Opprett sikkerhetspolicyer for enheter i Grunnleggende sikkerhet for mobile enheter
Du kan bruke Grunnleggende sikkerhet for mobile enheter til å opprette enhetspolicyer som bidrar til å beskytte organisasjonens informasjon om Microsoft 365 mot uautorisert tilgang. Du kan bruke policyer på alle mobile enheter i organisasjonen der brukeren av enheten har en gjeldende Microsoft 365-lisens og har registrert enheten i Grunnleggende sikkerhet for mobile enheter.
Før du starter
Viktig
Før du kan opprette en policy for mobilenheter, må du aktivere og konfigurere Grunnleggende sikkerhet for mobile enheter. Hvis du vil ha mer informasjon, kan du se Oversikt over Grunnleggende sikkerhet for mobile enheter for Microsoft 365.
- Finn ut mer om enhetene, mobilenhetsappene og sikkerhetsinnstillingene som Grunnleggende sikkerhet for mobile enheter støtter. Se funksjoner for Grunnleggende sikkerhet for mobile enheter.
- Opprett sikkerhetsgrupper som inkluderer Microsoft 365-brukere som du vil distribuere policyer til, og for brukere som du kanskje vil utelate fra å bli blokkert tilgang til Microsoft 365. Vi anbefaler at før du distribuerer en ny policy til organisasjonen, tester du policyen ved å distribuere den til et lite antall brukere. Du kan opprette og bruke en sikkerhetsgruppe som bare omfatter deg selv eller et lite antall Microsoft 365-brukere som kan teste policyen for deg. Hvis du vil lære mer om sikkerhetsgrupper, kan du se Opprett, redigere eller slette en sikkerhetsgruppe.
- Hvis du vil opprette og distribuere Grunnleggende sikkerhet for mobile enheter policyer i Microsoft 365, må du være en global Microsoft 365-administrator. Hvis du vil ha mer informasjon, kan du se Roller og rollegrupper i Microsoft Defender og Microsoft Purview-samsvar.
- Før du distribuerer policyer, bør du gi organisasjonen beskjed om de potensielle konsekvensene av å registrere en enhet i Grunnleggende sikkerhet for mobile enheter. Avhengig av hvordan du konfigurerer policyene, kan ikke-kompatible enheter blokkeres fra å få tilgang til Microsoft 365 og data, inkludert installerte programmer, bilder og personlige opplysninger på en registrert enhet, og data kan slettes.
Obs!
Policyer og tilgangsregler som er opprettet i Grunnleggende sikkerhet for mobile enheter for Microsoft 365 Business Standard overstyrer Exchange ActiveSync postbokspolicyer for mobilenheter og tilgangsregler for enheter som er opprettet i administrasjonssenteret for Exchange. Når en enhet er registrert i Grunnleggende sikkerhet for mobile enheter for Microsoft 365 Business Standard, ignoreres alle Exchange ActiveSync postbokspolicy for mobil enhet eller enhetstilgangsregel som brukes på enheten. Hvis du vil ha mer informasjon om Exchange ActiveSync, kan du se Exchange ActiveSync i Exchange Online.
Trinn 1: Opprett en enhetspolicy og distribuere til en testgruppe
Før du kan begynne, må du kontrollere at du har aktivert og konfigurert Grunnleggende sikkerhet for mobile enheter. Hvis du vil ha instruksjoner, kan du se Oversikt over Grunnleggende sikkerhet for mobile enheter.
Gå til https://compliance.microsoft.com/basicmobilityandsecurityi nettleseren.
Velg Opprett på Policyer-fanen.
Legg til og navn og en beskrivelse på siden Policynavn , og velg Neste.
Angi kravene du vil bruke på mobile enheter i organisasjonen, på siden For tilgangskrav , og velg Neste.
Velg konfigurasjonskravene for organisasjonen på Konfigurasjoner-siden , og velg Neste.
Velg en sikkerhetsgruppe du vil bruke denne policyen på distribusjonssiden .
Kontroller valgene på Se gjennom-siden , og velg Send.
Policyen sendes til enheten til hver bruker som policyen gjelder for neste gang de logger på Microsoft 365 ved hjelp av den mobile enheten. Hvis brukere ikke har hatt en policy som er brukt på den mobile enheten før, får de et varsel på enheten sin etter at du har distribuert policyen, som inneholder trinnene for å registrere og aktivere Grunnleggende sikkerhet for mobile enheter. Hvis du vil ha mer informasjon, kan du se Registrere mobilenheten ved hjelp av Grunnleggende sikkerhet for mobile enheter. Før de fullfører registreringen i Grunnleggende sikkerhet for mobile enheter driftet av Intune-tjenesten, er tilgang til e-post, OneDrive og andre tjenester begrenset. Når de har fullført registreringen ved hjelp av Intune firmaportal-appen, kan de bruke tjenestene og policyen brukes på enheten.
Trinn 2: Kontroller at policyen fungerer
Når du har opprettet en enhetspolicy, må du kontrollere at policyen fungerer som forventet før du distribuerer den til organisasjonen.
- Gå til https://compliance.microsoft.com/basicmobilityandsecurityi nettleseren.
- Velg Vis listen over administrerte enheter.
- Kontroller statusen for brukerenheter som har policyen aktivert. Du vil at tilstanden til enhetene skal administreres.
- Du kan også utføre en fullstendig eller selektiv tømming av en enhet ved å klikke på Tilbakestilling av fabrikkinnstillinger eller Fjern firmadata fra Administrer-knappen etter å ha valgt en enhet. Hvis du vil ha instruksjoner, kan du se Tømme en mobil enhet i Grunnleggende sikkerhet for mobile enheter.
Trinn 3: Distribuere en policy til organisasjonen
Når du har opprettet en enhetspolicy og kontrollert at den fungerer som forventet, kan du distribuere den til organisasjonen.
- Fra nettleseren skriver du inn: https://compliance.microsoft.com/basicmobilityandsecurity.
- Velg policyen du vil distribuere, og velg Rediger ved siden av Grupper brukt på.
- Søk for en gruppe som skal legges til, og klikk på Velg.
- Velg Lukk og endre innstillingen.
- Velg Lukk og rediger policy.
Policyen sendes til den mobile enheten til hver bruker som policyen gjelder for neste gang de logger seg på Microsoft 365 fra den mobile enheten. Hvis brukere ikke har hatt en policy som gjelder for den mobile enheten, får de et varsel på enheten med trinn for å registrere og aktivere den for Grunnleggende sikkerhet for mobile enheter. Når de har fullført registreringen, brukes policyen på enheten. Hvis du vil ha mer informasjon, kan du se Registrere mobilenheten ved hjelp av Grunnleggende sikkerhet for mobile enheter.
Trinn 4: Blokkere e-posttilgang for enheter som ikke støttes
For å sikre organisasjonsinformasjonen bør du blokkere apptilgang til Microsoft 365-e-post for mobile enheter som ikke støttes av Grunnleggende sikkerhet for mobile enheter. Hvis du vil ha en liste over støttede enheter, kan du se Støttede enheter.
Slik blokkerer du apptilgang:
Skriv inn https://compliance.microsoft.com/basicmobilityandsecurityi nettleseren.
Velg Organisasjonsinnstillinger-fanen .
Hvis du vil blokkere enheter som ikke støttes, velger du Access under Hvis en enhet ikke støttes av Grunnleggende sikkerhet for mobile enheter for Microsoft 365, og deretter velger du Lagre.
Trinn 5: Velg sikkerhetsgrupper som skal utelates fra betingede tilgangskontroller
Hvis du vil utelate noen personer fra betingede tilgangskontroller på de mobile enhetene, og du har opprettet én eller flere sikkerhetsgrupper for disse personene, kan du legge til sikkerhetsgruppene her. Personene i disse gruppene har ingen policyer som håndheves for de støttede mobilenhetene. Dette er det anbefalte alternativet hvis du ikke lenger vil bruke Grunnleggende sikkerhet for mobile enheter i organisasjonen.
Skriv inn https://compliance.microsoft.com/basicmobilityandsecurityi nettleseren.
Velg Organisasjonsinnstillinger-fanen .
Velg Legg til for å legge til sikkerhetsgruppen som har brukere du vil utelate fra å ha blokkert tilgang til Microsoft 365. Når en bruker er lagt til i denne listen, får de tilgang til e-post fra Microsoft 365 når de bruker en enhet som ikke støttes.
Velg sikkerhetsgruppen du vil bruke, i velg gruppepanelet .
Velg navnet, og legg deretter til>Lagre.
Velg Lagre i organisasjonsinnstillingspanelet.
Hva er virkningen av sikkerhetspolicyer på ulike enhetstyper?
Når du bruker en policy på brukerenheter, varierer innvirkningen på hver enhet noe mellom enhetstyper. Se tabellen nedenfor for eksempler på virkningen av policyer på forskjellige enheter.
| Sikkerhetspolicy | Android | Samsung KNOX | iOS | Merknader |
|---|---|---|---|---|
| Krev kryptert sikkerhetskopiering | Nei | Ja | Ja | iOS-kryptert sikkerhetskopiering kreves. |
| Blokker sikkerhetskopiering av skyen | Ja | Ja | Ja | Blokker Google-sikkerhetskopiering på Android (nedtonet), skysikkerhetskopiering på overvåket iOS. |
| Blokker dokumentsynkronisering | Nei | Nei | Ja | iOS: Blokker dokumenter i skyen på overvåkede iOS-enheter. |
| Blokker bildesynkronisering | Nei | Nei | Ja | iOS (opprinnelig): Blokker Stream. |
| Blokker skjerminnspilling | Nei | Ja | Ja | Blokkert ved forsøk. |
| Blokker videokonferanse | Nei | Nei | Ja | FaceTime er blokkert på overvåkede iOS-enheter, ikke på Skype eller andre. |
| Blokkere sending av diagnosedata | Nei | Ja | Ja | Blokker sending av Google-krasjrapport på Android. |
| Blokker tilgang til App Store | Nei | Ja | Ja | App Store-ikonet mangler på hjemmesiden for Android, deaktivert på Windows og overvåkede iOS-enheter. |
| Krev passord for App Store | Nei | Nei | Ja | iOS: Passord kreves for iTunes-kjøp. |
| Blokker tilkobling til flyttbar lagring | Nei | Ja | I/T | Android: SD-kortet er nedtonet i innstillinger, Windows varsler brukeren, apper som er installert, er ikke tilgjengelige |
| Blokker Bluetooth-tilkobling | Se notater | Se notater | Ja | Vi kan ikke deaktivere BlueTooth som en innstilling på Android. I stedet deaktiverer vi alle transaksjonene som krever BlueTooth: Avansert lyddistribusjon, lyd-/video-fjernkontroll, håndfrie enheter, hodetelefoner, telefonboktilgang og seriell port. En liten melding vises nederst på siden når noen av disse brukes. |
Hva skjer når du sletter en policy eller fjerner en bruker fra policyen?
Når du sletter en policy eller fjerner en bruker fra en gruppe som policyen ble distribuert til, kan policyinnstillingene, e-postprofilen for Microsoft 365 og bufrede e-postmeldinger bli fjernet fra brukerens enhet. Se tabellen nedenfor for å se hva som fjernes for de ulike enhetstypene.
| Hva er fjernet | iOS | Android (inkludert Samsung KNOX) |
|---|---|---|
| Administrerte e-postprofiler1 | Ja | Nei |
| Blokker sikkerhetskopiering av skyen | Ja | Nei |
1 Hvis policyen ble distribuert med alternativet E-postprofil er administrert , slettes den administrerte e-postprofilen og bufrede e-postmeldinger i profilen fra brukerenheten.
Policyen fjernes fra den mobile enheten for hver bruker som policyen gjelder for neste gang enheten sjekker inn med Grunnleggende sikkerhet for mobile enheter. Hvis du distribuerer en ny policy som gjelder for disse brukerenhetene, blir de bedt om å registrere seg på nytt i Grunnleggende sikkerhet for mobile enheter.
Du kan også tømme en enhet helt eller selektivt slette organisasjonsinformasjon fra enheten. Hvis du vil ha mer informasjon, kan du se Tømme en mobil enhet i Grunnleggende sikkerhet for mobile enheter.
Beslektet innhold
Oversikt over Grunnleggende sikkerhet for mobile enheter (artikkel)
Funksjoner i Grunnleggende sikkerhet for mobile enheter (artikkel)
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for