設定基本行動與安全性

Microsoft 365 的內建基本行動性與安全性可協助您保護及管理使用者的行動裝置,例如 iPhone、iPad、Android 和 Windows 手機。 您可以建立及管理裝置安全性原則、遠端抹除裝置資料,以及檢視詳細的裝置報告。

Have questions? 如需協助解決常見問題的常見問題,請參閱 基本行動和安全性常見問題 (常見問題) 。 請注意,您無法使用委派的系統管理員帳戶來管理基本行動性與安全性。 如需詳細資訊,請參閱 合作夥伴:提供委派的系統管理

裝置管理是安全 & 性合規性中心的一部分,因此您必須前往該處開始基本行動和安全性設定。

啟用基本行動和安全性服務

  1. 使用您的全域系統管理員帳戶登入 Microsoft 365。

  2. 移至 [啟用基本行動性與安全性]

    啟動基本行動和安全性可能需要一些時間。 完成時,您會收到一封電子郵件,說明要採取的後續步驟。

設定行動裝置裝置管理

當服務就緒時,請完成下列步驟以完成設定。

步驟 1: (必要) 設定基本行動性與安全性的網域

如果您沒有與 Microsoft 365 相關聯的自訂網域,或您未管理 Windows 裝置,您可以略過本節。 否則,您必須在 DNS 主機上新增網域的 DNS 記錄。 如果您已新增記錄,在使用 Microsoft 365 設定網域時,您已全部設定完成。 新增記錄之後,組織中使用使用自訂網域的電子郵件地址登入其 Windows 裝置的 Microsoft 365 使用者會重新導向以註冊基本行動性與安全性。

需要設定記錄的協助嗎? 尋找您的網域註冊機構,然後選取註冊機構名稱,以移至在新增 DNS 記錄以連線網域中提供的清單中建立 DNS 記錄的逐步說明。 使用這些指示來建立簡化 Windows 註冊而不使用 Azure AD Premium中所述的 CNAME 記錄。

新增兩筆 CNAME 記錄之後,請返回安全 & 性合規性中心,並移至資料外泄防護>裝置管理以完成下一個步驟。

步驟 2: (設定 iOS 裝置的 APNs 憑證) 必要專案

若要管理 iPad 和 iPhone 等 iOS 裝置,您需要建立 APNs 憑證。

  1. 使用您的全域系統管理員帳戶登入 Microsoft 365。

  2. 移至[Microsoft 365 系統管理中心],然後選擇[適用于 iOS 的 APNs 憑證]

  3. 在 [Apple 推播通知憑證設定] 頁面上,選擇 [ 下一步]

  4. 取 [下載您的 CSR 檔案 ],並將憑證簽署要求儲存到您電腦上您會記得的某處。 選取 [下一步]

  5. 在 [建立 APNs 憑證] 頁面上:

    • Select Apple APNS Portal to open the Apple Push Certificates Portal.

    • Sign in with an Apple ID.

      重要事項

      Use a company Apple ID associated with an email account that will remain with your organization even if the user who manages the account leaves. Save this ID because you'll need to use the same ID when it's time to renew the certificate.

    • Select Create a Certificate and accept the Terms of Use.

    • 流覽至您從 Microsoft 365 下載到電腦的憑證簽署要求,然後選取 [上傳]。

    • Download the APN certificate created by the Apple Push Certificate Portal to your computer.

      提示

      If you're having trouble downloading the certificate, refresh your browser.

  6. 返回至 Microsoft 365,然後選取 [下一步]

  7. Browse to the APN certificate you downloaded from the Apple Push Certificates Portal.

  8. 選取 [完成]

MFA 藉由要求第二種形式的驗證,協助保護行動裝置註冊的 Microsoft 365 登入。 使用者必須確認其行動裝置上的電話、簡訊或代理程式更新,才能正確輸入其工作帳戶密碼。 只有在完成第二種形式的驗證之後,他們才能註冊其裝置。 在基本行動性與安全性中註冊使用者裝置之後,使用者只能使用其工作帳戶存取 Microsoft 365 資源。

若要瞭解如何在 Azure AD 入口網站中開啟 MFA,請參閱 設定多重要素驗證

設定 MFA 之後,請返回安全 & 性合規性中心,並流覽至資料外泄防護>裝置管理>裝置原則,以完成下一個步驟。

下一個步驟是建立和部署裝置安全性原則,以協助保護您的 Microsoft 365 組織資料。 例如,您可以建立原則,在閒置五分鐘後鎖定裝置,並在三次登入失敗後抹除裝置,以協助防止使用者遺失其裝置的資料遺失。

  1. 使用您的全域系統管理員帳戶登入 Microsoft 365。

  2. 取 [啟用行動裝置裝置管理]。 如果服務已啟用,您會看到 管理裝置 的連結,而不是啟用步驟。

  3. 移至 [裝置原則]

    基本安全性和行動原則設定。

  4. 遵循在基本行動性和安全性 中建立裝置安全策略中的步驟,建立並部署適合您組織的裝置安全性原則。

提示

  • 當您建立新的原則時,您可能會想要設定原則,以允許使用者裝置不符合原則規範的存取和報告原則違規。 這可讓您查看有多少行動裝置受到原則影響,而不會封鎖對 Microsoft 365 的存取。

  • 將新原則部署到組織中的每個人之前,建議您在少數使用者所使用的裝置上進行測試。

  • 此外,在部署原則之前,請讓組織知道在基本行動性與安全性中註冊裝置的潛在影響。 根據您設定原則的方式,不符合原則 (不符合規範裝置) 的裝置可能會遭到封鎖而無法存取 Microsoft 365。 不符合規範的裝置也可能會安裝應用程式、相片和其他個人資訊,如果抹除裝置,則可以在已註冊的裝置上刪除這些資訊。 如需詳細資訊,請參閱 在基本行動性與安全性中抹除行動裝置

確定使用者註冊其裝置

建立並部署行動裝置管理原則之後,您組織中套用裝置原則的每個授權 Microsoft 365 使用者下次從其行動裝置登入 Microsoft 365 時,都會收到註冊訊息。 他們必須先完成註冊和啟用步驟,才能存取 Microsoft 365 電子郵件和檔。 如需詳細資訊,請 參閱使用基本行動和安全性註冊行動裝置

重要事項

如果註冊程式不支援使用者的慣用語言,使用者可能會收到註冊通知,以及其行動裝置上以其他語言執行的步驟。 行動裝置上的註冊程式目前不支援 Microsoft 365 中支援的所有語言。

具有 Android 或 iOS 裝置的使用者必須在註冊程式中安裝公司入口網站應用程式。

基本行動和安全性 (文章的功能)
在基本行動和安全 性 (文章中建立裝置安全性原則)