Обзор службы облачной политики для Microsoft 365

  • Статья

Примечание.

"Служба облачной политики Office" переименована в "Служба облачной политики для Microsoft 365". В большинстве случаев мы просто будем называть его облачной политикой.

Облачная служба политики для Microsoft 365 позволяет применять параметры политики для Приложения Microsoft 365 для предприятий на устройстве пользователя, даже если устройство не присоединено к домену или не управляется иным образом. Когда пользователь входит в приложения Microsoft 365 для предприятий на устройстве, параметры политики перемещаются на это устройство. Параметры политики доступны для устройств под управлением Windows, macOS, iOS и Android, хотя не все параметры политики доступны для всех операционных систем. Вы также можете применить некоторые параметры политики для Office для Интернета, как для пользователей, выполнивших вход, так и для пользователей, которые получают анонимный доступ к документам.

Облачная политика является частью Центра администрирования Приложения Microsoft 365. Служба включает в себя множество параметров политики на основе пользователей, доступных в групповая политика. Вы также можете использовать облачную политику непосредственно в Центре администрирования Microsoft Intune в разделе Политики приложений>>для приложений Office.

Требования к использованию облачной политики

Ниже приведены требования к использованию облачной политики с Приложения Microsoft 365 для предприятий.

  • Поддерживаемая версия Приложения Microsoft 365 для предприятий.
  • Учетные записи пользователей, созданные в Azure Active Directory или синхронизированные с ней (Azure AD). Пользователь должен войти в Приложения Microsoft 365 для предприятий с помощью учетной записи на основе Azure AD.
  • Облачная политика поддерживает Группы Microsoft 365 и группы безопасности Azure AD, созданные в Azure AD или синхронизированные с ней. Тип членства может быть динамическим или назначенным.
  • Чтобы создать конфигурацию политики, вам должна быть назначена одна из следующих ролей в Azure AD: глобальный администратор, администратор безопасности или Office Apps Администратор.
  • Необходимые URL-адреса и диапазоны IP-адресов должны быть правильно настроены в сети.
  • Прокси-серверы, прошедшие проверку подлинности, не поддерживаются службой облачной политики.

Важно!

  • Облачная политика недоступна для клиентов, у которых есть следующие планы: Office 365 управляется 21Vianet, Office 365 GCC или Office 365 GCC High и DoD.
  • Конфигурацию политики нельзя применить к версиям Office с корпоративной лицензией, которые используют функцию "нажми и запускай", например Office LTSC профессиональный плюс 2021 или Office стандартный 2019.
  • Вы можете создать конфигурацию политики для Приложения Microsoft 365 для бизнеса, но поддерживаются только параметры политики, связанные с элементами управления конфиденциальностью. Дополнительные сведения см. статье Использование параметров политики для управления средствами управления конфиденциальностью в Microsoft Office 365 профессиональный плюс.

Действия по созданию конфигурации политики

Ниже приведены основные шаги по созданию конфигурации политики.

  1. Войдите в Центр администрирования Приложения Microsoft 365. Если вы используете Центр администрирования в первый раз, ознакомьтесь с условиями. Затем выберите Принять.
  2. В разделе Настройка выберите Управление политиками.
  3. На странице Конфигурации политик выберите Создать.
  4. На странице Начать с основных сведений введите имя (обязательно) и описание (необязательно), а затем нажмите кнопку Далее.
  5. На странице Выбор область укажите, применяется ли конфигурация политики к определенной группе или к пользователям, которые анонимно получают доступ к документам с помощью Office для Интернета.
  6. Если конфигурация политики применяется к определенной группе, выберите группу. Каждая конфигурация политики может быть назначена только одной группе, а каждой группе может быть назначена только одна конфигурация политики. Но выбранная группа может содержать другие (вложенные) группы.
  7. После выбора нажмите кнопку Далее.
  8. На странице Настройка параметров выберите политики, которые нужно включить в конфигурацию политики. Вы можете выполнить поиск политики по имени или создать пользовательский фильтр. Вы можете фильтровать по платформе, по приложениям, по настройке политики и по тому, является ли политика рекомендуемой базовой базой безопасности.
  9. После выбора нажмите кнопку Далее , чтобы просмотреть выбранные варианты. Затем нажмите кнопку Создать , чтобы создать конфигурацию политики.

Управление конфигурациями политик

Чтобы изменить конфигурацию политики, выполните следующие действия.

  1. Перейдите на страницу Конфигурации политик .
  2. Выберите конфигурацию политики, которую необходимо изменить. Откроется информация о конфигурации.
  3. Внесите соответствующие изменения в конфигурацию политики.
  4. Перейдите на страницу Рецензирование и публикация .
  5. Выберите Обновить , чтобы сохранить и применить изменения.

Если вы хотите создать новую конфигурацию политики, аналогичную существующей конфигурации политики, выберите существующую конфигурацию политики на странице Конфигурации политик и нажмите кнопку Копировать. Внесите соответствующие изменения и нажмите кнопку Создать.

Чтобы узнать, какие политики настраиваются при изменении конфигурации политики, перейдите в раздел Политики и отфильтруйте по столбцу Состояние или выберите срез Настроено в верхней части таблицы политик. Вы также можете выполнять фильтрацию по приложениям и платформам.

Чтобы изменить порядок приоритетов для конфигураций политик, выберите Изменить порядок приоритета на странице Конфигурации политики .

Если вы хотите экспортировать конфигурацию политики, выберите существующую конфигурацию политики на странице Конфигурации политики , а затем выберите Экспорт. При этом будет создан CSV-файл для скачивания.

Применение конфигурации политики

Служба "нажми и запускай", используемая Приложения Microsoft 365 для предприятий регулярно проверяет с помощью облачной политики, чтобы узнать, есть ли какие-либо конфигурации политики, относящиеся к пользователю. Если они есть, то соответствующие параметры политики применяются и вступают в силу при следующем открытии приложения Office, например Word или Excel.

Ниже приведена сводка о том, что происходит:

  • Когда пользователь впервые входит в Office на устройстве, немедленно выполняется проверка, чтобы узнать, есть ли конфигурация политики, относящаяся к пользователю.

  • Если пользователь не является членом Azure AD группы, назначенной конфигурацией политики, через 24 часа выполняется еще одно проверка.

  • Если пользователь является членом Azure AD группы, которому назначена конфигурация политики, применяются соответствующие параметры политики. Через 90 минут снова выполняется проверка.

  • Если с момента последнего проверка в конфигурации политики произошли какие-либо изменения, применяются соответствующие параметры политики, а через 90 минут снова выполняется еще одно проверка.

  • Если с момента последнего проверка в конфигурации политики не было изменений, через 24 часа снова будет выполнено еще одно проверка.

  • Если возникает ошибка, при открытии пользователем приложения Office, например Word или Excel, выполняется проверка.

  • Если при планировании следующего проверка приложения Office не выполняются, то при следующем открытии приложения Office проверка будет выполнено проверка.

Примечание.

  • Политики из облачной политики применяются только при перезапуске приложения Office. Поведение аналогично групповая политика. Для устройств Windows политики применяются в зависимости от основного пользователя, вошедшего в Приложения Microsoft 365 для предприятий. Если в систему вошли несколько учетных записей, применяются только политики для основной учетной записи. При переключении основной учетной записи большинство политик, назначенных этой учетной записи, не будут применяться до перезапуска приложений Office. Некоторые политики, связанные с элементами управления конфиденциальностью , будут применяться без перезапуска приложений Office.

  • Если пользователи находятся во вложенных группах, а родительская группа ориентирована на политики, пользователи во вложенных группах получат политики. Вложенные группы и пользователи в этих вложенных группах должны быть созданы или синхронизированы с Azure AD.

Если пользователь является членом нескольких Azure AD групп с конфликтующими параметрами политики, приоритет используется для определения примененного параметра политики. Применяется самый высокий приоритет, при этом "0" является наивысшим приоритетом, который можно назначить. Вы можете задать приоритет, выбрав Изменить порядок приоритета на странице Конфигурации политики .

Кроме того, параметры политики, реализованные с помощью облачной политики, имеют приоритет над параметрами политики, реализованными с помощью групповая политика в Windows Server, и имеют приоритет над параметрами предпочтения или локально примененными параметрами политики.

Базовые показатели

Корпорация Майкрософт стремится внедрять инновации и уменьшать нагрузку ИТ-администраторов благодаря созданию современных средств управления. При этом базовые показатели в облачной политике — это еще один способ сэкономить время при развертывании политики для организации. Базовые показатели безопасности и специальных возможностей предоставляют уникальный фильтр для групповая политика вам потребуется защитить организацию и предоставить пользователям возможность создавать доступное содержимое.

Базовая конфигурация безопасности

Чтобы легко определить базовые политики безопасности, мы добавили новый столбец в таблицу политик с именем Рекомендация. Политики, рекомендуемые для базовых показателей безопасности, будут помечены в этом столбце. Вы также можете использовать фильтр столбцов, чтобы ограничить представление только политиками, помеченными как базовые показатели безопасности.

Дополнительные сведения см. в статье Базовые показатели безопасности для Приложения Microsoft 365 для предприятий

Базовый уровень специальных возможностей

Большинство наших клиентов делают шаги, чтобы стать более доступными как организация. Базовые возможности специальных возможностей позволят ИТ-специалистам настраивать политики специальных возможностей, чтобы пользователи могли создавать содержимое со специальными возможностями, а также ограничивать возможность удаления параметров средства проверки читаемости из отключенных.

Дополнительные сведения об облачной политике

  • Доступны только параметры политики на основе пользователя. Параметры политики на основе компьютера недоступны.
  • По мере того как новые пользовательские параметры политики становятся доступными для Office, облачная политика автоматически добавит их. Скачивание обновленных файлов административных шаблонов (ADMX/ADML) не требуется.
  • Вы также можете создать конфигурации политик для применения параметров политики для поддерживаемых версий классических приложений, которые поставляются с планами подписки Project и Visio.
  • Функция состояния работоспособности была прекращена во второй половине марта 2022 года. В будущем (пока неизвестная дата) мы планируем предоставить расширенные функции создания отчетов о работоспособности и мониторинга соответствия требованиям для облачной политики.

Советы по устранению неполадок

Если ожидаемые политики неправильно применены к устройству пользователя, попробуйте выполнить следующие действия:

  • Убедитесь, что пользователь вошел в Приложения Microsoft 365 для предприятий, активировал его и имеет действительную лицензию.

  • Убедитесь, что пользователь входит в соответствующую группу безопасности.

  • Убедитесь, что вы не используете прокси-сервер с проверкой подлинности.

  • Проверьте приоритет конфигураций политики. Если пользователь входит в несколько групп безопасности, которым назначены конфигурации политик, приоритет конфигураций политики определяет, какие политики вступают в силу.

  • В некоторых случаях политики могут применяться неправильно, если два пользователя с разными политиками входят в Office на одном устройстве во время одного сеанса Windows.

  • Параметры политики, полученные из облачной политики, хранятся в реестре Windows в HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0. Этот ключ перезаписывается каждый раз, когда новый набор политик извлекается из службы политик в процессе проверка.

  • Действие проверка службы политик хранится в реестре Windows в HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. При удалении этого ключа и перезапуске приложений Office служба политики будет проверка при следующем запуске приложения Office.

  • Если вы хотите увидеть, когда устройство под управлением Windows планируется проверка с помощью облачной политики, просмотрите раздел FetchInterval в разделе HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. Значение выражается в минутах. Например, 1440, что соответствует 24 часам.

  • Вы можете столкнуться со значением FetchInterval, равным 0. Если это значение существует, клиент будет ожидать 24 часа с последнего проверка, прежде чем снова попытаться проверка с помощью облачной политики.