Del via


Opprett sikkerhetspolicyer for enheter i Grunnleggende mobilitet og sikkerhet

Du kan bruke Grunnleggende mobilitet og sikkerhet til å opprette enhetspolicyer som bidrar til å beskytte organisasjonens informasjon om Microsoft 365 mot uautorisert tilgang. Du kan bruke policyer på alle mobile enheter i organisasjonen der brukeren av enheten har en gjeldende Microsoft 365-lisens og har registrert enheten i Basic Mobility and Security.

Før du starter

Viktig

Før du kan opprette en policy for mobilenheter, må du aktivere og konfigurere Grunnleggende mobilitet og sikkerhet. Hvis du vil ha mer informasjon, kan du se Oversikt over grunnleggende mobilitet og sikkerhet for Microsoft 365.

  • Finn ut mer om enhetene, mobilenhetsappene og sikkerhetsinnstillingene som støttes av Grunnleggende mobilitet og sikkerhet. Se funksjoner for grunnleggende mobilitet og sikkerhet.
  • Opprett sikkerhetsgrupper som inkluderer Microsoft 365-brukere som du vil distribuere policyer til, og for brukere som du kanskje vil utelate fra å bli blokkert tilgang til Microsoft 365. Vi anbefaler at før du distribuerer en ny policy til organisasjonen, tester du policyen ved å distribuere den til et lite antall brukere. Du kan opprette og bruke en sikkerhetsgruppe som bare omfatter deg selv eller et lite antall Microsoft 365-brukere som kan teste policyen for deg. Hvis du vil lære mer om sikkerhetsgrupper, kan du se Opprette, redigere eller slette en sikkerhetsgruppe.
  • Hvis du vil opprette og distribuere policyer for grunnleggende mobilitet og sikkerhet i Microsoft 365, må du være samsvarsadministrator. Hvis du vil ha mer informasjon, kan du se innebygde Microsoft Entra-roller.
  • Før du distribuerer policyer, bør du gi organisasjonen beskjed om de potensielle konsekvensene av å registrere en enhet i Grunnleggende mobilitet og sikkerhet. Avhengig av hvordan du konfigurerer policyene, kan ikke-kompatible enheter blokkeres fra å få tilgang til Microsoft 365 og data, inkludert installerte programmer, bilder og personlige opplysninger på en registrert enhet, og data kan slettes.

Obs!

Policyer og tilgangsregler opprettet i Basic Mobility and Security for Microsoft 365 Business Standard overstyrer postbokspolicyer for Exchange ActiveSync-mobilenheter og tilgangsregler for enheter som er opprettet i administrasjonssenteret for Exchange. Når en enhet er registrert i Basic Mobility and Security for Microsoft 365 Business Standard, ignoreres alle postbokspolicyer for Exchange ActiveSync-mobilenheter eller enhetstilgangsregler som brukes på enheten. Hvis du vil lære mer om Exchange ActiveSync, kan du se Exchange ActiveSync i Exchange Online.

Trinn 1: Opprette en enhetspolicy og distribuere til en testgruppe

Før du kan starte, må du kontrollere at du har aktivert og konfigurert Basic Mobility and Security. Hvis du vil ha instruksjoner, kan du se Oversikt over grunnleggende mobilitet og sikkerhet.

  1. Gå til https://compliance.microsoft.com/basicmobilityandsecurityi nettleseren.

  2. Velg OpprettPolicyer-fanen.

  3. Legg til og navn og en beskrivelse på siden Policynavn , og velg Neste.

  4. Angi kravene du vil bruke på mobile enheter i organisasjonen, på siden For tilgangskrav , og velg Neste.

  5. Velg konfigurasjonskravene for organisasjonen på Konfigurasjoner-siden , og velg Neste.

  6. Velg en sikkerhetsgruppe du vil bruke denne policyen på distribusjonssiden .

  7. Kontroller valgene på Se gjennom-siden , og velg Send.

Policyen sendes til enheten til hver bruker som policyen gjelder for neste gang de logger på Microsoft 365 ved hjelp av den mobile enheten. Hvis brukere ikke har hatt en policy som er brukt på den mobile enheten før, får de et varsel på enheten etter at du har distribuert policyen, som inneholder trinnene for å registrere og aktivere grunnleggende mobilitet og sikkerhet. Hvis du vil ha mer informasjon, kan du se Registrere mobilenheten ved hjelp av Grunnleggende mobilitet og sikkerhet. Inntil de fullfører registreringen i Basic Mobility and Security som driftes av Intune-tjenesten, er tilgang til e-post, OneDrive og andre tjenester begrenset. Når de har fullført registreringen ved hjelp av Firmaportal-appen for Intune, kan de bruke tjenestene og policyen brukes på enheten.

Trinn 2: Kontroller at policyen fungerer

Når du har opprettet en enhetspolicy, må du kontrollere at policyen fungerer som forventet før du distribuerer den til organisasjonen.

  1. Gå til https://compliance.microsoft.com/basicmobilityandsecurityi nettleseren.
  2. Velg Vis listen over administrerte enheter.
  3. Kontroller statusen for brukerenheter som har policyen aktivert. Du vil at tilstanden til enhetene skal administreres.
  4. Du kan også utføre en fullstendig eller selektiv tømming av en enhet ved å klikke på Tilbakestilling av fabrikkinnstillinger eller Fjern firmadata fra Administrer-knappen etter å ha valgt en enhet. Hvis du vil ha instruksjoner, kan du se Tømme en mobil enhet i Basic Mobility and Security.

Trinn 3: Distribuere en policy til organisasjonen

Når du har opprettet en enhetspolicy og kontrollert at den fungerer som forventet, kan du distribuere den til organisasjonen.

  1. Fra nettleseren skriver du inn: https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Velg policyen du vil distribuere, og velg Rediger ved siden av Grupper som er brukt på.
  3. Søk etter en gruppe du vil legge til, og klikk på Velg.
  4. Velg Lukk og endre innstillingen.
  5. Velg Lukk og rediger policy.

Policyen sendes til den mobile enheten til hver bruker som policyen gjelder for neste gang de logger seg på Microsoft 365 fra den mobile enheten. Hvis brukere ikke har hatt en policy som gjelder for den mobile enheten, får de et varsel på enheten med trinn for å registrere og aktivere den for grunnleggende mobilitet og sikkerhet. Når de har fullført registreringen, brukes policyen på enheten. Hvis du vil ha mer informasjon, kan du se Registrere mobilenheten ved hjelp av Grunnleggende mobilitet og sikkerhet.

Trinn 4: Blokkere e-posttilgang for enheter som ikke støttes

For å sikre organisasjonsinformasjonen bør du blokkere apptilgang til Microsoft 365-e-post for mobile enheter som ikke støttes av Basic Mobility and Security. Hvis du vil ha en liste over støttede enheter, kan du se Støttede enheter.

Slik blokkerer du apptilgang:

  1. Skriv inn https://compliance.microsoft.com/basicmobilityandsecurityi nettleseren.

  2. Velg Organisasjonsinnstillinger-fanen .

  3. Hvis du vil blokkere enheter som ikke støttes, velger du Access under Hvis en enhet ikke støttes av Basic Mobility and Security for Microsoft 365, og deretter velger du Lagre.

    Alternativ for enkel mobilitet og sikkerhet for blokktilgang.

Trinn 5: Velg sikkerhetsgrupper som skal utelates fra betingede tilgangskontroller

Hvis du vil utelate noen personer fra betingede tilgangskontroller på de mobile enhetene, og du har opprettet én eller flere sikkerhetsgrupper for disse personene, kan du legge til sikkerhetsgruppene her. Personene i disse gruppene har ingen policyer som håndheves for de støttede mobilenhetene. Dette er det anbefalte alternativet hvis du ikke lenger vil bruke Grunnleggende mobilitet og sikkerhet i organisasjonen.

  1. Skriv inn https://compliance.microsoft.com/basicmobilityandsecurityi nettleseren.

  2. Velg Organisasjonsinnstillinger-fanen .

    Grunnleggende mobilitet og sikkerhet oppretter et policyalternativ.

  3. Velg Legg til for å legge til sikkerhetsgruppen som har brukere du vil utelate fra å ha blokkert tilgang til Microsoft 365. Når en bruker er lagt til i denne listen, får de tilgang til e-post fra Microsoft 365 når de bruker en enhet som ikke støttes.

  4. Velg sikkerhetsgruppen du vil bruke, i velg gruppepanelet .

  5. Velg navnet, og legg deretter til>Lagre.

  6. Velg Lagre i organisasjonsinnstillingspanelet.

    Alternativet Grunnleggende mobilitet og sikkerhet gir tilgang.

Hva er virkningen av sikkerhetspolicyer på ulike enhetstyper?

Når du bruker en policy på brukerenheter, varierer innvirkningen på hver enhet noe mellom enhetstyper. Se tabellen nedenfor for eksempler på virkningen av policyer på forskjellige enheter.

Sikkerhetspolicy Androide Samsung KNOX iOS Merknader
Krev kryptert sikkerhetskopiering Nei Ja Ja iOS-kryptert sikkerhetskopiering kreves.
Blokker sikkerhetskopiering av skyen Ja Ja Ja Blokker Google-sikkerhetskopiering på Android (nedtonet), skysikkerhetskopiering på overvåket iOS.
Blokker dokumentsynkronisering Nei Nei Ja iOS: Blokker dokumenter i skyen på overvåkede iOS-enheter.
Blokker bildesynkronisering Nei Nei Ja iOS (opprinnelig): Blokker fotostrøm.
Blokker skjerminnspilling Nei Ja Ja Blokkert ved forsøk.
Blokker videokonferanse Nei Nei Ja FaceTime er blokkert på overvåkede iOS-enheter, ikke på Skype eller andre.
Blokkere sending av diagnosedata Nei Ja Ja Blokker sending av Google-krasjrapport på Android.
Blokker tilgang til App Store Nei Ja Ja App Store-ikonet mangler på hjemmesiden for Android, deaktivert på Windows og overvåkede iOS-enheter.
Krev passord for App Store Nei Nei Ja iOS: Passord kreves for iTunes-kjøp.
Blokker tilkobling til flyttbar lagring Nei Ja I/T Android: SD-kortet er nedtonet i innstillinger, Windows varsler brukeren, apper som er installert, er ikke tilgjengelige
Blokker Bluetooth-tilkobling Se notater Se notater Ja Vi kan ikke deaktivere BlueTooth som en innstilling på Android. I stedet deaktiverer vi alle transaksjonene som krever BlueTooth: Avansert lyddistribusjon, lyd-/video-fjernkontroll, håndfrie enheter, hodetelefoner, telefonboktilgang og seriell port. En liten melding vises nederst på siden når noen av disse brukes.

Hva skjer når du sletter en policy eller fjerner en bruker fra policyen?

Når du sletter en policy eller fjerner en bruker fra en gruppe som policyen ble distribuert til, kan policyinnstillingene, e-postprofilen for Microsoft 365 og bufrede e-postmeldinger bli fjernet fra brukerens enhet. Se tabellen nedenfor for å se hva som fjernes for de ulike enhetstypene.

Hva er fjernet iOS Android (inkludert Samsung KNOX)
Administrerte e-postprofiler1 Ja Nei
Blokker sikkerhetskopiering av skyen Ja Nei

1 Hvis policyen ble distribuert med alternativet E-postprofil er administrert , slettes den administrerte e-postprofilen og bufrede e-postmeldinger i profilen fra brukerenheten.

Policyen fjernes fra den mobile enheten for hver bruker som policyen gjelder for neste gang enheten sjekker inn med Grunnleggende mobilitet og sikkerhet. Hvis du distribuerer en ny policy som gjelder for disse brukerenhetene, blir de bedt om å registrere seg på nytt i Basic Mobility and Security.

Du kan også tømme en enhet helt eller selektivt slette organisasjonsinformasjon fra enheten. Hvis du vil ha mer informasjon, kan du se Tømme en mobil enhet i Basic Mobility and Security.

Oversikt over grunnleggende mobilitet og sikkerhet (artikkel)
Funksjoner for grunnleggende mobilitet og sikkerhet (artikkel)