在基本行動性與安全性中建立裝置安全性原則

您可以使用基本行動性與安全性來建立裝置原則,以協助保護貴組織在Microsoft 365上的資訊,避免未經授權的存取。 您可以將原則套用至組織中任何行動裝置,其中裝置的使用者具有適用的Microsoft 365授權,並且已在基本行動性與安全性中註冊裝置。

開始之前

重要

您必須先啟用並設定基本行動性與安全性,才能建立行動裝置原則。 如需詳細資訊,請參閱基本行動和安全性概觀。

  • 瞭解基本行動性與安全性支援的裝置、行動裝置應用程式和安全性設定。 請參閱 基本行動性和安全性的功能
  • 建立安全性群組,其中包含您想要將原則部署至的Microsoft 365使用者,以及您可能想要排除的使用者存取Microsoft 365。 建議您在將新原則部署到組織之前,先將原則部署至少數使用者來測試原則。 您可以建立並使用只包含您自己的安全性群組,或是可為您測試原則的少數Microsoft 365使用者。 若要深入瞭解安全性群組,請參閱 建立、編輯或刪除安全性群組
  • 若要在Microsoft 365中建立及部署基本行動和安全性原則,您必須是Microsoft 365全域系統管理員。如需詳細資訊,請參閱安全性&合規性中心的許可權
  • 部署原則之前,請先讓組織知道在基本行動性與安全性中註冊裝置的潛在影響。 根據您設定原則的方式,可能會封鎖不符合規範的裝置存取Microsoft 365和資料,包括已註冊裝置上已安裝的應用程式、相片和個人資訊,而且可以刪除資料。

注意

在 Basic Mobility and Security 中為 Microsoft 365 商務標準版 建立的原則和存取規則會覆寫Exchange ActiveSync在Exchange 系統管理中心建立的行動裝置信箱原則和裝置存取規則。 在適用于Microsoft 365 商務標準版的基本行動性與安全性中註冊裝置之後,會忽略套用至裝置的任何Exchange ActiveSync行動裝置信箱原則或裝置存取規則。 若要深入瞭解Exchange ActiveSync,請參閱 Exchange Online 中的Exchange ActiveSync

步驟 1:建立裝置原則並部署至測試群組

開始之前,請確定您已啟用並設定基本行動性與安全性。 如需指示,請參閱 基本行動和安全性概觀

  1. 從瀏覽器中,輸入 https://compliance.microsoft.com/basicmobilityandsecurity

  2. 選取 [建立原則]

    基本行動和安全性原則設定。

  3. 在 [ 原則設定] 頁面上,指定您想要套用至組織中行動裝置的需求。

  4. 需要管理電子郵件設定檔:啟用時,沒有基本行動力和安全性所管理電子郵件設定檔的裝置會被視為不符合規範。 裝置無法在未正確設定目標時,或使用者手動在裝置上設定電子郵件帳戶時,擁有受控電子郵件設定檔。 當您保留 [ 未啟用 ] (預設) 時,不會評估此設定是否符合合規性。 如需使用者如何在選取此選項時符合規範的指示,請參閱 找到現有的電子郵件帳戶

  5. 在 [ 您要立即套用此原則嗎?] 頁面上,選擇您要套用此原則的群組。

  6. 取 [建立此原則]

原則會推送至每位使用者的裝置,該原則會在下次使用其行動裝置登入Microsoft 365時套用至該原則。 如果使用者之前尚未將原則套用至其行動裝置,則在您部署原則之後,他們會在其裝置上收到通知,其中包含註冊和啟用基本行動性與安全性的步驟。 如需詳細資訊,請 參閱使用基本行動和安全性註冊行動裝置。 在Intune服務所裝載的基本行動性與安全性中完成註冊之前,會限制對電子郵件、OneDrive和其他服務的存取。 使用 Intune 公司入口網站 應用程式完成註冊之後,他們可以使用服務,並將原則套用至其裝置。

步驟 2:確認您的原則可運作

建立裝置原則之後,請先檢查原則是否如預期般運作,再將其部署至您的組織。

  1. 從瀏覽器中,輸入 https://compliance.microsoft.com/basicmobilityandsecurity
  2. 取 [檢視受控裝置的清單]
  3. 檢查已套用原則的使用者裝置狀態。 您想要管理裝置的 狀態**。**
  4. 您也可以在選取裝置之後,按一下 [恢復 出廠預設 值] 或 [從管理**] 按鈕移除公司資料**,以在裝置上執行完整或選擇性抹除。 如需指示,請參閱 [在 Microsoft 365 中抹除行動裝置。

步驟 3:將原則部署到您的組織

在您建立裝置原則並確認其如預期般運作之後,請將它部署到您的組織。

  1. 從您的瀏覽器類型: https://compliance.microsoft.com/basicmobilityandsecurity
  2. 選取您想要部署的原則,然後選擇 [套用的 群組] 旁的 [編輯]。
  3. 搜尋要新增的群組,然後按一下 [ 選取]
  4. 取 [關閉 ] 和 [變更設定]。
  5. 選取 [關閉 ] 和 [編輯原則]。

原則會推送至每個使用者的行動裝置,該原則會在下次從其行動裝置登入Microsoft 365時套用至。 如果使用者尚未將原則套用至其行動裝置,他們會在裝置上收到通知,其中包含註冊並啟用基本行動性與安全性的步驟。 完成註冊之後,原則會套用至其裝置。 如需詳細資訊,請 參閱使用基本行動和安全性註冊行動裝置

步驟 4:封鎖不支援裝置的電子郵件存取

為了協助保護組織資訊,您應該封鎖應用程式存取基本行動性與安全性不支援的行動裝置Microsoft 365電子郵件。 如需支援的裝置清單,請參閱 支援的裝置

若要封鎖應用程式存取:

  1. 從瀏覽器中,輸入 https://compliance.microsoft.com/basicmobilityandsecurity

  2. 取 [管理整個組織的裝置存取設定]

  3. 若要封鎖不支援的裝置,請選擇 [ 如果基本行動性與 安全性不支援裝置, Microsoft 365] 底下的 [存取],然後選取 [儲存]

    基本行動和安全性封鎖存取選項。

步驟 5:選擇要從條件式存取檢查中排除的安全性群組

如果您想要將某些人員排除在其行動裝置上的條件式存取檢查之外,而且您已為這些人員建立一或多個安全性群組,請在這裡新增安全性群組。 這些群組中的人員不會針對其支援的行動裝置強制執行任何原則。 如果您不想再在組織中使用基本行動性與安全性,這是建議的選項。

  1. 從瀏覽器中,輸入 https://compliance.microsoft.com/basicmobilityandsecurity

  2. 取 [管理整個組織的裝置存取設定]

    基本行動性與安全性會建立原則選項。

  3. 選取 [新增] 以新增安全性群組,讓您想要排除的使用者無法封鎖存取Microsoft 365。 當使用者新增至此清單時,他們可以在使用不支援的裝置時存取Microsoft 365電子郵件。

  4. 在 [選取群組] 面板中選取您想要使用的安全

  5. 選取名稱,然後 選取 [新增 > 儲存]

  6. 在 [ 全組織的裝置存取設定] 面板上 ,選擇 [ 儲存]

    基本行動和安全性允許存取選項。

安全性原則對不同裝置類型的影響為何?

當您將原則套用至使用者裝置時,對每個裝置的影響會因裝置類型而有所不同。 如需原則對不同裝置的影響範例,請參閱下表。

安全性原則 Android Samsung KNOX iOS 附註
需要加密備份 iOS需要加密備份。
封鎖雲端備份 在Android (上封鎖 Google 備份,) 為灰色,iOS上封鎖雲端備份。
封鎖檔同步處理 iOS:封鎖雲端中的檔。
封鎖相片同步處理 iOS (原生) :封鎖相片串流。
封鎖螢幕擷取 嘗試時封鎖。
封鎖視訊會議 FaceTime 在iOS上遭到封鎖,而不是在Skype或其他端上封鎖。
封鎖傳送診斷資料 封鎖在Android上傳送 Google 當機報告。
封鎖對 App Store 的存取 Android首頁上遺漏應用程式市集圖示,Windows停用,iOS上遺失。
需要應用程式市集的密碼 iOS:iTunes 購買所需的密碼。
封鎖卸載式儲存體的連線 不適用 Android:SD 記憶卡在設定中呈現灰色,Windows通知使用者,已安裝的應用程式無法使用
封鎖藍牙連線 請參閱附注 請參閱附注 我們無法在Android上停用 BlueTooth 作為設定。 相反地,我們會停用所有需要 BlueTooth 的交易:進階音訊散佈、音訊/視訊遠端控制、免持手裝置、頭戴式裝置、電話書籍存取和序列埠。 使用任何快顯通知訊息時,頁面底部會出現一則小型快顯通知訊息。

當您刪除原則或從原則中移除使用者時,會發生什麼事?

當您刪除原則或從已部署原則的群組中移除使用者時,可能會從使用者的裝置中移除原則設定、Microsoft 365電子郵件設定檔和快取的電子郵件。 請參閱下表,以查看針對不同裝置類型移除的專案。

移除的專案 iOS 包含 Samsung KNOX 的Android (
Managed 電子郵件設定檔1
封鎖雲端備份

1 如果已使用 [已管理 電子郵件設定檔 ] 選項來部署原則,則會從使用者裝置刪除該設定檔中的受管理電子郵件設定檔和快取的電子郵件。

該原則會從行動裝置中移除,讓每個使用者在下次使用基本行動性與安全性簽入時套用原則。 如果您部署適用于這些使用者裝置的新原則,系統會提示他們重新註冊基本行動性與安全性。

您也可以完全抹除裝置,或選擇性地從裝置抹除組織資訊。 如需詳細資訊,請參閱 在基本行動性與安全性中抹除行動裝置

基本行動和安全 性 (文章概觀)
基本行動和安全性 (文章的功能)