在 基本行動性和安全性 中 Create 裝置安全策略
您可以使用 基本行動性和安全性 來建立裝置原則,以協助保護貴組織在 Microsoft 365 上的資訊免於未經授權的存取。 您可以將原則套用至組織中任何行動裝置,其中裝置的使用者具有適用的 Microsoft 365 授權,且已在 基本行動性和安全性 中註冊裝置。
開始之前
重要事項
您必須先啟用並設定 基本行動性和安全性,才能建立行動裝置原則。 如需詳細資訊,請參閱 Microsoft 365 基本行動性和安全性 概觀。
- 瞭解 基本行動性和安全性支援的裝置、行動裝置應用程式和安全性設定。 請參閱 基本行動性和安全性的功能。
- Create 安全組,其中包含您想要將原則部署至的 Microsoft 365 使用者,以及您可能想要排除不被封鎖存取 Microsoft 365 的使用者。 建議您在將新原則部署到組織之前,先將原則部署至少數用戶來測試原則。 您可以建立並使用只包含您自己或少數可為您測試原則的 Microsoft 365 使用者的安全組。 若要深入瞭解安全組,請參閱 Create、編輯或刪除安全組。
- 若要在 Microsoft 365 中建立和部署 基本行動性和安全性 原則,您必須是 Microsoft 365 全域系統管理員。如需詳細資訊,請參閱 Microsoft Defender 中的角色和角色群組和 Microsoft Purview 合規性。
- 部署原則之前,請先讓組織知道在 基本行動性和安全性 中註冊裝置的潛在影響。 根據您設定原則的方式,不相容的裝置可能會遭到封鎖,無法存取 Microsoft 365 和數據,包括已註冊裝置上已安裝的應用程式、相片和個人資訊,而且可以刪除數據。
注意事項
基本行動性和安全性 中建立的原則和存取規則,Microsoft 365 商務標準版 覆寫在 Exchange 系統管理中心建立 Exchange ActiveSync 行動裝置信箱原則和裝置存取規則。 在 Microsoft 365 商務標準版 的 基本行動性和安全性 中註冊裝置之後,會忽略套用至裝置的任何 Exchange ActiveSync 行動裝置信箱原則或裝置存取規則。 若要深入瞭解 Exchange ActiveSync,請參閱 Exchange Online 中的 Exchange ActiveSync。
步驟 1:Create 裝置原則並部署至測試群組
開始之前,請確定您已啟用並設定 基本行動性和安全性。 如需指示,請參閱 基本行動性和安全性 概觀。
從您的瀏覽器移至 https://compliance.microsoft.com/basicmobilityandsecurity。
在 [原則] 索引標籤上,選取 [Create]。
在 [ 原則名稱] 頁面上,新增 和 名稱和描述,然後選取 [ 下一步]。
在 [ 存取需求 ] 頁面上,指定您想要套用至組織中行動裝置的需求,然後選取 [ 下一步]。
在 [ 設定] 頁面上,選取您組織的設定需求,然後選取 [ 下一步]。
在 [ 部署] 頁面上,選擇要套用此原則的安全組。
在 [ 檢閱] 頁面上,確認您的選擇,然後選擇 [ 提交]。
原則會推送至每位使用者的裝置,該原則會在下次使用其行動裝置登入 Microsoft 365 時套用至。 如果使用者之前尚未將原則套用至其行動裝置,則在您部署原則之後,他們會在其裝置上收到通知,其中包含註冊和啟用 基本行動性和安全性的步驟。 如需詳細資訊,請參閱使用 基本行動性和安全性 註冊行動裝置。 在 Intune 服務所裝載 基本行動性和安全性 完成註冊之前,會限制對電子郵件、OneDrive 和其他服務的存取。 使用 Intune 公司入口網站 應用程式完成註冊之後,他們可以使用服務,並將原則套用至其裝置。
步驟 2:確認您的原則可運作
建立裝置原則之後,請先檢查原則是否如預期般運作,再將其部署至您的組織。
- 從您的瀏覽器移至 https://compliance.microsoft.com/basicmobilityandsecurity。
- 選 取 [檢視受控裝置的清單]。
- 檢查已套用原則的使用者裝置狀態。 您想要管理裝置的狀態。
- 您也可以在選取裝置之後,按兩下 [恢復出廠預設值] 或 [從管理] 按鈕移除公司數據,以在裝置上執行完整或選擇性抹除。 如需指示,請參閱在 基本行動性和安全性 中抹除行動裝置。
步驟 3:將原則部署到您的組織
在您建立裝置原則並確認其如預期般運作之後,請將它部署到您的組織。
- 從您的瀏覽器類型: https://compliance.microsoft.com/basicmobilityandsecurity。
- 選取您要部署的原則,然後選擇套用 群組 旁的 [編輯]。
- 搜尋 要新增的群組,然後按兩下 [選取]。
- 選 取 [關閉 ] 和 [變更設定]。
- 選取 [關閉 ] 和 [編輯原則]。
原則會推送至每位使用者的行動裝置,該原則會在下次從其行動裝置登入 Microsoft 365 時套用至。 如果使用者尚未將原則套用至其行動裝置,他們會在裝置上收到通知,其中包含註冊並啟用其 基本行動性和安全性的步驟。 完成註冊之後,原則會套用至其裝置。 如需詳細資訊,請參閱使用 基本行動性和安全性 註冊行動裝置。
步驟 4:封鎖不支援裝置的電子郵件存取
若要協助保護組織資訊,您應該針對 基本行動性和安全性 不支援的行動裝置封鎖應用程式對 Microsoft 365 電子郵件的存取。 如需支援的裝置清單,請參閱 支援的裝置。
若要封鎖應用程式存取:
從瀏覽器中,輸入 https://compliance.microsoft.com/basicmobilityandsecurity。
選取 [組織設定] 索引 標籤。
若要封鎖不支持的裝置,請選擇 [如果 microsoft 365 的 基本行動性和安全性 不支援裝置] 底下的 [存取],然後選取 [儲存]。
步驟 5:選擇要從條件式存取檢查中排除的安全組
如果您想要將某些人員排除在其行動裝置上的條件式存取檢查之外,而且您已為這些人員建立一或多個安全組,請在這裡新增安全組。 這些群組中的人員不會針對其支援的行動裝置強制執行任何原則。 如果您不想再在組織中使用 基本行動性和安全性,建議使用此選項。
從瀏覽器中,輸入 https://compliance.microsoft.com/basicmobilityandsecurity。
選取 [組織設定] 索引 標籤。
選取 [新增 ] 以新增安全組,讓您想要排除的用戶無法封鎖對 Microsoft 365 的存取。 當使用者已新增至此清單時,他們可以在使用不支援的裝置時存取 Microsoft 365 電子郵件。
在 [選取群組] 面板中選取您想要使用的安全 組 。
選取名稱,然後 選取 [新增>儲存]。
在 [ 組織設定] 面板上,選擇 [ 儲存]。
安全策略對不同裝置類型的影響為何?
當您將原則套用至使用者裝置時,對每個裝置的影響會因裝置類型而有所不同。 如需原則對不同裝置的影響範例,請參閱下表。
| 安全策略 | Android | Samsung KNOX | iOS | 附註 |
|---|---|---|---|---|
| 需要加密備份 | 否 | 是 | 是 | 需要 iOS 加密備份。 |
| 封鎖雲端備份 | 是 | 是 | 是 | 在受監督的 iOS 上封鎖 Android 上的 Google 備份 (呈現灰色) 雲端備份。 |
| 封鎖檔案同步處理 | 否 | 否 | 是 | iOS:在受監督的 iOS 裝置上封鎖雲端中的檔。 |
| 封鎖相片同步處理 | 否 | 否 | 是 | iOS (原生) :封鎖相片 Stream。 |
| 封鎖螢幕擷取 | 否 | 是 | 是 | 嘗試時封鎖。 |
| 封鎖視訊會議 | 否 | 否 | 是 | FaceTime 在受監督的 iOS 裝置上封鎖,而不是在 Skype 或其他裝置上封鎖。 |
| 封鎖傳送診斷數據 | 否 | 是 | 是 | 封鎖在 Android 上傳送 Google 當機報告。 |
| 封鎖對 App Store 的存取 | 否 | 是 | 是 | Android 首頁上遺漏應用程式市集圖示,已在 Windows 和受監督的 iOS 裝置上停用。 |
| 需要應用程式市集的密碼 | 否 | 否 | 是 | iOS:iTunes 購買所需的密碼。 |
| 封鎖卸除式記憶體的連線 | 否 | 是 | 不適用 | Android:SD 記憶卡在設定中呈現灰色,Windows 通知使用者,安裝的應用程式無法使用 |
| 封鎖藍牙連線 | 請參閱附注 | 請參閱附注 | 是 | 我們無法在Android上停用BlueTooth作為設定。 相反地,我們會停用所有需要BlueTooth的交易:進階音訊散佈、音訊/視訊遠端控制、免持手裝置、頭戴式裝置、電話簿存取和串行埠。 使用任何快顯通知訊息時,頁面底部會出現一則小型快顯通知訊息。 |
當您刪除原則或從原則中移除使用者時,會發生什麼事?
當您刪除原則或從已部署原則的群組中移除使用者時,原則設定、Microsoft 365 電子郵件設置檔和快取的電子郵件可能會從使用者的裝置中移除。 請參閱下表,以查看針對不同裝置類型移除的專案。
| 拿掉的專案 | iOS | Android (包括 Samsung KNOX) |
|---|---|---|
| Managed 電子郵件設置檔1 | 是 | 否 |
| 封鎖雲端備份 | 是 | 否 |
1 如果已使用 [管理配置檔 Email 選項來部署原則,則會從使用者裝置刪除該配置檔中的受管理電子郵件設置檔和快取的電子郵件。
原則會從每個使用者的行動裝置中移除,該原則會在下次其裝置簽入時套用至 基本行動性和安全性。 如果您部署適用於這些使用者裝置的新原則,系統會提示他們重新註冊 基本行動性和安全性。
您也可以完全抹除裝置,或選擇性地從裝置抹除組織資訊。 如需詳細資訊,請參閱在 基本行動性和安全性 中抹除行動裝置。
相關內容
基本行動性和安全性 (文章) 概觀
基本行動性和安全性 ( 文章) 的功能
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應