Microsoft 365 雲端原則服務概觀
注意事項
「Office 雲端原則服務」已重新命名為「Microsoft 365 的雲端原則服務」。在大部分情況下,我們只會將它稱為雲端原則。
Microsoft 365 的雲端原則服務可讓您針對用戶裝置上的 Microsoft 365 Apps 企業版 強制執行原則設定,即使裝置未加入網域或受管理。 當使用者在裝置上登入 Microsoft 365 應用程式企業版時,其原則設定會漫遊至該裝置。 原則設定適用於執行 Windows、macOS、iOS 和 Android 的裝置,但並非所有原則設定都適用於所有作業系統。 您也可以針對登入的來賓使用者和匿名存取檔的使用者,強制執行 Office 網頁版 和迴圈的一些原則設定。
雲端原則是 Microsoft 365 Apps 系統管理中心的一部分。 此服務包含許多相同的使用者型原則設定,可在 群組原則 中使用。 您也可以直接在 Microsoft Intune 系統管理中心的 [Office 應用程式>>原則原則] 底下使用雲端原則。
使用雲端原則的需求
以下是搭配使用雲端原則與 Microsoft 365 Apps 企業版 的需求:
- 支援的 Microsoft 365 Apps 企業版 版本。
- 在 中建立或同步至 Microsoft Entra ID的用戶帳戶。 用戶必須使用 Microsoft Entra ID 型帳戶登入 Microsoft 365 Apps 企業版。
- 雲端原則支援在 中建立或同步至 Microsoft Entra ID 的 Microsoft 365 群組 和 Microsoft Entra 安全組。 成員資格類型可以是 [動態] 或 [指派]。
- 若要建立原則設定,您必須在 Microsoft Entra ID 中獲指派下列其中一個角色:全域管理員、安全性系統管理員或 Office Apps 管理員。
- 您必須在網路上正確設定 必要的 URL 和 IP 位址範圍 。
- 雲端原則服務不支援已驗證的 Proxy。
重要事項
- 雲端原則不適用於具有下列方案的客戶:Office 365 由 21Vianet、Office 365 GCC 或 Office 365 GCC High 和 DoD 營運。
- 原則設定無法套用至使用隨選即用的大量授權 Office 版本,例如 Office LTSC 專業增強版 2021 或 Office 標準版 2019。
- 您可以建立 Microsoft 365 Apps 商務版 的原則設定,但只支援與隱私權控制相關的原則設定。 如需詳細資訊,請參閱使用原則設定來管理 Microsoft 365 Apps 企業版的隱私權控制。
建立原則設定的步驟
以下是建立原則設定的基本步驟。
- 登入 Microsoft 365 Apps 系統管理中心。 如果您是第一次使用系統管理中心,請檢閱條款。 然後,選取 [ 接受]。
- 在 [ 自定義] 底下,選取 [ 原則管理]。
- 在 [原則設定] 頁面上,選取 [Create]。
- 在 [ 開始使用基本概念 ] 頁面上,輸入) 所需的名稱 (,以及選擇性) (描述,然後選取 [ 下一步]。
- 在 [選擇範圍] 頁面上,判斷原則設定是否適用於所有使用者、特定群組,或使用 Office 網頁版 匿名存取文件的使用者。
- 如果原則設定適用於特定群組,您現在可以將多個群組新增至單一原則設定,以獲得更有彈性的目標。 若要新增群組,請選取 [ 新增群組 ],然後選擇相關的群組。 將多個群組新增至單一原則設定,可讓相同的群組包含在多個原則設定中,以促進更簡化且更有效率的原則管理程式。
- 選取之後,選擇 [ 下一步]。
- 在 [ 設定設定 ] 頁面上,選取您要包含在原則設定中的原則。 您可以依名稱搜尋原則,也可以建立自定義篩選。 您可以依應用程式篩選平臺、是否設定原則,以及原則是否為建議的安全性基準。
- 進行選取之後,選取 [ 下一步 ] 以檢閱您的選取專案。 然後選取 [Create] 以建立原則設定。
管理原則設定
若要變更原則設定:
- 移至 [ 原則設定] 頁面。
- 選取您想要變更的原則,以開啟其設定詳細數據。
- 對原則設定進行適當的變更。
- 流覽至 [ 檢閱併發佈] 頁面。
- 選 取 [更新 ] 以儲存並套用您的變更。
如果您想要建立與現有原則設定類似的新原則設定,請在 [原則設定 ] 頁面上 選取現有的原則設定,然後選取 [ 複製]。 進行適當的變更,然後選取 [Create]。
若要查看編輯原則設定時設定的原則,請流覽至 [原則] 區段並 依 [狀態 ] 數據行篩選,或選取原則數據表頂端的 [已設定 的交叉分析 篩選器]。 您也可以依應用程式和平台進行篩選。
若要變更原則設定的優先順序順序,請選取 [原則設定] 頁面上的 [重新排序優先順序]。
如果您想要匯出原則設定,請在 [原則設定] 頁面上選取現有的原則設定,然後選取 [匯出]。 此動作會產生 CSV 檔案以供下載。
如何套用原則設定
Microsoft 365 Apps 企業版 使用的隨選即用服務會定期簽入雲端原則服務,以查看是否有任何與登入使用者相關的原則。 如果有,則會套用適當的原則,並在使用者下次開啟 Office 應用程式時生效,例如 Word 或 Excel。
- 當 Office 應用程式啟動或登入的用戶變更時,隨選即用服務會判斷是否該擷取已登入用戶的原則。
- 如果這是使用者第一次登入,則會進行簽入呼叫來擷取已登入用戶的原則。
- 如果使用者先前已登入,則只有在簽入間隔已失效時,才會進行簽入呼叫。
- 當服務收到簽入呼叫時,會為用戶決定 Microsoft Entra 群組成員資格。
- 如果使用者不是獲指派原則設定的 Microsoft Entra 群組成員,服務會通知隨選即用,以便在24小時內回來檢查此使用者。
- 如果使用者是獲指派原則設定的 Microsoft Entra 群組成員,服務會傳回使用者的適當原則設定,並通知隨選即用以在 90 分鐘內回來檢查。
- 如果發生錯誤,下次用戶開啟 Office 應用程式時會進行另一個簽入呼叫,例如 Word 或 Excel。
- 如果排程下一次簽入通話時沒有 Office 應用程式正在執行,則下次用戶開啟 Office 應用程式時會進行檢查,例如 Word 或 Excel。
注意事項
只有當 Office 應用程式重新啟動時,才會套用來自雲端原則的原則。 此行為與 群組原則 相同。 針對 Windows 裝置,原則會根據登入 Microsoft 365 Apps 企業版 的主要用戶來強制執行。 如果有多個帳戶登入,則只會套用主要帳戶的原則。 如果切換主要帳戶,則在 Office 應用程式重新啟動之前,將不會套用指派給該帳戶的大部分原則。 某些與 隱私權控制 相關的原則會在不重新啟動任何 Office 應用程式的情況下套用。
如果用戶位於巢狀群組中,且父群組是以原則為目標,巢狀群組中的使用者將會收到原則。 巢狀群組和這些巢狀群組中的用戶必須在 中建立,或同步至 Microsoft Entra ID。
簽入間隔由雲端原則服務控制,並在每次簽入呼叫期間傳達給隨選即用。
如果使用者是具有衝突原則設定的多個 Microsoft Entra 群組的成員,則會使用優先順序來判斷要套用哪一個原則設定。 套用最高優先順序,其中 「0」 是您可以指派的最高優先順序。 您可以在 [原則設定] 頁面上選擇 [重新排序優先順序],以設定優先順序。
此外,使用雲端原則實作的原則設定優先於使用 Windows Server 上 群組原則 實作的原則設定,優先於喜好設定或本機套用的原則設定。
基線
在 Microsoft,我們致力於創新,並透過建立新式管理工具來降低 IT 系統管理員的負擔。 也就是說,雲端原則中的基準是另一種方式,您可以在為組織部署原則時節省時間。 安全性和輔助功能基準會針對保護組織所需的 群組原則 提供唯一的篩選,並讓終端用戶能夠建立可存取的內容。
安全性基準
為了輕鬆識別安全性基準原則,原則數據表中新增了名為 Recommendation 的新數據行。 建議用於安全性基準的原則會在此數據行中觸發。 您也可以使用數據行篩選條件,將檢視限制為僅標記為安全性基準的原則。
如需詳細資訊,請參閱 Microsoft 365 Apps 企業版 的安全性基準。
輔助功能基準
我們大部分的客戶都會大步前進,讓組織更容易存取。 輔助功能基準可讓 IT 專業人員設定輔助功能原則,使其終端用戶能夠建立無障礙內容,並限制移除輔助功能檢查程式設定的功能,使其無法停用。
雲端原則的其他相關信息
- 只能使用以用戶為基礎的原則設定。 無法使用以計算機為基礎的原則設定。
- 當新的使用者型原則設定可供 Office 使用時,雲端原則會自動新增這些設定。 不需要 (ADMX/ADML) 下載更新的系統管理範本檔案。
- 您也可以建立原則設定,針對 Project 和 Visio 訂閱方案隨附的傳統型應用程式版本套用原則設定。
- 健康狀態功能已於 2022 年 3 月後半部淘汰。 在未來 (目前沒有已知日期) ,我們計劃提供雲端原則的進階健康情況報告和合規性監視功能。
疑難排解提示
如果預期的原則未正確套用至使用者的裝置,請嘗試下列動作:
請確定使用者已登入 Microsoft 365 Apps 企業版、加以啟用,並具有有效的授權。
請確定用戶是適當安全組的一部分。
確認您未使用已驗證的 Proxy。
檢查原則設定的優先順序。 如果用戶位於指派原則設定的多個安全組中,則原則設定的優先順序會決定哪些原則會生效。
在某些情況下,如果兩個具有不同原則的使用者在相同的 Windows 會話期間登入相同裝置上的 Office,則可能無法正確套用原則。
從雲端原則擷取的原則設定會儲存在 HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 下的 Windows 登錄中。 每次在簽入程式期間從原則服務擷取一組新的原則時,都會覆寫此密鑰。
原則服務簽入活動會儲存在 Windows 登錄中的 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy。 刪除此金鑰並重新啟動 Office 應用程式將會觸發原則服務,以便在下次啟動 Office 應用程式時簽入。
如果您想要在下次排程執行 Windows 的裝置檢查雲端原則時看到,請查看 [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy] 底下的 FetchInterval。 此值以分鐘為單位表示。 例如,1440,相當於24小時。
您可能會遇到 FetchInterval 值 0。 如果此值存在,用戶端會在上次簽入后等候 24 小時,再嘗試再次使用雲端原則進行檢查。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應