Создание политик безопасности устройств в basic Mobility and Security
Вы можете использовать базовую мобильность и безопасность для создания политик устройств, которые помогут защитить сведения организации в Microsoft 365 от несанкционированного доступа. Вы можете применить политики к любому мобильному устройству в вашей организации, где пользователь устройства имеет соответствующую лицензию Microsoft 365 и зарегистрировал устройство в категории "Базовый уровень мобильности и безопасности".
Подготовка к работе
Важно!
Прежде чем создавать политику мобильных устройств, необходимо активировать и настроить базовую мобильность и безопасность. Дополнительные сведения см. в статье Обзор базовой мобильности и безопасности для Microsoft 365.
- Узнайте об устройствах, мобильных приложениях и параметрах безопасности, поддерживаемых базовыми мобильными устройствами и безопасностью. См. раздел Возможности базовой мобильности и безопасности.
- Создайте группы безопасности, включающие пользователей Microsoft 365, для которых вы хотите развернуть политики для пользователей, которых можно исключить из заблокированного доступа к Microsoft 365. Перед развертыванием новой политики организации рекомендуется проверить политику, развернув ее для небольшого количества пользователей. Вы можете создать и использовать группу безопасности, включающую только себя или небольшое число пользователей Microsoft 365, которые могут протестировать политику за вас. Дополнительные сведения о группах безопасности см. в статье Создание, изменение и удаление группы безопасности.
- Для создания и развертывания базовых политик мобильности и безопасности в Microsoft 365 необходимо быть администратором соответствия требованиям. Дополнительные сведения см. в статье Встроенные роли Microsoft Entra.
- Перед развертыванием политик сообщите своей организации о потенциальных последствиях регистрации устройства в basic Mobility and Security. В зависимости от того, как вы настроили политики, несоответствующие устройства могут быть заблокированы для доступа к Microsoft 365 и данным, включая установленные приложения, фотографии и персональные данные на зарегистрированном устройстве, а также данные могут быть удалены.
Примечание.
Политики и правила доступа, созданные в basic Mobility and Security for Microsoft 365 Business Standard, переопределяют политики почтовых ящиков мобильных устройств Exchange ActiveSync и правила доступа к устройствам, созданные в Центре администрирования Exchange. После регистрации устройства в базовом режиме мобильности и безопасности для Microsoft 365 бизнес стандартный любая политика почтового ящика мобильного устройства Exchange ActiveSync или правило доступа к устройству игнорируются. Дополнительные сведения об Exchange ActiveSync см. в статье Exchange ActiveSync в Exchange Online.
Шаг 1. Создание политики устройств и развертывание в тестовой группе
Перед началом работы убедитесь, что вы активировали и настроили базовую мобильность и безопасность. Инструкции см. в статье Общие сведения о базовой мобильности и безопасности.
В браузере перейдите по адресу https://compliance.microsoft.com/basicmobilityandsecurity.
На вкладке Политики выберите Создать.
На странице Имя политики добавьте и имя и описание и нажмите кнопку Далее.
На странице Требования к доступу укажите требования, которые нужно применить к мобильным устройствам в вашей организации, и нажмите кнопку Далее.
На странице Конфигурации выберите требования к конфигурации для вашей организации и нажмите кнопку Далее.
На странице Развертывание выберите группу безопасности для применения этой политики.
На странице Рецензирование проверьте выбранные параметры и нажмите кнопку Отправить.
Политика передается на устройство каждого пользователя, к которому она применяется при следующем входе в Microsoft 365 с помощью мобильного устройства. Если у пользователей раньше не применялась политика, применяемая к мобильному устройству, после развертывания политики они получают на своем устройстве уведомление, включающее действия по регистрации и активации basic Mobility and Security. Дополнительные сведения см. в разделе Регистрация мобильного устройства с помощью Basic Mobility and Security. До завершения регистрации в службе "Базовый уровень мобильности и безопасности", размещенной в службе Intune, доступ к электронной почте, OneDrive и другим службам будет ограничен. После завершения регистрации с помощью приложения корпоративного портала Intune они могут использовать службы, и политика будет применена к их устройству.
Шаг 2. Проверка работы политики
После создания политики устройств убедитесь, что она работает должным образом, прежде чем развертывать ее в организации.
- В браузере перейдите по адресу https://compliance.microsoft.com/basicmobilityandsecurity.
- Выберите Просмотреть список управляемых устройств.
- Проверьте состояние устройств пользователя, к которым применяется политика. Вы хотите управлять состоянием устройств .
- Вы также можете выполнить полную или выборочную очистку устройства, нажав кнопку Сброс заводских настроек или Удалить данные компании из кнопки Управление после выбора устройства. Инструкции см . в разделе Очистка мобильного устройства в разделе Базовые средства мобильности и безопасности.
Шаг 3. Развертывание политики в организации
Создав политику устройства и убедившись, что она работает должным образом, разверните ее в организации.
- В браузере тип: https://compliance.microsoft.com/basicmobilityandsecurity.
- Выберите политику, которую требуется развернуть, и нажмите кнопку Изменить рядом с полем Примененные группы.
- Найдите группу для добавления и щелкните Выбрать.
- Выберите Закрыть и изменить параметр.
- Выберите Закрыть и изменить политику.
Политика передается на мобильное устройство каждого пользователя, которое применяется при следующем входе в Microsoft 365 с мобильного устройства. Если у пользователей нет политики, примененной к мобильному устройству, они получают на своем устройстве уведомление с инструкциями по регистрации и активации для базовых мобильных устройств и безопасности. После завершения регистрации политика применяется к устройству. Дополнительные сведения см. в разделе Регистрация мобильного устройства с помощью Basic Mobility and Security.
Шаг 4. Блокировка доступа к электронной почте для неподдерживаемых устройств
Чтобы защитить сведения об организации, необходимо заблокировать доступ приложений к электронной почте Microsoft 365 для мобильных устройств, которые не поддерживаются базовыми мобильными устройствами и безопасностью. Список поддерживаемых устройств см. в разделе Поддерживаемые устройства.
Чтобы заблокировать доступ к приложениям, выполните приведенные далее действия.
В браузере введите https://compliance.microsoft.com/basicmobilityandsecurity.
Выберите вкладку Параметры организации .
Чтобы заблокировать неподдерживаемые устройства, выберите Доступ в разделе Если устройство не поддерживается базовыми мобильными устройствами и безопасностью для Microsoft 365, а затем нажмите кнопку Сохранить.
Этап 5. Выбор групп безопасности, которые будут исключены из проверок условного доступа
Если вы хотите исключить определенных пользователей из проверок условного доступа на мобильных устройствах, и для них создана одна или несколько групп безопасности, добавьте эти группы сюда. Для пользователей в этих группах не будут применяться какие-либо политики для поддерживаемых мобильных устройств. Это рекомендуемый вариант, если вы больше не хотите использовать базовую мобильность и безопасность в вашей организации.
В браузере введите https://compliance.microsoft.com/basicmobilityandsecurity.
Выберите вкладку Параметры организации .
Нажмите кнопку Добавить , чтобы добавить группу безопасности, в которой есть пользователи, которых вы хотите исключить, заблокировав доступ к Microsoft 365. Когда пользователь был добавлен в этот список, он может получить доступ к электронной почте Microsoft 365 при использовании неподдерживаемого устройства.
Выберите группу безопасности, которую вы хотите использовать, на панели Выбор группы .
Выберите имя и нажмите Кнопку Сохранить>.
На панели Параметры организации нажмите кнопку Сохранить.
Как политики безопасности влияют на разные типы устройств?
При применении политики к пользовательским устройствам влияние на каждое устройство несколько зависит от типов устройств. Примеры влияния политик см. в следующей таблице.
Политика безопасности | Android | Samsung KNOX | iOS | Примечания |
---|---|---|---|---|
Требовать шифрование резервных копий | Нет | Да | Да | Требуется зашифрованное резервное копирование iOS. |
Блокировать резервное копирование в облаке | Да | Да | Да | Блокировать резервное копирование Google в Android (неактивно), облачное резервное копирование на защищенном устройстве iOS. |
Блокировать синхронизацию документов | Нет | Нет | Да | iOS. Блокировка документов в облаке на защищенных устройствах iOS. |
Блокировать синхронизацию фотографий | Нет | Нет | Да | iOS (собственный): блокировать Photo Stream. |
Блокировать снимки экрана | Нет | Да | Да | Блокируется при попытке. |
Блокировать видеоконференции | Нет | Нет | Да | FaceTime заблокировано на защищенных устройствах iOS, а не в Skype или других устройствах. |
Блокировать отправку данных диагностики | Нет | Да | Да | Блокировать отправку отчета о сбое Google для Android. |
Блокировать доступ к магазину приложений | Нет | Да | Да | Значок магазина приложений отсутствует на домашней странице Android, отключен на windows и защищенных устройствах iOS. |
Требовать пароль для магазина приложений | Нет | Нет | Да | iOS: Пароль требуется для покупок в iTunes. |
Блокировать подключение съемных носителей | Нет | Да | Н/Д | Android: SD-карта неактивна в параметрах, Windows уведомляет пользователя, установленные приложения недоступны |
Блокировать подключение Bluetooth | См. заметки | См. заметки | Да | Не удается отключить BlueTooth в качестве параметра на Android. Вместо этого мы отключаем все транзакции, для которых требуется BlueTooth: расширенное распределение звука, удаленное управление аудио- и видео, устройства с громкой связью, гарнитура, доступ к телефонной книге и последовательный порт. При использовании этих функций в нижней части страницы появляется небольшое всплывающее сообщение. |
Что происходит при удалении самой политики или удалении пользователя из политики?
При удалении политики или удалении пользователя из группы, в которой была развернута политика, параметры политики, профиль электронной почты Microsoft 365 и кэшированные сообщения электронной почты могут быть удалены с устройства пользователя. Сведения, удаленные для различных типов устройств, см. в следующей таблице.
Удаляемые элементы | iOS | Android (включая Samsung KNOX) |
---|---|---|
Управляемые профили электронной почты1 | Да | Нет |
Блокировать резервное копирование в облаке | Да | Нет |
1 Если политика была развернута с выбранным параметром Профиль электронной почты управляется , управляемый профиль электронной почты и кэшированные сообщения электронной почты в этом профиле удаляются с пользовательского устройства.
Политика удаляется с мобильного устройства для каждого пользователя, к которому применяется политика при следующей регистрации устройства с базовыми мобильными устройствами и безопасностью. Если вы развернете новую политику, которая применяется к этим пользовательским устройствам, им будет предложено повторно зарегистрироваться в basic Mobility and Security.
Вы также можете полностью очистить устройство или выборочно очистить сведения об организации с устройства. Дополнительные сведения см . в статье Очистка мобильного устройства в basic Mobility and Security.
Связанные материалы
Общие сведения о базовой мобильности и безопасности (статья)
Возможности базовой мобильности и безопасности (статья)