Skapa enhetssäkerhetsprinciper i Grundläggande mobilitet och säkerhet
Du kan använda Grundläggande mobilitet och säkerhet för att skapa enhetsprinciper som skyddar organisationens information om Microsoft 365 från obehörig åtkomst. Du kan tillämpa principer på alla mobila enheter i organisationen där användaren av enheten har en tillämplig Microsoft 365-licens och har registrerat enheten i Grundläggande mobilitet och säkerhet.
Innan du börjar
Viktigt
Innan du kan skapa en princip för mobila enheter måste du aktivera och konfigurera Grundläggande mobilitet och säkerhet. Mer information finns i Översikt över Grundläggande mobilitet och säkerhet för Microsoft 365.
- Lär dig mer om de enheter, mobilappar och säkerhetsinställningar som Grundläggande mobilitet och säkerhet stöder. Se Funktioner i Grundläggande mobilitet och säkerhet.
- Skapa säkerhetsgrupper som innehåller Microsoft 365-användare som du vill distribuera principer till och för användare som du kanske vill utesluta från att blockeras åtkomst till Microsoft 365. Vi rekommenderar att du testar principen innan du distribuerar en ny princip till din organisation genom att distribuera den till ett litet antal användare. Du kan skapa och använda en säkerhetsgrupp som bara innehåller dig själv eller ett litet antal Microsoft 365-användare som kan testa principen åt dig. Mer information om säkerhetsgrupper finns i Skapa, redigera eller ta bort en säkerhetsgrupp.
- Om du vill skapa och distribuera Grundläggande mobilitet och säkerhet principer i Microsoft 365 måste du vara global administratör för Microsoft 365. Mer information finns i Roller och rollgrupper i Microsoft Defender och Microsoft Purview-efterlevnad.
- Innan du distribuerar principer bör du informera din organisation om de potentiella effekterna av att registrera en enhet i Grundläggande mobilitet och säkerhet. Beroende på hur du konfigurerar principerna kan inkompatibla enheter blockeras från att komma åt Microsoft 365 och data, inklusive installerade program, foton och personlig information på en registrerad enhet, och data kan tas bort.
Obs!
Principer och åtkomstregler som skapats i Grundläggande mobilitet och säkerhet för Microsoft 365 Business Standard åsidosätter Exchange ActiveSync principer för mobil enhetspostlåda och regler för enhetsåtkomst som skapats i administrationscentret för Exchange. När en enhet har registrerats i Grundläggande mobilitet och säkerhet för Microsoft 365 Business Standard ignoreras alla Exchange ActiveSync princip för mobil enhetspostlåda eller enhetsåtkomstregel som tillämpas på enheten. Mer information om Exchange ActiveSync finns i Exchange ActiveSync i Exchange Online.
Steg 1: Skapa en enhetsprincip och distribuera till en testgrupp
Innan du kan börja kontrollerar du att du har aktiverat och konfigurerat Grundläggande mobilitet och säkerhet. Anvisningar finns i Översikt över Grundläggande mobilitet och säkerhet.
Från webbläsaren går du till https://compliance.microsoft.com/basicmobilityandsecurity.
På fliken Principer väljer du Skapa.
På sidan Principnamn lägger du till och namnger och en beskrivning och väljer Nästa.
På sidan Åtkomstkrav anger du de krav som du vill tillämpa på mobila enheter i din organisation och väljer Nästa.
På sidan Konfigurationer väljer du konfigurationskrav för din organisation och väljer Nästa.
På sidan Distribution väljer du en säkerhetsgrupp som principen ska tillämpas på.
På sidan Granska verifierar du dina val och väljer Skicka.
Principen skickas till enheten för varje användare som principen gäller för nästa gång de loggar in på Microsoft 365 med sin mobila enhet. Om användarna inte har tillämpat en princip på sin mobila enhet tidigare får de ett meddelande på enheten som innehåller stegen för att registrera och aktivera Grundläggande mobilitet och säkerhet när du har distribuerat principen. Mer information finns i Registrera din mobila enhet med hjälp av Grundläggande mobilitet och säkerhet. Åtkomsten till e-post, OneDrive och andra tjänster är begränsad tills de har slutfört registreringen i Grundläggande mobilitet och säkerhet som hanteras av Intune-tjänsten. När de har slutfört registreringen med hjälp av Intune-företagsportal app kan de använda tjänsterna och principen tillämpas på deras enhet.
Steg 2: Kontrollera att principen fungerar
När du har skapat en enhetsprincip kontrollerar du att principen fungerar som förväntat innan du distribuerar den till din organisation.
- Från webbläsaren går du till https://compliance.microsoft.com/basicmobilityandsecurity.
- Välj Visa listan över hanterade enheter.
- Kontrollera statusen för de användarenheter som principen tillämpas på. Du vill att enhetstillståndet ska hanteras.
- Du kan också göra en fullständig eller selektiv rensning på en enhet genom att klicka på knappen Fabriksåterställning eller Ta bort företagsdata från Hantera när du har valt en enhet. Anvisningar finns i Rensa en mobil enhet i Grundläggande mobilitet och säkerhet.
Steg 3: Distribuera en princip till din organisation
När du har skapat en enhetsprincip och verifierat att den fungerar som förväntat distribuerar du den till din organisation.
- Från din webbläsare skriver du: https://compliance.microsoft.com/basicmobilityandsecurity.
- Välj den princip som du vill distribuera och välj Redigera bredvid Grupper tillämpas på.
- Search för en grupp att lägga till och klicka på Välj.
- Välj Stäng och Ändra inställning.
- Välj Stäng och redigera princip.
Principen skickas till den mobila enheten för varje användare som principen gäller för nästa gång de loggar in på Microsoft 365 från sin mobila enhet. Om användarna inte har tillämpat en princip på sin mobila enhet får de ett meddelande på enheten med steg för att registrera och aktivera den för Grundläggande mobilitet och säkerhet. När de har slutfört registreringen tillämpas principen på enheten. Mer information finns i Registrera din mobila enhet med hjälp av Grundläggande mobilitet och säkerhet.
Steg 4: Blockera e-poståtkomst för enheter som inte stöds
För att skydda din organisations information bör du blockera appåtkomst till Microsoft 365-e-post för mobila enheter som inte stöds av Grundläggande mobilitet och säkerhet. En lista över enheter som stöds finns i Enheter som stöds.
Så här blockerar du appåtkomst:
I webbläsaren skriver du https://compliance.microsoft.com/basicmobilityandsecurity.
Välj fliken Organisationsinställning .
Om du vill blockera enheter som inte stöds väljer du Åtkomst under Om en enhet inte stöds av Grundläggande mobilitet och säkerhet för Microsoft 365 och väljer sedan Spara.
Steg 5: Välj säkerhetsgrupper som ska undantas från kontroller för villkorlig åtkomst
Om du vill utesluta vissa personer från kontroller av villkorlig åtkomst på deras mobila enheter och du har skapat en eller flera säkerhetsgrupper för dessa personer lägger du till säkerhetsgrupperna här. Personerna i dessa grupper har inga principer som tillämpas för deras mobila enheter som stöds. Det här är det rekommenderade alternativet om du inte längre vill använda Grundläggande mobilitet och säkerhet i din organisation.
I webbläsaren skriver du https://compliance.microsoft.com/basicmobilityandsecurity.
Välj fliken Organisationsinställning .
Välj Lägg till för att lägga till säkerhetsgruppen som innehåller användare som du vill undanta från att ha blockerad åtkomst till Microsoft 365. När en användare har lagts till i den här listan kan de komma åt Microsoft 365-e-post när de använder en enhet som inte stöds.
Välj den säkerhetsgrupp som du vill använda i panelen Välj grupp .
Välj namnet och sedan Lägg till>Spara.
På panelen Organisationsinställning väljer du Spara.
Vad är effekten av säkerhetsprinciper på olika enhetstyper?
När du tillämpar en princip på användarenheter varierar påverkan på varje enhet något mellan olika enhetstyper. I följande tabell finns exempel på hur principer påverkar olika enheter.
| Säkerhetsprincip | Android | Samsung KNOX | iOS | Kommentar |
|---|---|---|---|---|
| Kräv krypterad säkerhetskopiering | Nej | Ja | Ja | iOS-krypterad säkerhetskopiering krävs. |
| Blockera molnsäkerhetskopiering | Ja | Ja | Ja | Blockera Google-säkerhetskopiering på Android (nedtonad), molnsäkerhetskopiering på övervakad iOS. |
| Blockera dokumentsynkronisering | Nej | Nej | Ja | iOS: Blockera dokument i molnet på övervakade iOS-enheter. |
| Blockera fotosynkronisering | Nej | Nej | Ja | iOS (intern): Blockera Stream. |
| Blockera skärmdump | Nej | Ja | Ja | Blockerad vid försök. |
| Blockera videokonferens | Nej | Nej | Ja | FaceTime blockeras på övervakade iOS-enheter, inte på Skype eller andra. |
| Blockera sändning av diagnostikdata | Nej | Ja | Ja | Blockera sändning av Google-kraschrapport på Android. |
| Blockera åtkomst till App Store | Nej | Ja | Ja | App Store-ikonen saknas på Android-startsidan, inaktiverad på Windows och övervakade iOS-enheter. |
| Kräv lösenord för App Store | Nej | Nej | Ja | iOS: Lösenord som krävs för iTunes-köp. |
| Blockera anslutning till flyttbar lagring | Nej | Ja | EJ TILLÄMPLIGT | Android: SD-kortet är nedtonat i inställningarna, Windows meddelar användaren att installerade appar inte är tillgängliga |
| Blockera Bluetooth-anslutning | Se anteckningar | Se anteckningar | Ja | Vi kan inte inaktivera BlueTooth som en inställning på Android. I stället inaktiverar vi alla transaktioner som kräver BlueTooth: Avancerad ljuddistribution, fjärrstyrning för ljud/video, handsfree-enheter, headset, telefonboksåtkomst och serieport. Ett litet popup-meddelande visas längst ned på sidan när något av dessa används. |
Vad händer när du tar bort en princip eller tar bort en användare från principen?
När du tar bort en princip eller tar bort en användare från en grupp som principen har distribuerats till kan principinställningarna, e-postprofilen i Microsoft 365 och cachelagrade e-postmeddelanden tas bort från användarens enhet. Se följande tabell för att se vad som tas bort för de olika enhetstyperna.
| Vad har tagits bort | iOS | Android (inklusive Samsung KNOX) |
|---|---|---|
| Hanterade e-postprofiler1 | Ja | Nej |
| Blockera molnsäkerhetskopiering | Ja | Nej |
1 Om principen har distribuerats med alternativet Email profilen har valts tas den hanterade e-postprofilen och cachelagrade e-postmeddelanden i profilen bort från användarenheten.
Principen tas bort från den mobila enheten för varje användare som principen gäller för nästa gång deras enhet checkar in med Grundläggande mobilitet och säkerhet. Om du distribuerar en ny princip som gäller för dessa användarenheter uppmanas de att registrera sig igen i Grundläggande mobilitet och säkerhet.
Du kan också rensa en enhet helt eller selektivt rensa organisationsinformation från enheten. Mer information finns i Rensa en mobil enhet i Grundläggande mobilitet och säkerhet.
Relaterat innehåll
Översikt över Grundläggande mobilitet och säkerhet (artikel)
Funktioner i Grundläggande mobilitet och säkerhet (artikel)
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för