Ограничение Office 365 служб облачными компьютерами

Администраторы могут запретить доступ к службам Office 365 на любом устройстве, кроме облачного компьютера. Для этого можно настроить политики условного доступа Microsoft Entra и фильтры устройств, как описано в этой статье. Выполнив эти действия, вы можете убедиться, что пользователи используют свои облачные компьютеры в качестве основного устройства. Таким образом можно повысить безопасность корпоративных ресурсов и служб.

В этой статье описывается, как ограничить доступ к Office 365 службам. Ту же стратегию можно использовать с любой облачной службой, которая использует идентификатор Microsoft Entra в качестве источника проверки подлинности.

1. Создайте группу безопасности Microsoft Entra для управления пользователями, контролируемыми новой политикой. Добавьте в эту группу всех пользователей облачных компьютеров, которые будут подвергнуты новой политике. Только пользователи в этой группе будут ограничены в использовании облачных компьютеров при доступе к Office 365 службам. Если вы хотите изменить доступ пользователя, его можно просто удалить из этой группы.

2. Войдите в центр администрирования Microsoft Intune, выберите Безопасность>конечных точек Условный доступ>Создать политику.

3. Введите имя для новой политики условного доступа. Например, "Ограничить доступ Office 365 к ЦП".

4. Выберите 0 пользователей и групп, выбранных>Включить>Выберите пользователей, а группы>Пользователи и группы>выберите созданную> группу безопасности Microsoft Entra.

5. Выберите Нет облачных приложений, действий или контекстов проверки подлинности, выберите>Включить>Выберите приложения>Нет (в разделе Выбор) > найдите и выберите Office 365>Выбрать.

6. Выберите Исключить>нет (в разделе Выбор исключенных облачных приложений) > найдите и выберите Виртуальный рабочий стол Azure и Windows 365 приложения >Выбрать.

7. Выберите 0 условий, выбранных>не настроено (в разделе Фильтр для устройств).

8. В области Фильтр для устройств :

   1. Задайте для параметра Настройка значение Да.
   2. Выберите Исключить отфильтрованные устройства из политики.
   3. Выберите раскрывающийся список в разделе Модель свойств>.
   4. Выберите раскрывающийся список в разделе Оператор>начинается с.
   5. В текстовом поле в разделе Значение введите значение Cloud PC. Если соглашения об именовании облачных компьютеров изменяются, измените значение фильтра в соответствии с именами устройств.
   6. Нажмите кнопку Готово , чтобы задать фильтр.

   

   При необходимости в этой политике можно задать дополнительные параметры, но такие дополнения выходят за рамки область этой статьи.

9. Выберите 0 выбранных элементов управления ( в разделе Предоставление) >Блокировать доступ>Выбрать.

10. Выберите Включено (в разделе Включить политику). Эта политика ограничивает доступ пользователей к службам Office 365 на устройствах, отличных от облачных компьютеров. Вы можете выбрать параметр Только отчет, чтобы отслеживать политику и создавать доверие перед ее применением.

11. Выберите Создать , чтобы завершить создание политики.

Примечание.

Если вы настроили политику подготовки для использования Microsoft Entra единого входа, вам также может потребоваться добавить Удаленный рабочий стол (Майкрософт) в список исключений на шаге 6, чтобы подключения к единому входу работали должным образом.

Другие устройства

Этот пример политики можно расширить в соответствии с другими вариантами использования, например разрешить доступ к Office 365 службам с мобильных устройств и планшетов пользователей. Для этого внесите в политику следующие изменения:

1. На странице политики выделите текст в разделе Условия>не настроены (в разделе Платформы устройств).
2. Выберите Да , чтобы включить параметр конфигурации.
3. Выберите Включить>любое устройство.
4. Выберите Исключить>Android и iOS.
5. Нажмите кнопку Готово , чтобы задать фильтр.
6. Нажмите Сохранить.

Дальнейшие действия

Дополнительные сведения об условном доступе.