基本行動與安全性的功能
基本行動性與安全性可協助您保護及管理行動裝置,例如組織中授權的 Microsoft 365 使用者所使用的 iPhone、iPad、Android 和 Windows Phone。 您可以使用設定來建立行動裝置管理原則,以協助控制受支援行動裝置和應用程式對組織 Microsoft 365 電子郵件和檔的存取。 如果裝置遺失或遭竊,您可以從遠端抹除裝置以移除敏感性組織資訊。
支援的作業系統
請遵循 Microsoft Intune 操作系統指南,瞭解基本行動性與安全性為裝置提供的最低支援作業系統。 如需詳細資訊,請參閱 Intune 支援的作業系統。
您可以使用基本行動性與安全性來保護和管理下列裝置。
- iOS
- 包含 Samsung Knox) 1 的 Android (
- Windows2、3
1在 2020 年 6 月之後,9 以外的 Android 版本無法管理 Samsung Knox 裝置上的密碼設定。
2Windows 8.1 RT 裝置的訪問控制僅限於 Exchange ActiveSync。
3Windows 10 的訪問控制需要包含 Microsoft Entra ID P1 或 P2 的訂用帳戶,且裝置必須加入 Microsoft Entra ID。
注意事項
已向舊版操作系統註冊的裝置會繼續運作,不過功能可能會在未通知的情況下變更。
如果您組織中的人員使用基本行動性與安全性不支援的行動裝置,您可以封鎖這些裝置的 Exchange ActiveSync 應用程式對 Microsoft 365 電子郵件的存取,以協助讓貴組織的數據更安全。 如需封鎖 Exchange ActiveSync 的步驟,請 參閱在基本行動性與安全性中管理裝置存取設定。
Microsoft 365 電子郵件和文件的訪問控制
下表中不同行動裝置類型的支援應用程式會提示用戶註冊基本行動性與安全性,其中有新的行動裝置管理原則適用於使用者的裝置,且使用者先前尚未註冊裝置。 如果使用者的裝置不符合原則,則視您設定原則的方式而定,使用者可能會遭到封鎖而無法存取這些應用程式中的 Microsoft 365 資源,或他們可能有存取權,但 Microsoft 365 回報原則違規。
| 產品 | iOS | Android |
|---|---|---|
| 交換 Exchange ActiveSync 包含內建電子郵件和第三方應用程式,例如使用 Exchange ActiveSync 14.1 版或更新版本的 TouchDown。 | 郵件 | 電子郵件 |
| Microsoft 365 和商務用 OneDrive 中的應用程式 | Outlook OneDrive Word Excel PowerPoint |
在手機和平板電腦上: Outlook OneDrive Word Excel PowerPoint 僅限手機: Microsoft 365 行動裝置版 |
注意事項
- iOS 10.0 和更新版本的支援包括 iPhone 和 iPad 裝置。
- 基本安全性和行動性不支援 BlackBerry OS 裝置的管理。 使用 BlackBerry Business Cloud Services (BLACKBerry) 來管理 BlackBerry OS 裝置。 執行 Android OS 的 Blackberry 裝置支援為標準 Android 裝置
- 如果使用者使用行動瀏覽器存取 Microsoft 365 SharePoint 網站、網頁版 Microsoft 365 中的檔或 Outlook Web App 中的電子郵件,則不會提示用戶註冊,也不會遭到封鎖或回報原則違規。
下圖顯示當具有新裝置的使用者登入支援基本行動性和安全性訪問控制的應用程式時,會發生什麼事。 在用戶註冊其裝置之前,用戶無法存取應用程式中的 Microsoft 365 資源。
注意事項
在 Microsoft 365 商務標準版基本行動性與安全性中建立的原則和存取規則,將會覆寫 Exchange ActiveSync 行動裝置信箱原則和在 Exchange 系統管理中心建立的裝置存取規則。 在 Microsoft 365 商務標準版基本行動性與安全性中註冊裝置之後,將會忽略套用至裝置的任何 Exchange ActiveSync 行動裝置信箱原則或裝置存取規則。 若要深入瞭解 Exchange ActiveSync,請參閱 Exchange Online 中的 Exchange ActiveSync。
行動裝置的原則設定
如果您建立原則來封鎖開啟特定設定的存取,當使用者使用 Microsoft 365 電子郵件和檔的訪問控制中所列的支援應用程式時,會封鎖使用者存取 Microsoft 365 資源。
可封鎖使用者存取 Microsoft 365 資源的設定位於下列各節:
安全性
加密
越獄
Managed 電子郵件設置檔
例如,下圖顯示當已註冊裝置的使用者不符合適用於其裝置的行動裝置管理原則中的安全性設定時,會發生什麼情況。 使用者登入支援基本行動性與安全性訪問控制的應用程式。 在裝置符合安全性設定之前,系統會封鎖他們存取應用程式中的 Microsoft 365 資源。
下列各節列出您可以用來協助保護和管理連線到 Microsoft 365 組織資源的行動裝置的原則設定。
安全性設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 需要密碼 | 是 | 否 | 否 |
| 防止簡單密碼 | 是 | 否 | 否 |
| 需要英數位元密碼 | 是 | 否 | 否 |
| 密碼最小長度 | 是 | 是 | 是 |
| 抹除裝置之前的登入失敗次數 | 是 | 是 | 是 |
| 裝置鎖定前的閑置分鐘數 | 是 | 否 | 否 |
| 密碼到期 (天) | 是 | 是 | 是 |
| 記住密碼歷程記錄並防止重複使用 | 是 | 是 | 是 |
重要事項
如果 Android 和 Samsung Knox 不再支援這些裝置處於非使用中狀態,則鎖定裝置數分鐘。
加密設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 裝置1上需要數據加密 | 否 | 是 | 是 |
1使用 Samsung Knox,您也可以在記憶體卡片上要求加密。
越獄設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 裝置無法進行越獄或 Root 破解 | 是 | 是 | 是 |
Managed 電子郵件設置檔選項
如果使用者使用手動建立的電子郵件設置檔,下列選項可能會封鎖使用者存取其 Microsoft 365 電子郵件。 iOS 裝置上的用戶必須先刪除手動建立的電子郵件設置檔,才能存取其電子郵件。 刪除設定檔之後,系統會在裝置上自動建立新的配置檔。 如需終端使用者如何符合規範的指示,請參閱 找到現有的電子郵件帳戶。
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 受管理的電子郵件設置檔 | 是 | 否 | 否 |
雲端設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 需要加密備份 | 是 | 否 | 否 |
| 封鎖雲端備份1 | 是 | 否 | 否 |
| 封鎖檔案同步處理 1 | 是 | 否 | 否 |
| 封鎖相片同步處理 | 是 | 否 | 否 |
| 允許Google備份 | 不適用 | 否 | 是 |
| 允許Google帳戶自動同步處理 | 不適用 | 否 | 是 |
1若要運作,這些設定需要受監督的 iOS 裝置。
系統設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 封鎖螢幕擷取 | 是 | 否 | 是 |
| 封鎖從裝置傳送診斷數據 | 是 | 否 | 是 |
應用程式設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 封鎖裝置1上的視訊會議 | 是 | 否 | 否 |
| 封鎖對應用程式存放區1的存取 | 是 | 否 | 是 |
| 存取應用程式存放區時需要密碼 | 是 | 否 | 否 |
1若要運作,這些設定需要受監督的 iOS 裝置。
裝置功能設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 封鎖與抽取式記憶體的連線 | 否 | 否 | 是 |
| 封鎖藍牙連線 | 否 | 否 | 是 |
其他設定
您可以使用安全性 & 合規性 PowerShell Cmdlet 來設定下列其他原則設定。 如需詳細資訊,請參閱 安全性與合規性 PowerShell。
| 設定名稱 | iOS | Android |
|---|---|---|
| CameraEnabled | 是 | 是 |
| RegionRatings | 是 | 否 |
| MoviesRatings | 是 | 否 |
| TVShowsRating | 是 | 否 |
| AppsRatings | 是 | 否 |
| AllowVoiceDialing | 是 | 否 |
| AllowVoiceAssistant | 是 | 否 |
| AllowAssistantWhileLocked | 是 | 否 |
| AllowPassbookWhileLocked | 是 | 否 |
| MaxPasswordGracePeriod | 是 | 否 |
| PasswordQuality | 否 | 是 |
| SystemSecurityTLS | 是 | 否 |
| WLANEnabled | 否 | 否 |
Windows 支持的設定
您可以將 Windows 10 裝置註冊為行動裝置來管理它們。 部署適用的原則之後,具有 Windows 10 裝置的使用者在第一次使用內建電子郵件應用程式存取其 Microsoft 365 電子郵件時,必須註冊 Basic Mobility and Security, (需要 Microsoft Entra ID P1 或 P2 訂閱) 。
註冊為行動裝置的 Windows 10 裝置支援下列設定。 這些設定不會封鎖使用者存取 Microsoft 365 資源。
安全性設定
需要英數位元密碼
密碼最小長度
抹除裝置之前的登入失敗次數
裝置鎖定前的閑置分鐘數
密碼到期 (天)
記住密碼歷程記錄並防止重複使用
注意事項
下列設定只會控制本機 Windows 帳戶。 透過加入網域或 Microsoft Entra ID 提供的 Windows 帳戶不會受到這些設定的影響。
系統設定
封鎖從裝置傳送診斷數據。
其他設定
您可以使用 PowerShell Cmdlet 來設定這些額外的原則設定:
AllowConvenienceLogon
UserAccountControlStatus
FirewallStatus
AutoUpdateStatus
AntiVirusStatus
AntiVirusSignatureStatus
SmartScreenEnabled
WorkFoldersSyncUrl
從遠端抹除行動裝置
如果裝置遺失或遭竊,您可以從 Microsoft Purview 合規性>入口網站執行數據外洩防護>裝置管理,以移除敏感性組織數據,並協助防止存取您的 Microsoft 365 組織資源。 您可以進行選擇性抹除,只移除組織數據或完整抹除,以刪除裝置中的所有資訊,並將其還原至其原廠設定。
如需詳細資訊,請參閱 在基本行動性與安全性中抹除行動裝置。
相關內容
Microsoft 365 基本行動性與安全 性概觀 (文章)
在基本行動和安全 性 (文章中建立裝置安全策略)