Office 默认阻止来自 Internet 的宏
VBA 宏是恶意行为者获取访问权限以部署恶意软件和勒索软件的常用方法。 因此,为了帮助提高 Office 的安全性,我们正在更改 Office 应用程序的默认行为,以阻止来自 Internet 的文件中的宏。
此更改会影响用户与来自 Internet 的文件(如包含宏的电子邮件附件)的交互方式。 现在,当用户打开此类文件时,他们会看到以下消息:
“了解更多”按钮将定向到面向最终用户和信息工作者的文章,其中介绍了使用宏的不良行为者的安全风险、防止网络钓鱼和恶意软件的安全做法,以及有关如何启用这些宏的说明(如果需要)。
在某些情况下,如果文件来自 Intranet 中的某个位置且未被标识为受信任,则用户也会看到该消息。 例如,如果用户使用共享 IP 地址访问网络共享上的文件。 有关详细信息,请参阅集中位于网络共享或受信任网站中的文件。
重要
甚至在我们引入此更改之前,组织也可以使用阻止宏在来自 Internet 的 Office 文件策略中运行策略来防止用户无意中打开包含宏的 Internet 文件。 建议启用此策略作为 Microsoft 365 企业应用版安全基线的一部分。 如果确实配置了该策略,则组织不会受到此默认更改的影响。
有关详细信息,请参阅使用策略管理 Office 处理宏的方式。
为此更改做好准备
通过与组织中使用 Office 文件中的宏的业务部门合作,为此更改做好准备。 这些文件通常从 Intranet 网络共享或 Intranet 网站等位置打开。 你希望识别这些宏,并确定要采取哪些步骤来继续使用这些宏。 与这些位置的 Office 文件中的宏的独立软件供应商 (ISV) 合作。 例如,若要查看他们是否可以对其代码进行数字签名,你可以将其视为受信任的发布者。
此外,请查看以下信息:
准备操作 | 更多信息 |
---|---|
了解每个更新通道中的哪个版本具有此更改 | 受此更改影响的 Office 版本 |
查看 Office 确定是否在文件中运行宏所采取的过程的流程图 | Office 如何确定是否在 Internet 文件中运行宏 |
了解可用于控制 VBA 宏执行的策略 | 使用策略管理 Office 处理宏的方式 |
允许 VBA 宏在你信任的文件中运行所采取的步骤
如何允许 VBA 宏在信任的文件中运行取决于这些文件所在的位置或文件类型。
下表列出了各种常见场景以及解除阻止 VBA 宏并允许它们运行所采取的可能方法。 遇到给定场景,无需执行所有可能的方法。 我们在此列出了多种方法,请选择最适合组织的方法。
应用场景 | 可能采取的方法 |
---|---|
单个文件 |
• 在文件的“属性”对话框的“常规”选项卡上,选择“取消阻止”复选框 • 在 PowerShell 中使用 Unblock-File cmdlet 有关详细信息,请参阅从文件中删除 Web 标记。 |
集中位于网络共享或受信任网站中的文件 | 使用“单个文件”下列出的方法取消阻止文件。 如果没有“取消阻止”复选框,并且你希望信任该网络位置中的所有文件: • 将该位置指定为受信任的站点 • 将该位置添加到“本地 Intranet”区域 有关详细信息,请参阅集中位于网络共享或受信任网站中的文件。 |
OneDrive 或 SharePoint(包括 Teams 频道使用的站点)上存储的文件 | • 让用户使用“在桌面应用中打开”选项直接打开文件 • 如果用户在打开文件之前在本地下载了文件,请从该文件的本地副本中删除 Web 标记(请参阅“单个文件”下提供的方法) • 将该位置指定为受信任的站点 有关详细信息,请参阅 OneDrive 或 SharePoint 上的文件。 |
Word、PowerPoint 和 Excel 的启用宏的模板文件 | 如果模板文件存储在用户的设备上: • 从模板文件中删除 Web 标记(请参阅“单个文件”下提供的方法) • 将模板文件保存到可信位置 如果模板文件存储在网络位置: • 使用数字签名并信任发布者 • 信任模板文件(请参阅“集中位于网络共享或受信任网站中的文件”下提供的方法) 有关详细信息,请参阅 Word、PowerPoint 和 Excel 的启用宏的模板文件。 |
PowerPoint 的启用宏的加载项文件 | • 从加载项文件中删除 Web 标记 • 使用数字签名并信任发布者 • 将加载项文件保存到可信位置 有关详细信息,请参阅 PowerPoint 和 Excel 的启用宏的加载项文件。 |
Excel 的启用宏的加载项文件 | • 从加载项文件中删除 Web 标记 • 将加载项文件保存到可信位置 有关详细信息,请参阅 PowerPoint 和 Excel 的启用宏的加载项文件。 |
由受信任的发布者签名的宏 | • [建议]将受信任发布者的公共代码签名证书部署到用户,并阻止用户自行添加受信任发布者。 • 从文件中删除 Web 标记,并让用户将宏的发布者添加为受信任的发布者。 有关详细信息,请参阅由受信任的发布者签名的宏。 |
保存到用户设备上的文件夹的文件组 | 将文件夹指定为可信位置 有关详细信息,请参阅可信位置。 |
受此更改影响的 Office 版本
此更改仅影响运行 Windows 的设备上的 Office,并且仅影响以下应用程序:Access、Excel、PowerPoint、Visio 和 Word。
下表显示了此更改在各更新通道中可用的时间。
更新频道 | 版本 | 日期 |
---|---|---|
当前频道(预览) | 版本 2203 | 已于 2022 年 4 月 12 日开始推出 |
当前频道 | 版本 2206 | 已于 2022 年 7 月 27 日开始推出 |
月度企业频道 | 版本 2208 | 2022 年 10 月 11 日 |
半年企业频道(预览) | 版本 2208 | 2022 年 10 月 11 日 |
半年度企业频道 | 版本 2208 | 2023 年 1 月 10 日 |
此更改不会影响 Mac 上的 Office、Android 或 iOS 设备上的 Office 或 Office 网页版。
Office 如何确定是否在 Internet 文件中运行宏
以下流程图显示 Office 如何确定是否在 Internet 文件中运行宏。
以下步骤解释流程图中的信息,Excel 加载项文件除外。 有关这些文件的详细信息,请参阅 PowerPoint 和 Excel 的启用宏的加载项文件。 此外,如果文件所在的网络共享不在本地 Intranet 区域或者不是受信任的站点,则会在该文件中阻止宏。
- 用户打开从 Internet 获取的包含宏的 Office 文件。 例如,电子邮件附件。 该文件具有 Web 标记 (MOTW)。
注意
- Windows 将 Web 标记添加到不可信位置(如 Internet 或受限区域)中的文件。 例如,浏览器下载的文件或电子邮件附件。 有关详细信息,请参阅 Web 标记和区域。
- Web 标记仅适用于 NTFS 文件系统上保存的文件,不适用于保存到 FAT32 格式设备的文件。
如果文件来自可信位置,则打开文件并启用宏。 如果文件不是来自可信位置,则评估将继续进行。
如果宏具有数字签名,并且你的设备具有相应的受信任发布者证书,则打开文件并启用宏。 如果没有,则继续进行评估。
检查策略以查看是允许还是阻止宏。 如果策略设置为“未配置”,则评估将继续到步骤 6。
(a) 如果策略阻止宏,则阻止宏。
(b) 如果策略启用宏,则启用宏。如果用户在默认行为发生此更改之前打开了该文件,并从信任栏中选择了“启用内容”,则会启用宏,因为该文件被视为受信任。
注意
- 有关详细信息,请参阅受信任文档的新安全强化策略。
- 对于 Office 的永久版本(如 Office LTSC 2021 或 Office 2019),此步骤发生在步骤 3 之后和步骤 4 之前,不受默认行为更改的影响。
- 在此步骤,Office 默认行为更改便已生效。 进行此更改后,来自 Internet 的文件中的宏将被阻止,用户在打开文件时会看到“安全风险”横幅。
注意
以前,在默认行为发生此更改之前,应用会检查 VBA 宏通知设置策略是否已启用以及其配置方式。
如果策略设置为“已禁用”或“未配置”,则应用将检查“文件”>“选项”>“信任中心”>“信任中心设置...”>“宏设置”下的设置。 默认设置为“禁用所有宏,并发出通知”,因此用户可以在信任栏中启用内容。
有关允许 VBA 宏在你信任的文件中运行的指南
从文件中删除 Web 标记
若要取消阻止文件(例如来自 Internet 的文件或电子邮件附件)中的宏,请删除本地设备上的 Web 标记。 若要删除,请右键单击该文件,选择“属性”,然后在“常规”选项卡上选中“取消阻止”复选框。
注意
- 在某些情况下,通常对于网络共享上的文件,如果文件的宏已被阻止,则用户可能不会看到“取消阻止”复选框。 对于这些情况,请参阅集中位于网络共享或受信任网站中的文件。
- 即使“取消阻止”复选框可用于网络共享上的文件,如果该共享被视为在“Internet”区域中,选中该复选框也不会产生任何影响。 有关详细信息,请参阅 Web 标记和区域。
还可以在 PowerShell 中使用 Unblock-File cmdlet 从文件中删除 ZoneId 值。 删除 ZoneId 值允许 VBA 宏默认运行。 使用该 cmdlet 与在文件的“属性”对话框的“常规”选项卡上选择“取消阻止”复选框等效。 有关 ZoneId 值的详细信息,请参阅 Web 标记和区域。
集中位于网络共享或受信任网站中的文件
如果让用户访问受信任的网站或内部文件服务器中的文件,则可以执行以下任一步骤,以便来自这些位置的宏不会被阻止。
- 将位置指定为受信任的站点
- 如果网络位置位于 Intranet 上,请将该位置添加到“本地 Intranet”区域
注意
- 如果将某些站点添加为受信任的站点,则整个站点在与 Office 无关的场景下也会获得提升权限。
- 对于“本地 Intranet”区域方法,建议将文件保存到已被视为“本地 Intranet”区域的一部分的位置,而不是向该区域添加新位置。
- 通常,我们建议使用受信任的站点,因为它们与“本地 Intranet 区域”相比,具有一些额外的安全性。
例如,如果用户使用其 IP 地址访问网络共享,则会阻止这些文件中的宏,除非文件共享位于“受信任的站点”或“本地 Intranet”区域。
提示
- 若要查看受信任的站点列表或“本地 Intranet”区域中的内容,请转到 Windows 设备上的“控制面板”>“Internet 选项”>“更改安全设置”。
- 若要检查单个文件是否来自受信任的站点或本地 Intranet 位置,请参阅 Web 标记和区域。
例如,可以通过将 FQDN 或 IP 地址添加到受信任的站点列表,将文件服务器或网络共享添加为受信任的站点。
如果要添加以 http:// 或网络共享开头的 URL,请取消勾选“对该区域中的所有站点要求服务器验证(https:)”复选框。
重要
由于这些位置的文件不会阻止宏,因此应谨慎管理这些位置。 请确保控制可以将文件保存到这些位置的人员。
可以使用组策略和“站点到区域分配列表”策略将位置添加为受信任的站点或添加到组织中 Windows 设备的“本地 Intranet”区域。 此策略位于组策略管理控制台的“Windows 组件\Internet Explorer\Internet 控制面板\安全页面”。 它在“计算机配置\策略\管理模板”和“用户配置\策略\管理模板”下可用。
OneDrive 或 SharePoint 上的文件
如果用户使用 Web 浏览器下载 OneDrive 或 SharePoint 上的文件,则 Windows Internet 安全区域(“控制面板”>“Internet 选项”>“安全性”)的配置将确定浏览器是否设置 Web 标记。 例如,如果文件来自 Internet 区域,则 Microsoft Edge 会在该文件上设置 Web 标记。
如果用户在从 OneDrive 网站或 SharePoint 站点(包括 Teams 频道使用的站点)打开的文件中选择“在桌面应用中打开”,则该文件将不具有 Web 标记。
如果用户正在运行 OneDrive 同步客户端,并且该同步客户端下载了文件,则该文件将不具有 Web 标记。
位于 Windows 已知文件夹(桌面、文档、图片、屏幕截图和本机照片)并同步到 OneDrive 的文件没有 Web 标记。
如果你有一组用户(例如财务部门),他们需要在不阻止宏的情况下使用 OneDrive 或 SharePoint 中的文件,下面是一些可能的选项:
让他们使用“在桌面应用中打开”选项打开文件
让他们将文件下载到 可信位置。
将 OneDrive 或 SharePoint 域的 Windows Internet 安全区域分配设置为受信任的站点。 管理员可以使用“站点到区域分配列表”策略,并将该策略配置为将
https://{your-domain-name}.sharepoint.com
(对于 SharePoint)或https://{your-domain-name}-my.sharepoint.com
(对于 OneDrive)放置到“受信任的站点”区域。此策略位于组策略管理控制台的“Windows 组件\Internet Explorer\Internet 控制面板\安全页面”。 它在“计算机配置\策略\管理模板”和“用户配置\策略\管理模板”下可用。
将这些位置添加到受信任的站点不会更改 SharePoint 权限和 OneDrive 共享。 维护访问控制非常重要。 有权向 SharePoint 添加文件的任何人都可以添加具有活动内容(例如宏)的文件。 从“受信任的站点”区域中的域下载文件的用户将绕过默认设置来阻止宏。
Word、PowerPoint 和 Excel 的启用宏的模板文件
从 Internet 下载的 Word、PowerPoint 和 Excel 的启用宏的模板文件具有 Web 标记。 例如,具有以下扩展名的模板文件:
- .dot
- .dotm
- .pot
- .potm
- .xlt
- .xltm
当用户打开启用宏的模板文件时,将阻止用户在模板文件中运行宏。 如果用户信任模板文件的来源,他们可以从模板文件中删除 Web 标记,然后在 Office 应用中重新打开模板文件。
如果你有一组用户,他们需要使用启用宏的模板并且不阻止宏,则可以执行以下任一操作:
- 使用数字签名并信任发布者。
- 如果不使用数字签名,可以将模板文件保存到可信位置,并让用户从该位置获取模板文件。
PowerPoint 和 Excel 的启用宏的加载项文件
从 Internet 下载的 PowerPoint 和 Excel 的启用宏的加载项文件具有 Web 标记。 例如,具有以下扩展名的加载项文件:
- .ppa
- .ppam
- .xla
- .xlam
当用户尝试使用“文件”>“选项”>“加载项”或使用“开发人员”功能区安装启用宏的加载项时,加载项将以禁用状态加载,并且用户无法使用加载项。 如果用户信任加载项文件的来源,他们可以从加载项文件中删除 Web 标记,然后重新打开 PowerPoint 或 Excel 以使用加载项。
如果你有一组用户,他们需要使用启用宏的加载项文件并且不阻止宏,则可以执行以下操作。
对于 PowerPoint 加载项文件:
- 从 .ppa 或 .ppam 文件中删除 Web 标记。
- 使用数字签名并信任发布者。
- 将加载项文件保存到可信位置供用户检索。
对于 Excel 加载项文件:
- 从 .xla 或 .xlam 文件中删除 Web 标记。
- 将加载项文件保存到可信位置供用户检索。
注意
使用数字签名并信任发布者不适用于具有 Web 标记的 Excel 加载项文件。 此行为对于具有 Web 标记的 Excel 加载项文件来说并不新鲜。 由于之前的安全强化工作(与 Microsoft 安全公告 MS16-088 有关),自 2016 年以来,它一直以这种方式工作。
由受信任的发布者签名的宏
如果宏已签名,并且你验证了证书并信任来源,则可以使该来源成为受信任的发布者。 如果可能,建议为用户管理受信任的发布者。 有关详细信息,请参阅 Office 文件的受信任发布者。
如果只有少数用户,则可以让他们从文件中删除 Web 标记,然后在其设备上将宏的来源添加为受信任的发布者。
警告
- 使用同一证书进行有效签名的所有宏均被认为来自受信任的发布者并被运行。
- 添加受信任的发布者影响的场景可能会不限于 Office 相关的场景,因为受信任的发布者是 Windows 范围的设置,而不仅仅是特定于 Office 的设置。
受信任位置
将来自 Internet 的文件保存到用户设备上的可信位置会忽略对 Web 标记进行检查,并且在打开时会启用 VBA 宏。 例如,业务线应用程序可以定期发送包含宏的报告。 如果包含宏的文件保存到可信位置,则用户无需转到该文件的“属性”,然后选择“取消阻止”允许宏运行。
由于在保存到可信位置的文件中不会阻止宏,因此应谨慎管理可信位置并谨慎使用它们。 网络位置也可设置为可信位置,但不建议这样做。 有关详细信息,请参阅 Office 文件的可信位置。
有关 Web 标记的其他信息
Web 标记和受信任的文档
文件下载到运行 Windows 的设备时,Web 标记将添加到该文件中,将其来源标识为来自 Internet。 目前,当用户打开包含 Web 标记的文件时,将显示一个“安全警告”横幅,以及一个“启用内容”按钮。 如果用户选择“启用内容”,则该文件被视为受信任的文档,并允许宏运行。 即使实施了默认行为更改以阻止来自 Internet 的文件中的宏,宏仍将继续运行,因为该文件仍被视为受信任的文档。
更改默认行为以阻止来自 Internet 的文件中的宏后,用户在首次打开来自 Internet 的包含宏的文件时会看到其他横幅。 此“安全风险”横幅没有“启用内容”选项。 但用户可以转到文件的“属性”对话框,然后选择“取消阻止”,这将从文件中删除 Web 标记并允许宏运行,前提是没有策略或信任中心设置加以阻止。
Web 标记和区域
默认情况下,Web 标记添加到仅来自“Internet”或“受限站点”区域的文件。
提示
若要在 Windows 设备上查看这些区域,请转到“控制面板”>“Internet 选项”>“更改安全设置”。
可以通过在命令提示符处运行以下命令并将 {name of file} 替换为文件名来查看文件的 ZoneId 值。
notepad {name of file}:Zone.Identifier
运行此命令时,记事本将打开并显示 [ZoneTransfer] 部分下的 ZoneId。
下面列出了 ZoneId 值及其对应的区域。
- 0 = 我的电脑
- 1 = 本地 Intranet
- 2 = 受信任的站点
- 3 = Internet
- 4 = 受限站点
例如,如果 ZoneId 为 2,则默认情况下不会阻止该文件中的 VBA 宏。 但如果 ZoneId 为 3,则默认情况下会阻止该文件中的宏。
可以在 PowerShell 中使用 Unblock-File cmdlet 从文件中删除 ZoneId 值。 删除 ZoneId 值允许 VBA 宏默认运行。 使用该 cmdlet 与在文件的“属性”对话框的“常规”选项卡上选择“取消阻止”复选框等效。
使用策略管理 Office 处理宏的方式
可以使用策略来管理 Office 处理宏的方式。 建议使用阻止在来自 Internet 的 Office 文件中运行宏策略。 但如果该策略不适合你的组织,另一个选项是 VBA 宏通知设置策略。
有关如何部署这些策略的详细信息,请参阅可用于管理策略的工具。
重要
仅当使用 Microsoft 365 企业应用版时,才能使用策略。 策略不适用于 Microsoft 365 商业应用版。
阻止在来自 Internet 的 Office 文件中运行宏
此策略可防止用户无意中打开来自 Internet 的包含宏的文件。 文件下载到运行 Windows 的设备或从网络共享位置打开时,Web 标记将添加到该文件,以标识其源自 Internet。
建议启用此策略作为 Microsoft 365 企业应用版安全基线的一部分。 应为大多数用户启用此策略,并且仅根据需要为某些用户设置例外。
这五个应用程序中的每一个都有一个单独的策略。 下表显示了在“用户配置\策略\管理模板”下的组策略管理控制台中可以找到的各个策略的位置:
应用程序 | 策略位置 |
---|---|
Access | Microsoft Access 2016\应用程序设置\安全\信任中心 |
Excel | Microsoft Excel 2016\Excel 选项\安全\信任中心 |
PowerPoint | Microsoft PowerPoint 2016\PowerPoint 选项\安全\信任中心 |
Visio | Microsoft Visio 2016\Visio 选项\安全\信任中心 |
Word | Microsoft Word 2016\Word 选项\安全\信任中心 |
你为策略选择的状态决定了你提供的保护级别。 下表显示了在实施默认行为更改之前,在每个状态下获得的当前保护级别。
图标 | 保护级别 | 策略状态 | 说明 |
---|---|---|---|
受保护[推荐] | 已启用 | 阻止用户在从 Internet 获取的文件中运行宏。 Microsoft 推荐的安全基线的一部分。 |
|
不受保护 | Disabled | 将遵循在“文件”>“选项”>“信任中心”>“信任中心设置...”>“宏设置”下配置的设置。 | |
不受保护 | 未配置 | 将遵循在“文件”>“选项”>“信任中心”>“信任中心设置...”>“宏设置”下配置的设置。 |
注意
- 如果将此策略设置为“已禁用”,用户在打开包含宏的文件时默认会看到安全警告。 该警告会告知用户宏已禁用,但允许他们通过选择“启用内容”按钮来运行宏。
- 此警告与用户在我们最近实施此更改以阻止宏之前看到的警告相同。
- 不建议将此策略永久设置为“已禁用”。 但在某些情况下,在测试新的宏阻止行为如何影响组织以及开发允许安全使用宏的解决方案时,暂时执行此操作可能很实用。
实施对默认行为的更改后,当策略设置为“未配置”时,保护级别会更改。
图标 | 保护级别 | 策略状态 | 说明 |
---|---|---|---|
Protected | 未配置 | 阻止用户在从 Internet 获取的文件中运行宏。 用户会看到“安全风险”横幅,以及“了解详细信息”按钮 |
VBA 宏通知设置
如果不使用“阻止在来自 Internet 的 Office 文件中运行宏”策略,则可以使用“VBA 宏通知设置”策略来管理 Office 处理宏的方式。
此策略可防止用户被诱使启用恶意宏。 默认情况下,Office 配置为阻止包含 VBA 宏的文件并显示信任栏,其中有一条警告,内容是宏存在并已禁用。 如果适用,用户可以检查和编辑文件,但在信任栏上选择“启用内容”之前无法使用任何禁用的功能。 如果用户选择“启用内容”,则会将该文件添加为受信任的文档,并允许宏运行。
这五个应用程序中的每一个都有一个单独的策略。 下表显示了在“用户配置\策略\管理模板”下的组策略管理控制台中可以找到的各个策略的位置:
应用程序 | 策略位置 |
---|---|
Access | Microsoft Access 2016\应用程序设置\安全\信任中心 |
Excel [1] | Microsoft Excel 2016\Excel 选项\安全\信任中心 |
PowerPoint | Microsoft PowerPoint 2016\PowerPoint 选项\安全\信任中心 |
Visio | Microsoft Visio 2016\Visio 选项\安全\信任中心 |
Word | Microsoft Word 2016\Word 选项\安全\信任中心 |
注意
- [1] 对于 Excel,策略名为“宏通知设置”。
- “VBA 宏通知设置”策略也适用于 Project 和 Publisher。
你为策略选择的状态决定了你提供的保护级别。 下表显示了每个状态下获得的保护级别。
图标 | 保护级别 | 策略状态 | 策略值 |
---|---|---|---|
受保护[推荐] | 已启用 | 禁用无数字签署的所有宏(并选择“要求受信任的发布者签署宏”) | |
Protected | 已启用 | 禁用所有宏,并且不通知 | |
受部分保护 | 已启用 | 禁用所有宏,并发出通知 | |
受部分保护 | Disabled | (与“全部禁用,并发出通知”的行为相同) | |
不受保护 | 已启用 | 启用所有宏(不推荐) |
重要
保护宏非常重要。 对于不需要宏的用户,请通过选择“全部禁用,但不发出通知”来关闭所有宏。
我们的安全基线建议是,应执行以下操作:
- 启用“VBA 宏通知设置”策略。
- 对于需要宏的用户,请选择“禁用无数字签署的所有宏”,然后选择“要求受信任的发布者签署宏”。证书需要作为受信任的发布者安装在用户的设备上。
如果未配置策略,用户可以在“文件”>“选项”>“信任中心”>“信任中心设置...”>“宏设置”下配置宏保护设置。
下表显示了用户在“宏设置”下可以做出的选择,以及每个设置提供的保护级别。
图标 | 保护级别 | 所选设置 |
---|---|---|
Protected | 禁用无数字签署的所有宏 | |
Protected | 禁用所有宏,并且不通知 | |
受部分保护 | 禁用所有宏,并发出通知(默认) | |
不受保护 | 启用所有宏(不推荐;可能会运行有潜在危险的代码) |
注意
在 Excel 的策略设置值和产品 UI 中,“所有”一词替换为“VBA”。例如,“禁用 VBA 宏,但不发出通知”。
可用于管理策略的工具
你可以使用多种工具向组织中的用户配置和部署策略设置。
云策略
即使设备未加入域,也可使用云策略向组织中的设备配置和部署策略设置。 云策略是基于 Web 的工具,可在 Microsoft 365 应用版管理中心找到。
在云策略中,创建策略配置,将其分配给组,然后选择要在策略配置添加的策略。 若要选择要添加的策略,可以按策略名称进行搜索。 云策略还显示哪些策略是 Microsoft 建议的安全基线的一部分。 云策略中提供的策略与组策略管理控制台中提供的用户配置策略相同。
若要了解更多信息,请参阅适用于 Microsoft 365 的云策略服务概述。
Microsoft Intune 管理中心
在 Microsoft Intune 管理中心,可以使用设置目录(预览版)或管理模板向运行 Windows 10 或更高版本的设备的用户配置和部署策略设置。
要开始使用,请转到“设备”>“配置文件”>“创建配置文件”。 对于“平台”,请选择“Windows 10 及更高版本”,然后选择配置文件类型。
有关详细信息,请参阅以下文章:
组策略管理控制台
如果已经在组织中部署了 Windows Server 和 Active Directory 域服务 (AD DS),则可以通过使用组策略来配置策略。 若要使用组策略,请下载最新的 Office 管理模板文件 (ADMX/ADML),其中包括 Microsoft 365 企业应用版的策略设置。 将管理模板文件复制到 AD DS 后,可以使用组策略管理控制台创建组策略对象 (GPO),其中包括针对用户和已加入域的设备的策略设置。