Обзор службы облачной политики для Microsoft 365

  • Статья

Примечание.

"Служба облачной политики Office" переименована в "Служба облачной политики для Microsoft 365". В большинстве случаев мы просто будем называть его облачной политикой.

Облачная служба политики для Microsoft 365 позволяет применять параметры политики для Приложения Microsoft 365 для предприятий на устройстве пользователя, даже если устройство не присоединено к домену или не управляется иным образом. Когда пользователь входит в приложения Microsoft 365 для предприятий на устройстве, параметры политики перемещаются на это устройство. Параметры политики доступны для устройств под управлением Windows, macOS, iOS и Android, хотя не все параметры политики доступны для всех операционных систем. Вы также можете применить некоторые параметры политики для Office для Интернета и циклов, как для гостевых пользователей, которые вошли в систему, так и для пользователей, которые получают анонимный доступ к документам.

Облачная политика является частью Центра администрирования Приложения Microsoft 365. Служба включает в себя множество параметров политики на основе пользователей, доступных в групповая политика. Вы также можете использовать облачную политику непосредственно в Центре администрирования Microsoft Intune в разделе Политики приложений>>для приложений Office.

Требования к использованию облачной политики

Ниже приведены требования к использованию облачной политики с Приложения Microsoft 365 для предприятий.

  • Поддерживаемая версия Приложения Microsoft 365 для предприятий.
  • Учетные записи пользователей, созданные в или синхронизированные с Microsoft Entra ID. Пользователь должен войти в Приложения Microsoft 365 для предприятий с помощью учетной записи на основе Microsoft Entra ID.
  • Облачная политика поддерживает Группы Microsoft 365 и группы безопасности Microsoft Entra, созданные в Microsoft Entra ID или синхронизированные с ней. Тип членства может быть динамическим или назначенным.
  • Чтобы создать конфигурацию политики, вам должна быть назначена одна из следующих ролей в Microsoft Entra ID: глобальный администратор, администратор безопасности или office Apps Администратор.
  • Необходимые URL-адреса и диапазоны IP-адресов должны быть правильно настроены в сети.
  • Служба облачной политики не поддерживает прокси-серверы, прошедшие проверку подлинности.

Важно!

  • Облачная политика недоступна для клиентов, у которых есть следующие планы: Office 365 управляется 21Vianet, Office 365 GCC или Office 365 GCC High и DoD.
  • Конфигурацию политики нельзя применить к версиям Office с корпоративной лицензией, которые используют функцию "нажми и запускай", например Office LTSC профессиональный плюс 2021 или Office стандартный 2019.
  • Вы можете создать конфигурацию политики для Приложения Microsoft 365 для бизнеса, но поддерживаются только параметры политики, связанные с элементами управления конфиденциальностью. Дополнительные сведения см. статье Использование параметров политики для управления средствами управления конфиденциальностью в Microsoft Office 365 профессиональный плюс.

Действия по созданию конфигурации политики

Ниже приведены основные шаги по созданию конфигурации политики.

  1. Войдите в Центр администрирования Приложения Microsoft 365. Если вы используете Центр администрирования в первый раз, ознакомьтесь с условиями. Затем выберите Принять.
  2. В разделе Настройка выберите Управление политиками.
  3. На странице Конфигурации политик выберите Создать.
  4. На странице Начать с основных сведений введите имя (обязательно) и описание (необязательно), а затем нажмите кнопку Далее.
  5. На странице Выбор область определите, применяется ли конфигурация политики ко всем пользователям, определенным группам или к пользователям, которые анонимно получают доступ к документам с помощью Office для Интернета.
  6. Если конфигурация политики применяется к определенным группам, теперь можно добавить несколько групп в одну конфигурацию политики для более гибкого нацеливания. Чтобы добавить группы, выберите Добавить группы и выберите соответствующие группы. Добавление нескольких групп в одну конфигурацию политики позволяет включить одну группу в несколько конфигураций политик, что упрощает процесс управления политиками.
  7. Выбрав нужный вариант, нажмите кнопку Далее.
  8. На странице Настройка параметров выберите политики, которые нужно включить в конфигурацию политики. Вы можете выполнить поиск политики по имени или создать пользовательский фильтр. Вы можете фильтровать по платформе, по приложениям, по настройке политики и по тому, является ли политика рекомендуемой базовой базой безопасности.
  9. После выбора нажмите кнопку Далее , чтобы просмотреть выбранные варианты. Затем нажмите кнопку Создать , чтобы создать конфигурацию политики.

Управление конфигурациями политик

Чтобы изменить конфигурацию политики, выполните следующие действия.

  1. Перейдите на страницу Конфигурации политик .
  2. Откройте сведения о конфигурации политики, которую нужно изменить, выбрав ее.
  3. Внесите соответствующие изменения в конфигурацию политики.
  4. Перейдите на страницу Рецензирование и публикация .
  5. Выберите Обновить , чтобы сохранить и применить изменения.

Если вы хотите создать новую конфигурацию политики, аналогичную существующей конфигурации политики, выберите существующую конфигурацию политики на странице Конфигурации политик и нажмите кнопку Копировать. Внесите соответствующие изменения и нажмите кнопку Создать.

Чтобы узнать, какие политики настраиваются при изменении конфигурации политики, перейдите в раздел Политики и отфильтруйте по столбцу Состояние или выберите срез Настроено в верхней части таблицы политик. Вы также можете выполнять фильтрацию по приложениям и платформам.

Чтобы изменить порядок приоритетов для конфигураций политик, выберите Изменить порядок приоритета на странице Конфигурации политики .

Если вы хотите экспортировать конфигурацию политики, выберите существующую конфигурацию политики на странице Конфигурации политики , а затем выберите Экспорт. Это действие создает CSV-файл для скачивания.

Применение конфигурации политики

Служба "нажми и запускай", используемая Приложения Microsoft 365 для предприятий регулярно регистрируется в службе облачной политики, чтобы узнать, есть ли какие-либо политики, относящиеся к вошедшего пользователя. Если они есть, то соответствующие политики применяются и вступают в силу при следующем открытии пользователем приложения Office, например Word или Excel.

  • При запуске приложения Office или изменении пользователя, выполнившего вход, служба "нажми и работу" определяет, пора ли получить политики для вошедшего пользователя.
    • Если это первый вход пользователя, вызов проверка выполняется для получения политик для вошедшего пользователя.
    • Если пользователь ранее вошел в систему, вызов проверка выполняется только в том случае, если интервал проверка истек.
  • Когда служба получает вызов проверка, для пользователя определяется Microsoft Entra членство в группе.
    • Если пользователь не является членом Microsoft Entra группы, которому назначена конфигурация политики, служба уведомляет пользователя о проверка в течение 24 часов.
    • Если пользователь является членом Microsoft Entra группы, назначенной конфигурацией политики, служба возвращает соответствующие параметры политики для пользователя и сообщает о необходимости проверка в течение 90 минут.
    • Если возникает ошибка, при следующем открытии пользователем приложения Office, например Word или Excel, выполняется еще один вызов проверка.
    • Если при следующем вызове проверка в ней не запущено никаких приложений Office, проверка будет выполнено при следующем открытии пользователем приложения Office, например Word или Excel.

Примечание.

  • Политики из облачной политики применяются только при перезапуске приложения Office. Поведение аналогично групповая политика. Для устройств Windows политики применяются в зависимости от основного пользователя, вошедшего в Приложения Microsoft 365 для предприятий. Если в систему вошли несколько учетных записей, применяются только политики для основной учетной записи. При переключении основной учетной записи большинство политик, назначенных этой учетной записи, не будут применяться до перезапуска приложений Office. Некоторые политики, связанные с элементами управления конфиденциальностью , будут применяться без перезапуска приложений Office.

  • Если пользователи находятся во вложенных группах, а родительская группа ориентирована на политики, пользователи во вложенных группах получат политики. Вложенные группы и пользователи в этих вложенных группах должны быть созданы или синхронизированы с Microsoft Entra ID.

  • Интервал проверка контролируется службой облачной политики и передается в службу "нажми и запуск" во время каждого вызова проверка.

Если пользователь является членом нескольких Microsoft Entra групп с конфликтующими параметрами политики, приоритет используется для определения примененного параметра политики. Применяется самый высокий приоритет, при этом "0" является наивысшим приоритетом, который можно назначить. Вы можете задать приоритет, выбрав Изменить порядок приоритета на странице Конфигурации политики .

Кроме того, параметры политики, реализованные с помощью облачной политики, имеют приоритет над параметрами политики, реализованными с помощью групповая политика в Windows Server, и имеют приоритет над параметрами предпочтения или локально примененными параметрами политики.

Базовые показатели

Корпорация Майкрософт стремится к инновациям и снижению нагрузки ИТ-администраторов с помощью создания современных средств управления. При этом базовые показатели в облачной политике — это еще один способ сэкономить время при развертывании политики для организации. Базовые показатели безопасности и специальных возможностей предоставляют уникальный фильтр по групповая политика, необходимых для защиты организации и предоставления конечным пользователям возможностей для создания содержимого со специальными возможностями.

Базовая конфигурация безопасности

Чтобы легко определить базовые политики безопасности, в таблицу политик был добавлен новый столбец с именем Рекомендация. Политики, рекомендуемые для базовых показателей безопасности, активируются в этом столбце. Вы также можете использовать фильтр столбцов, чтобы ограничить представление только политиками, помеченными как базовые показатели безопасности.

Дополнительные сведения см. в разделе Базовые показатели безопасности для Приложения Microsoft 365 для предприятий.

Базовый уровень специальных возможностей

Большинство наших клиентов делают шаги, чтобы стать более доступными как организация. Базовые возможности специальных возможностей позволяют ИТ-специалистам настраивать политики специальных возможностей, чтобы пользователи могли создавать содержимое со специальными возможностями и ограничивать возможность удаления отключенных параметров средства проверки читаемости.

Дополнительные сведения об облачной политике

  • Доступны только параметры политики на основе пользователя. Параметры политики на основе компьютера недоступны.
  • По мере того как новые параметры политики на основе пользователей становятся доступными для Office, облачная политика автоматически добавляет их. Скачивание обновленных файлов административных шаблонов (ADMX/ADML) не требуется.
  • Вы также можете создать конфигурации политик для применения параметров политики для поддерживаемых версий классических приложений, которые поставляются с планами подписки Project и Visio.
  • Функция состояния работоспособности была прекращена во второй половине марта 2022 года. В будущем (пока неизвестная дата) мы планируем предоставить расширенные функции создания отчетов о работоспособности и мониторинга соответствия требованиям для облачной политики.

Советы по устранению неполадок

Если ожидаемые политики неправильно применяются к устройству пользователя, попробуйте выполнить следующие действия:

  • Убедитесь, что пользователь вошел в Приложения Microsoft 365 для предприятий, активировал его и имеет действительную лицензию.

  • Убедитесь, что пользователь входит в соответствующую группу безопасности.

  • Убедитесь, что вы не используете прокси-сервер с проверкой подлинности.

  • Проверьте приоритет конфигураций политики. Если пользователь входит в несколько групп безопасности, которым назначены конфигурации политик, приоритет конфигураций политики определяет, какие политики вступают в силу.

  • В некоторых случаях политики могут применяться неправильно, если два пользователя с разными политиками входят в Office на одном устройстве во время одного сеанса Windows.

  • Параметры политики, полученные из облачной политики, хранятся в реестре Windows в HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0. Этот ключ перезаписывается каждый раз, когда новый набор политик извлекается из службы политик в процессе проверка.

  • Действие проверка службы политик хранится в реестре Windows в HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. При удалении этого ключа и перезапуске приложений Office служба политики будет проверка при следующем запуске приложения Office.

  • Если вы хотите увидеть, когда устройство под управлением Windows планируется проверка с помощью облачной политики, просмотрите раздел FetchInterval в разделе HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. Значение выражается в минутах. Например, 1440, что соответствует 24 часам.

  • Вы можете столкнуться со значением FetchInterval, равным 0. Если это значение существует, клиент ожидает 24 часа с момента последнего проверка, прежде чем снова попытаться проверка с помощью облачной политики.