werden wirksam, wenn der Benutzer das nächste Mal eine Office-App öffnet, z. B. Word oder Excel.

  • Wenn eine Office-App gestartet wird oder sich der angemeldete Benutzer ändert, bestimmt der Klick-und-Run-Dienst, ob es zeit ist, Richtlinien für den angemeldeten Benutzer abzurufen.
    • Wenn dies die erste Anmeldung des Benutzers ist, wird der Eincheckaufruf durchgeführt, um Richtlinien für den angemeldeten Benutzer abzurufen.
    • Wenn sich der Benutzer zuvor angemeldet hat, wird der Eincheckaufruf nur durchgeführt, wenn das Eincheckintervall abgelaufen ist.
  • Wenn der Dienst den Eincheckaufruf empfängt, wird Microsoft Entra Gruppenmitgliedschaft für den Benutzer bestimmt.
    • Wenn der Benutzer kein Mitglied einer Microsoft Entra Gruppe ist, der eine Richtlinienkonfiguration zugewiesen ist, informiert der Dienst klick-und-run darüber, dass dieser Benutzer in 24 Stunden zurückgecheckt wird.
    • Wenn der Benutzer Mitglied einer Microsoft Entra Gruppe ist, der eine Richtlinienkonfiguration zugewiesen ist, gibt der Dienst die entsprechenden Richtlinieneinstellungen für den Benutzer zurück und informiert Klick-und-Run, um in 90 Minuten zurückzukehren.
    • Wenn ein Fehler auftritt, wird beim nächsten Öffnen einer Office-App, z. B. Word oder Excel, ein weiterer Eincheckaufruf ausgeführt.
    • Wenn keine Office-Apps ausgeführt werden, wenn der nächste Eincheckaufruf geplant ist, wird die Überprüfung durchgeführt, wenn der Benutzer das nächste Mal eine Office-App öffnet, z. B. Word oder Excel.

Hinweis

  • Richtlinien aus der Cloudrichtlinie werden nur angewendet, wenn die Office-App neu gestartet wird. Das Verhalten ist dasselbe wie bei Gruppenrichtlinie. Für Windows-Geräte werden Richtlinien basierend auf dem primären Benutzer erzwungen, der bei Microsoft 365 Apps for Enterprise angemeldet ist. Wenn mehrere Konten angemeldet sind, werden nur Richtlinien für das primäre Konto angewendet. Wenn das primäre Konto gewechselt wird, werden die meisten Richtlinien, die diesem Konto zugewiesen sind, erst angewendet, wenn die Office-Apps neu gestartet werden. Einige Richtlinien im Zusammenhang mit Datenschutzsteuerelementen gelten, ohne Office-Apps neu zu starten.

  • Wenn sich Benutzer in geschachtelten Gruppen befinden und die übergeordnete Gruppe auf Richtlinien ausgerichtet ist, erhalten die Benutzer in den geschachtelten Gruppen die Richtlinien. Die geschachtelten Gruppen und die Benutzer in diesen geschachtelten Gruppen müssen in Microsoft Entra ID erstellt oder synchronisiert werden.

  • Das Eincheckintervall wird vom Cloudrichtliniendienst gesteuert und während jedes Eincheckaufrufs an klick-und-run übermittelt.

Wenn der Benutzer Mitglied mehrerer Microsoft Entra Gruppen mit in Konflikt stehenden Richtlinieneinstellungen ist, wird die Priorität verwendet, um zu bestimmen, welche Richtlinieneinstellung angewendet wird. Die höchste Priorität wird angewendet, wobei "0" die höchste Priorität ist, die Sie zuweisen können. Sie können die Priorität festlegen, indem Sie auf der Seite Richtlinienkonfigurationendie Option Priorität neu anordnen auswählen.

Darüber hinaus haben Richtlinieneinstellungen, die mithilfe von Cloudrichtlinie implementiert werden, Vorrang vor Richtlinieneinstellungen, die mithilfe von Gruppenrichtlinie unter Windows Server implementiert werden, und haben Vorrang vor Einstellungseinstellungen oder lokal angewendeten Richtlinieneinstellungen.

Baselines

Bei Microsoft sind wir bestrebt, mit der Erstellung moderner Verwaltungstools Innovationen zu entwickeln und den Aufwand für IT-Administratoren zu reduzieren. Vor diesem Grund sind die Baselines in Der Cloudrichtlinie eine weitere Möglichkeit, Zeit beim Bereitstellen von Richtlinien für Ihre organization zu sparen. Die Baselines für Sicherheit und Barrierefreiheit bieten einen eindeutigen Filter für die Gruppenrichtlinie, die erforderlich sind, um Ihre organization zu schützen und Ihre Endbenutzer in die Lage zu versetzen, barrierefreie Inhalte zu erstellen.

Sicherheitsbaseline

Zur einfachen Identifizierung von Sicherheitsbaselinerichtlinien wurde der Richtlinientabelle eine neue Spalte namens Empfehlung hinzugefügt. Richtlinien, die für die Sicherheitsbaseline empfohlen werden, werden in dieser Spalte ausgelöst. Sie können den Spaltenfilter auch verwenden, um die Ansicht nur auf Richtlinien zu beschränken, die als Sicherheitsbaseline gekennzeichnet sind.

Weitere Informationen finden Sie unter Sicherheitsbaseline für Microsoft 365 Apps for Enterprise.

Baseline für Barrierefreiheit

Die meisten unserer Kunden machen Fortschritte, um als organization zugänglicher zu werden. Die Barrierefreiheitsbaseline ermöglicht ES IT-Experten, Barrierefreiheitsrichtlinien zu konfigurieren, damit endbenutzer barrierefreie Inhalte erstellen und die Möglichkeit einschränken können, einstellungen für die Barrierefreiheitsprüfung zu entfernen.

Zusätzliche Informationen zur Cloudrichtlinie

  • Es sind nur benutzerbasierte Richtlinieneinstellungen verfügbar. Computerbasierte Richtlinieneinstellungen sind nicht verfügbar.
  • Wenn neue benutzerbasierte Richtlinieneinstellungen für Office verfügbar gemacht werden, fügt cloud policy diese automatisch hinzu. Es ist nicht erforderlich, aktualisierte Administrative Vorlagendateien (ADMX/ADML) herunterzuladen.
  • Sie können auch Richtlinienkonfigurationen erstellen, um Richtlinieneinstellungen für unterstützte Versionen der Desktop-Apps anzuwenden, die im Abonnementplan von Project und Visio enthalten sind.
  • Das Feature "Health status" wurde in der zweiten Märzhälfte 2022 eingestellt. In Zukunft (zu diesem Zeitpunkt noch kein bekanntes Datum) planen wir die Bereitstellung erweiterter Integritätsberichterstellungs- und Complianceüberwachungsfeatures für Cloudrichtlinien.

Tipps zur Problembehandlung

Wenn die erwarteten Richtlinien nicht ordnungsgemäß auf das Gerät eines Benutzers angewendet werden, probieren Sie die folgenden Aktionen aus:

  • Stellen Sie sicher, dass der Benutzer bei Microsoft 365 Apps for Enterprise angemeldet, aktiviert und über eine gültige Lizenz verfügt.

  • Stellen Sie sicher, dass der Benutzer Teil der entsprechenden Sicherheitsgruppe ist.

  • Vergewissern Sie sich, dass Sie keinen authentifizierten Proxy verwenden.

  • Überprüfen Sie die Priorität der Richtlinienkonfigurationen. Wenn sich der Benutzer in mehreren Sicherheitsgruppen befindet, denen Richtlinienkonfigurationen zugewiesen sind, bestimmt die Priorität der Richtlinienkonfigurationen, welche Richtlinien wirksam werden.

  • In einigen Fällen werden Richtlinien möglicherweise nicht ordnungsgemäß angewendet, wenn sich zwei Benutzer mit unterschiedlichen Richtlinien während derselben Windows-Sitzung auf demselben Gerät bei Office anmelden.

  • Richtlinieneinstellungen, die aus der Cloudrichtlinie abgerufen werden, werden in der Windows-Registrierung unter HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 gespeichert. Dieser Schlüssel wird jedes Mal überschrieben, wenn während des Eincheckvorgangs ein neuer Satz von Richtlinien aus dem Richtliniendienst abgerufen wird.

  • Die Eincheckaktivität des Richtliniendiensts wird in der Windows-Registrierung unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy gespeichert. Wenn Sie diesen Schlüssel löschen und die Office-Apps neu starten, wird der Richtliniendienst beim nächsten Start einer Office-App eingecheckt.

  • Wenn Sie sehen möchten, dass ein Gerät unter Windows das nächste Mal mit der Cloudrichtlinie überprüfen soll, sehen Sie sich fetchInterval unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy an. Der Wert wird in Minuten ausgedrückt. Beispiel: 1440, was 24 Stunden entspricht.

  • Möglicherweise tritt der FetchInterval-Wert 0 auf. Wenn dieser Wert vorhanden ist, wartet der Client 24 Stunden nach dem letzten Einchecken, bevor er versucht, die Überprüfung mit der Cloudrichtlinie erneut durchzuführen.