在基本移动性和安全性中创建设备安全策略
可以使用基本移动性和安全性来创建设备策略,以帮助保护组织有关 Microsoft 365 的信息免遭未经授权的访问。 可以将策略应用于组织中任何移动设备,其中设备的用户具有适用的 Microsoft 365 许可证,并且已在基本移动性和安全性中注册了设备。
开始之前
重要
必须先激活并设置基本移动性和安全性,然后才能创建移动设备策略。 有关详细信息,请参阅 Microsoft 365 的基本移动性和安全性概述。
- 了解基本移动性和安全性支持的设备、移动设备应用和安全设置。 请参阅 基本移动性和安全性的功能。
- 创建安全组,其中包括要向其部署策略的 Microsoft 365 用户,以及可能要阻止其访问 Microsoft 365 的用户。 我们建议您先向少量用户部署新策略,以此来测试策略,然后再为组织部署此策略。 可以创建和使用一个安全组,该安全组仅包括你自己或少量Microsoft 365 个用户可以为你测试策略的安全组。 若要了解有关安全组的详细信息,请参阅 创建、编辑或删除安全组。
- 若要在 Microsoft 365 中创建和部署基本移动性和安全性策略,需要是合规性管理员。 有关详细信息,请参阅 Microsoft Entra 内置角色。
- 在部署策略之前,请让组织了解在基本移动性和安全性中注册设备的潜在影响。 根据设置策略的方式,可能会阻止不符合要求的设备访问Microsoft 365 和数据,包括已注册设备上的已安装应用程序、照片和个人信息,并且可以删除数据。
注意
在 Microsoft 365 Business Standard 的基本移动性和安全性中创建的策略和访问规则将替代在 Exchange 管理中心中创建的 Exchange ActiveSync 移动设备邮箱策略和设备访问规则。 在 Microsoft 365 Business Standard 的基本移动性和安全性中注册设备后,将忽略应用于设备的任何 Exchange ActiveSync 移动设备邮箱策略或设备访问规则。 若要了解有关 Exchange ActiveSync 的详细信息,请参阅 Exchange Online 中的 Exchange ActiveSync。
步骤 1:创建设备策略并部署到测试组
在开始之前,请确保已激活并设置基本移动性和安全性。 有关说明,请参阅 基本移动性和安全性概述。
在浏览器中,转到 https://compliance.microsoft.com/basicmobilityandsecurity。
在“ 策略 ”选项卡上,选择“ 创建”。
在 “策略名称 ”页上,添加和名称和说明,然后选择“ 下一步”。
在 “访问要求 ”页上,指定要应用于组织中的移动设备的要求,然后选择“ 下一步”。
在 “配置” 页上,选择组织的配置要求,然后选择“ 下一步”。
在“ 部署 ”页上,选择要应用此策略的安全组。
在“ 审阅 ”页上,验证你的选择,然后选择“ 提交”。
策略将推送到每个用户的设备,该策略适用于他们下次使用移动设备登录到 Microsoft 365。 如果用户之前尚未将策略应用于其移动设备,则部署该策略后,他们在设备上会收到一条通知,其中包括注册和激活基本移动性和安全性的步骤。 有关详细信息,请参阅 使用基本移动性和安全性注册移动设备。 在他们完成 Intune 服务托管的基本移动性和安全性注册之前,对电子邮件、OneDrive 和其他服务的访问将受到限制。 使用 Intune 公司门户应用完成注册后,他们可以使用服务,并且策略将应用于其设备。
步骤 2:验证策略是否有效
创建设备策略后,请先检查策略是否按预期工作,然后再将其部署到组织。
- 在浏览器中,转到 https://compliance.microsoft.com/basicmobilityandsecurity。
- 选择“ 查看托管设备列表”。
- 检查已应用此策略的用户设备的状态。 你希望设备 的状态 是 托管的。
- 选择设备后,还可以通过单击“恢复出厂设置”或“从管理中删除公司数据”按钮,在设备上执行完全或选择性擦除。 有关说明,请参阅 在基本移动性和安全性中擦除移动设备。
步骤 3:将策略部署到组织
创建设备策略并验证其按预期工作后,将其部署到组织。
- 在浏览器类型中: https://compliance.microsoft.com/basicmobilityandsecurity。
- 选择要部署的策略,然后选择“应用的组”旁边的“编辑”。
- 搜索要添加的组,然后单击“ 选择”。
- 选择 “关闭 ”和 “更改设置”。
- 选择 “关闭 并 编辑策略”。
该策略将推送到每个用户的移动设备,当用户下次从移动设备登录到 Microsoft 365 时,将应用该策略。 如果用户尚未将策略应用于其移动设备,则会在其设备上收到一条通知,其中包含注册和激活其基本移动性和安全性的步骤。 完成注册后,策略将应用于其设备。 有关详细信息,请参阅 使用基本移动性和安全性注册移动设备。
步骤 4:阻止不受支持的设备的电子邮件访问
若要帮助保护组织信息,应阻止应用访问基本移动性和安全性不支持的移动设备的 Microsoft 365 电子邮件。 有关受支持设备的列表,请参阅 支持的设备。
若要阻止应用访问,请执行以下操作:
在浏览器中,键入 https://compliance.microsoft.com/basicmobilityandsecurity。
选择“ 组织设置 ”选项卡。
若要阻止不受支持的设备,请在“如果设备不受 Microsoft 365 的基本移动性和安全性支持”下选择“访问”,然后选择“保存”。
步骤 5:选择要从条件访问检查中排除的安全组
如果您要从他们的移动设备上的条件访问检查中排除某些人员,并且已为这些人员创建了一个或多个安全组,则在此处添加安全组。 这些组中的人员不会为其支持的移动设备强制执行任何策略。 如果不再需要在组织中使用基本移动性和安全性,则建议使用此选项。
在浏览器中,键入 https://compliance.microsoft.com/basicmobilityandsecurity。
选择“ 组织设置 ”选项卡。
选择“ 添加 ”以添加要阻止访问 Microsoft 365 的用户排除的安全组。 将用户添加到此列表后,当他们使用不受支持的设备时,他们可以访问 Microsoft 365 电子邮件。
在“ 选择 组”面板中选择要使用的安全组。
选择名称,然后选择 “添加>保存”。
在 “组织设置” 面板中,选择“ 保存”。
安全策略对不同设备类型的影响是什么?
将策略应用于用户设备时,对每个设备的影响因设备类型而异。 请查看以下示例表,了解策略对不同设备的影响。
| 安全策略 | Android | Samsung KNOX | iOS | 注释 |
|---|---|---|---|---|
| 需要加密备份 | 否 | 是 | 是 | 需要 iOS 加密备份。 |
| 阻止云备份 | 是 | 是 | 是 | 在受监督的 iOS 上阻止 Google 备份 (灰显) 云备份。 |
| 阻止文档同步 | 否 | 否 | 是 | iOS:在受监督的 iOS 设备上阻止云中的文档。 |
| 阻止照片同步 | 否 | 否 | 是 | iOS(本机):阻止照片流。 |
| 阻止屏幕捕获 | 否 | 是 | 是 | 在尝试时被阻止。 |
| 阻止视频会议 | 否 | 否 | 是 | FaceTime 在受监督的 iOS 设备上被阻止,而不是Skype或其他设备上。 |
| 阻止发送诊断数据 | 否 | 是 | 是 | 阻止在 Android 上发送 Google 故障报告。 |
| 阻止对应用商店的访问 | 否 | 是 | 是 | Android 主页上缺少应用商店图标,在 Windows 和受监督的 iOS 设备上禁用。 |
| 要求提供应用商店的密码 | 否 | 否 | 是 | iOS:购买 iTunes 所需的密码。 |
| 阻止连接到可移动存储 | 否 | 是 | 不适用 | Android:SD 卡在设置中灰显,Windows 通知用户,安装的应用不可用 |
| 阻止蓝牙连接 | 查看备注 | 查看备注 | 是 | 我们无法在 Android 上禁用 BlueTooth 作为设置。 相反,我们将禁用需要 BlueTooth 的所有事务:高级音频分发、音频/视频远程控制、免手动设备、头戴显示设备、电话簿访问和串行端口。 使用以上任一项时,页面底部将显示一个小型 Toast 消息。 |
当您删除策略或从策略中删除用户时,会发生什么情况?
删除策略或从部署策略的组中删除用户时,策略设置Microsoft 365 电子邮件配置文件和缓存电子邮件可能会从用户的设备中删除。 请参阅下表,了解针对不同设备类型删除的内容。
| 删除的内容 | iOS | Android (,包括 Samsung KNOX) |
|---|---|---|
| 托管电子邮件配置文件1 | 是 | 否 |
| 阻止云备份 | 是 | 否 |
1 如果在部署策略时选择了“ 电子邮件配置文件已管理 ”选项,则会从用户设备中删除该配置文件中的托管电子邮件配置文件和缓存的电子邮件。
该策略将从每个用户的移动设备中删除,该策略在下次使用基本移动性和安全性签入时应用该策略。 如果部署适用于这些用户设备的新策略,系统会提示它们重新注册基本移动性和安全性。
还可以完全擦除设备,或选择性地擦除设备中的组织信息。 有关详细信息,请参阅 基本移动性和安全性中的擦除移动设备。