基本移动性和安全性的功能

基本移动性和安全性可以帮助你保护和管理组织中许可的 Microsoft 365 用户使用的移动设备,例如 iPhone、iPad、Android 和 Windows Phone。 可以使用设置创建移动设备管理策略,以帮助控制对组织的 Microsoft 365 电子邮件和支持的移动设备和应用的文档的访问。 如果设备丢失或被盗,可以远程擦除设备以删除敏感的组织信息。

支持的操作系统

按照Microsoft Intune操作系统指南,通过基本移动性和安全性了解设备支持的最低操作系统。 有关详细信息,请参阅 Intune 支持的操作系统

可以使用基本移动性和安全性来保护和管理以下设备。

  • iOS
  • Android (包括 Samsung Knox) 1
  • Windows2、3

12020 年 6 月之后,低于 9 的 Android 版本无法管理密码设置,Samsung Knox 设备除外。

2Windows 8.1 RT 设备的访问控制仅限于Exchange ActiveSync。

3Windows 10的访问控制需要包含Microsoft Entra ID P1 或 P2 的订阅,并且设备需要加入到Microsoft Entra ID。

注意

已注册到早期操作系统版本的设备将继续运行,但这些功能可能会更改,无需通知。

如果组织中的人员使用基本移动性和安全性不支持的移动设备,你可能希望阻止Exchange ActiveSync应用访问这些设备的 Microsoft 365 电子邮件,以帮助使组织的数据更安全。 有关阻止Exchange ActiveSync的步骤,请参阅管理基本移动性和安全性中的设备访问设置

Microsoft 365 电子邮件和文档的访问控制

下表中不同类型移动设备支持的应用会提示用户注册基本移动性和安全性其中存在适用于用户设备的新移动设备管理策略,并且用户以前未注册该设备。 如果用户的设备不符合策略,则根据设置策略的方式,用户可能会被阻止访问这些应用中的 Microsoft 365 资源,或者他们可能有权访问,但 Microsoft 365 报告了策略冲突。

产品 iOS Android
Exchange Exchange ActiveSync包括使用 Exchange ActiveSync 版本 14.1 或更高版本的内置电子邮件和第三方应用(如 TouchDown)。 邮件 电子邮件
Microsoft 365 应用OneDrive for Business Outlook
OneDrive
Word
Excel
PowerPoint
在手机和平板电脑上
Outlook
OneDrive
Word
Excel
PowerPoint
仅限在手机上:
Microsoft 365 移动版

注意

  • 对 iOS 10.0 及更高版本的支持包括 iPhone 和 iPad 设备。
  • 基本安全性和移动性不支持管理 BlackBerry OS 设备。 使用 BlackBerry Business 云服务 (BBCS) 从 BlackBerry 管理 BlackBerry OS 设备。 支持将运行 Android OS 的黑莓设备作为标准 Android 设备
  • 如果用户使用移动浏览器访问 Microsoft 365 SharePoint 网站、Microsoft 365 网页中的文档或Outlook Web App中的电子邮件,则不会提示用户注册,也不会因违反策略而遭到阻止或报告。

下图显示了使用新设备的用户登录到支持使用 基本移动性和安全性 进行访问控制的应用时会发生什么情况。 用户被阻止访问应用中的 Microsoft 365 资源,直到他们注册其设备。

基本移动性和安全性访问控制

注意

在 基本移动性和安全性 为 Microsoft 365 商业标准版 创建的策略和访问规则将替代在 Exchange 管理中心中创建Exchange ActiveSync移动设备邮箱策略和设备访问规则。 设备在 基本移动性和安全性 中注册Microsoft 365 商业标准版后,将忽略应用于设备的任何Exchange ActiveSync移动设备邮箱策略或设备访问规则。 若要详细了解Exchange ActiveSync,请参阅 Exchange Online 中的Exchange ActiveSync

移动设备的策略设置

如果创建策略以在启用某些设置的情况下阻止访问,则当用户使用 Microsoft 365 电子邮件和文档的访问控制中列出的受支持应用时,将阻止用户访问 Microsoft 365 资源。

可阻止用户访问 Microsoft 365 资源的设置位于以下部分中:

  • 安全性

  • 加密

  • 越狱

  • 托管电子邮件配置文件

例如,下图显示了使用已注册设备的用户不符合适用于其设备的移动设备管理策略中的安全设置时会发生什么情况。 用户使用 基本移动性和安全性 登录到支持访问控制的应用。 在设备符合安全设置之前,会阻止他们访问应用中的 Microsoft 365 资源。

基本移动性和安全性符合性消息。

以下部分列出了可用于帮助保护和管理连接到 Microsoft 365 组织资源的移动设备的策略设置。

安全设置

设置名称 iOS Android Samsung Knox
要求使用密码
阻止简单密码
需要字母数字密码
最短密码长度
擦除设备之前的登录失败次数
设备锁定前处于非活动状态的分钟数
密码过期(天数)
记住密码历史记录并禁止重复使用

重要

如果设备在这么多分钟内处于非活动状态 ,则锁定设备,Android 和 Samsung Knox 不再支持它们。

加密设置

设置名称 iOS Android Samsung Knox
要求在设备1 上进行数据加密

1使用 Samsung Knox,还可以要求对存储卡进行加密。

越狱设置

设置名称 iOS Android Samsung Knox
设备不能越狱或取得 root 权限

托管电子邮件配置文件选项

如果用户使用手动创建的电子邮件配置文件,以下选项可能会阻止用户访问其 Microsoft 365 电子邮件。 iOS 设备上的用户必须先删除其手动创建的电子邮件配置文件,然后才能访问其电子邮件。 删除配置文件后,将自动在设备上创建新配置文件。 有关最终用户如何获得合规性的说明,请参阅 找到现有电子邮件帐户

设置名称 iOS Android Samsung Knox
Email配置文件是托管的

云设置

设置名称 iOS Android Samsung Knox
需要加密备份
阻止云备份1
阻止文档同步1
阻止照片同步
允许 Google 备份 不适用
允许 Google 帐户自动同步 不适用

1若要运行,这些设置需要受监督的 iOS 设备。

系统设置

设置名称 iOS Android Samsung Knox
阻止屏幕捕获
阻止从设备发送诊断数据

应用程序设置

设置名称 iOS Android Samsung Knox
在设备1 上阻止视频会议
阻止对应用程序存储1 的访问
访问应用商店时需要密码

1若要运行,这些设置需要受监督的 iOS 设备。

设备功能设置

设置名称 iOS Android Samsung Knox
阻止与可移动存储的连接
阻止蓝牙连接

其他设置

可以使用安全性 & 符合性 PowerShell cmdlet 设置以下附加策略设置。 有关更多信息,请参见 安全与合规中心 PowerShell

设置名称 iOS Android
CameraEnabled
RegionRatings
MoviesRatings
TVShowsRating
AppsRatings
AllowVoiceDialing
AllowVoiceAssistant
AllowAssistantWhileLocked
AllowPassbookWhileLocked
MaxPasswordGracePeriod
PasswordQuality
SystemSecurityTLS
WLANEnabled

Windows 支持的设置

可以通过将Windows 10设备注册为移动设备来管理设备。 部署适用的策略后,具有Windows 10设备的用户在首次使用内置电子邮件应用访问其 Microsoft 365 电子邮件时需要注册基本移动性和安全性 (需要Microsoft Entra ID P1 或 P2 订阅) 。

注册为移动设备的Windows 10设备支持以下设置。 这些设置不会阻止用户访问 Microsoft 365 资源。

安全设置

  • 需要字母数字密码

  • 最短密码长度

  • 擦除设备之前的登录失败次数

  • 设备锁定前处于非活动状态的分钟数

  • 密码过期(天数)

  • 记住密码历史记录并禁止重复使用

注意

以下限制密码的设置仅控制本地 Windows 帐户。 通过加入域或Microsoft Entra ID 提供的 Windows 帐户不受这些设置的影响。

系统设置

阻止从设备发送诊断数据。

其他设置

可以使用 PowerShell cmdlet 设置以下附加策略设置:

  • AllowConvenienceLogon

  • UserAccountControlStatus

  • FirewallStatus

  • AutoUpdateStatus

  • AntiVirusStatus

  • AntiVirusSignatureStatus

  • SmartScreenEnabled

  • WorkFoldersSyncUrl

远程擦除移动设备

如果设备丢失或被盗,你可以删除敏感的组织数据,并通过从Microsoft Purview 合规门户>数据丢失防护>设备管理中擦除来帮助阻止对 Microsoft 365 组织资源的访问。 可以执行选择性擦除以仅删除组织数据,也可以执行完全擦除以从设备中删除所有信息并将其还原到其出厂设置。

有关详细信息,请参阅擦除基本移动性和安全性中的移动设备

Microsoft 365 (基本移动性和安全性概述文章)
在基本移动性和安全性 (文章中创建设备安全策略)