Поделиться через


Создание политик безопасности устройств в basic Mobility and Security

Вы можете использовать базовую мобильность и безопасность для создания политик устройств, которые помогут защитить сведения организации в Microsoft 365 от несанкционированного доступа. Вы можете применить политики к любому мобильному устройству в вашей организации, где пользователь устройства имеет соответствующую лицензию Microsoft 365 и зарегистрировал устройство в категории "Базовый уровень мобильности и безопасности".

Подготовка к работе

Важно!

Прежде чем создавать политику мобильных устройств, необходимо активировать и настроить базовую мобильность и безопасность. Дополнительные сведения см. в статье Обзор базовой мобильности и безопасности для Microsoft 365.

  • Узнайте об устройствах, мобильных приложениях и параметрах безопасности, поддерживаемых базовыми мобильными устройствами и безопасностью. См. раздел Возможности базовой мобильности и безопасности.
  • Создайте группы безопасности, включающие пользователей Microsoft 365, для которых вы хотите развернуть политики для пользователей, которых можно исключить из заблокированного доступа к Microsoft 365. Перед развертыванием новой политики организации рекомендуется проверить политику, развернув ее для небольшого количества пользователей. Вы можете создать и использовать группу безопасности, включающую только себя или небольшое число пользователей Microsoft 365, которые могут протестировать политику за вас. Дополнительные сведения о группах безопасности см. в статье Создание, изменение и удаление группы безопасности.
  • Для создания и развертывания базовых политик мобильности и безопасности в Microsoft 365 необходимо быть администратором соответствия требованиям. Дополнительные сведения см. в статье Встроенные роли Microsoft Entra.
  • Перед развертыванием политик сообщите своей организации о потенциальных последствиях регистрации устройства в basic Mobility and Security. В зависимости от того, как вы настроили политики, несоответствующие устройства могут быть заблокированы для доступа к Microsoft 365 и данным, включая установленные приложения, фотографии и персональные данные на зарегистрированном устройстве, а также данные могут быть удалены.

Примечание.

Политики и правила доступа, созданные в basic Mobility and Security for Microsoft 365 Business Standard, переопределяют политики почтовых ящиков мобильных устройств Exchange ActiveSync и правила доступа к устройствам, созданные в Центре администрирования Exchange. После регистрации устройства в базовом режиме мобильности и безопасности для Microsoft 365 бизнес стандартный любая политика почтового ящика мобильного устройства Exchange ActiveSync или правило доступа к устройству игнорируются. Дополнительные сведения об Exchange ActiveSync см. в статье Exchange ActiveSync в Exchange Online.

Шаг 1. Создание политики устройств и развертывание в тестовой группе

Перед началом работы убедитесь, что вы активировали и настроили базовую мобильность и безопасность. Инструкции см. в статье Общие сведения о базовой мобильности и безопасности.

  1. В браузере перейдите по адресу https://compliance.microsoft.com/basicmobilityandsecurity.

  2. На вкладке Политики выберите Создать.

  3. На странице Имя политики добавьте и имя и описание и нажмите кнопку Далее.

  4. На странице Требования к доступу укажите требования, которые нужно применить к мобильным устройствам в вашей организации, и нажмите кнопку Далее.

  5. На странице Конфигурации выберите требования к конфигурации для вашей организации и нажмите кнопку Далее.

  6. На странице Развертывание выберите группу безопасности для применения этой политики.

  7. На странице Рецензирование проверьте выбранные параметры и нажмите кнопку Отправить.

Политика передается на устройство каждого пользователя, к которому она применяется при следующем входе в Microsoft 365 с помощью мобильного устройства. Если у пользователей раньше не применялась политика, применяемая к мобильному устройству, после развертывания политики они получают на своем устройстве уведомление, включающее действия по регистрации и активации basic Mobility and Security. Дополнительные сведения см. в разделе Регистрация мобильного устройства с помощью Basic Mobility and Security. До завершения регистрации в службе "Базовый уровень мобильности и безопасности", размещенной в службе Intune, доступ к электронной почте, OneDrive и другим службам будет ограничен. После завершения регистрации с помощью приложения корпоративного портала Intune они могут использовать службы, и политика будет применена к их устройству.

Шаг 2. Проверка работы политики

После создания политики устройств убедитесь, что она работает должным образом, прежде чем развертывать ее в организации.

  1. В браузере перейдите по адресу https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Выберите Просмотреть список управляемых устройств.
  3. Проверьте состояние устройств пользователя, к которым применяется политика. Вы хотите управлять состоянием устройств .
  4. Вы также можете выполнить полную или выборочную очистку устройства, нажав кнопку Сброс заводских настроек или Удалить данные компании из кнопки Управление после выбора устройства. Инструкции см . в разделе Очистка мобильного устройства в разделе Базовые средства мобильности и безопасности.

Шаг 3. Развертывание политики в организации

Создав политику устройства и убедившись, что она работает должным образом, разверните ее в организации.

  1. В браузере тип: https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Выберите политику, которую требуется развернуть, и нажмите кнопку Изменить рядом с полем Примененные группы.
  3. Найдите группу для добавления и щелкните Выбрать.
  4. Выберите Закрыть и изменить параметр.
  5. Выберите Закрыть и изменить политику.

Политика передается на мобильное устройство каждого пользователя, которое применяется при следующем входе в Microsoft 365 с мобильного устройства. Если у пользователей нет политики, примененной к мобильному устройству, они получают на своем устройстве уведомление с инструкциями по регистрации и активации для базовых мобильных устройств и безопасности. После завершения регистрации политика применяется к устройству. Дополнительные сведения см. в разделе Регистрация мобильного устройства с помощью Basic Mobility and Security.

Шаг 4. Блокировка доступа к электронной почте для неподдерживаемых устройств

Чтобы защитить сведения об организации, необходимо заблокировать доступ приложений к электронной почте Microsoft 365 для мобильных устройств, которые не поддерживаются базовыми мобильными устройствами и безопасностью. Список поддерживаемых устройств см. в разделе Поддерживаемые устройства.

Чтобы заблокировать доступ к приложениям, выполните приведенные далее действия.

  1. В браузере введите https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Выберите вкладку Параметры организации .

  3. Чтобы заблокировать неподдерживаемые устройства, выберите Доступ в разделе Если устройство не поддерживается базовыми мобильными устройствами и безопасностью для Microsoft 365, а затем нажмите кнопку Сохранить.

    Базовый параметр блокировки мобильности и безопасности.

Этап 5. Выбор групп безопасности, которые будут исключены из проверок условного доступа

Если вы хотите исключить определенных пользователей из проверок условного доступа на мобильных устройствах, и для них создана одна или несколько групп безопасности, добавьте эти группы сюда. Для пользователей в этих группах не будут применяться какие-либо политики для поддерживаемых мобильных устройств. Это рекомендуемый вариант, если вы больше не хотите использовать базовую мобильность и безопасность в вашей организации.

  1. В браузере введите https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Выберите вкладку Параметры организации .

    Базовая мобильность и безопасность создают параметр политики.

  3. Нажмите кнопку Добавить , чтобы добавить группу безопасности, в которой есть пользователи, которых вы хотите исключить, заблокировав доступ к Microsoft 365. Когда пользователь был добавлен в этот список, он может получить доступ к электронной почте Microsoft 365 при использовании неподдерживаемого устройства.

  4. Выберите группу безопасности, которую вы хотите использовать, на панели Выбор группы .

  5. Выберите имя и нажмите Кнопку Сохранить>.

  6. На панели Параметры организации нажмите кнопку Сохранить.

    Базовый параметр

Как политики безопасности влияют на разные типы устройств?

При применении политики к пользовательским устройствам влияние на каждое устройство несколько зависит от типов устройств. Примеры влияния политик см. в следующей таблице.

Политика безопасности Android Samsung KNOX iOS Примечания
Требовать шифрование резервных копий Нет Да Да Требуется зашифрованное резервное копирование iOS.
Блокировать резервное копирование в облаке Да Да Да Блокировать резервное копирование Google в Android (неактивно), облачное резервное копирование на защищенном устройстве iOS.
Блокировать синхронизацию документов Нет Нет Да iOS. Блокировка документов в облаке на защищенных устройствах iOS.
Блокировать синхронизацию фотографий Нет Нет Да iOS (собственный): блокировать Photo Stream.
Блокировать снимки экрана Нет Да Да Блокируется при попытке.
Блокировать видеоконференции Нет Нет Да FaceTime заблокировано на защищенных устройствах iOS, а не в Skype или других устройствах.
Блокировать отправку данных диагностики Нет Да Да Блокировать отправку отчета о сбое Google для Android.
Блокировать доступ к магазину приложений Нет Да Да Значок магазина приложений отсутствует на домашней странице Android, отключен на windows и защищенных устройствах iOS.
Требовать пароль для магазина приложений Нет Нет Да iOS: Пароль требуется для покупок в iTunes.
Блокировать подключение съемных носителей Нет Да Н/Д Android: SD-карта неактивна в параметрах, Windows уведомляет пользователя, установленные приложения недоступны
Блокировать подключение Bluetooth См. заметки См. заметки Да Не удается отключить BlueTooth в качестве параметра на Android. Вместо этого мы отключаем все транзакции, для которых требуется BlueTooth: расширенное распределение звука, удаленное управление аудио- и видео, устройства с громкой связью, гарнитура, доступ к телефонной книге и последовательный порт. При использовании этих функций в нижней части страницы появляется небольшое всплывающее сообщение.

Что происходит при удалении самой политики или удалении пользователя из политики?

При удалении политики или удалении пользователя из группы, в которой была развернута политика, параметры политики, профиль электронной почты Microsoft 365 и кэшированные сообщения электронной почты могут быть удалены с устройства пользователя. Сведения, удаленные для различных типов устройств, см. в следующей таблице.

Удаляемые элементы iOS Android (включая Samsung KNOX)
Управляемые профили электронной почты1 Да Нет
Блокировать резервное копирование в облаке Да Нет

1 Если политика была развернута с выбранным параметром Профиль электронной почты управляется , управляемый профиль электронной почты и кэшированные сообщения электронной почты в этом профиле удаляются с пользовательского устройства.

Политика удаляется с мобильного устройства для каждого пользователя, к которому применяется политика при следующей регистрации устройства с базовыми мобильными устройствами и безопасностью. Если вы развернете новую политику, которая применяется к этим пользовательским устройствам, им будет предложено повторно зарегистрироваться в basic Mobility and Security.

Вы также можете полностью очистить устройство или выборочно очистить сведения об организации с устройства. Дополнительные сведения см . в статье Очистка мобильного устройства в basic Mobility and Security.

Общие сведения о базовой мобильности и безопасности (статья)
Возможности базовой мобильности и безопасности (статья)