Übersicht über den Office Cloudrichtliniendienst für Microsoft 365 Apps for Enterprise

Mit dem Office Cloudrichtliniendienst können Sie Richtlinieneinstellungen für Microsoft 365 Apps for Enterprise auf dem Gerät eines Benutzers erzwingen, auch wenn das Gerät keiner Domäne beigetreten ist oder anderweitig verwaltet wird. Wenn sich ein Benutzer mit einem Gerät bei Microsoft 365 Apps for Enterprise anmeldet, werden die Richtlinieneinstellungen auf dieses Gerät übertragen. Richtlinieneinstellungen sind für Geräte mit Windows, macOS, iOS und Android verfügbar, obwohl nicht alle Richtlinieneinstellungen für alle Betriebssysteme verfügbar sind. Sie können auch einige Richtlinieneinstellungen für Office für das Web erzwingen, sowohl für angemeldete Benutzer als auch für Benutzer, die anonym auf Dokumente zugreifen.

Der Office Cloudrichtliniendienst ist Teil des Microsoft 365 Apps Admin Centers. Der Dienst enthält viele der gleichen benutzerbasierten Richtlinieneinstellungen, die in Gruppenrichtlinie verfügbar sind. Sie können den Office Cloudrichtliniendienst auch direkt im Microsoft Endpoint Manager Admin Center unter AppsPolicyPolicies > > für Office-Apps verwenden.

Wenn Sie Richtlinienkonfigurationen erstellen, können Sie Richtlinien überprüfen und anwenden, die von Microsoft als Sicherheitsgrundlinienrichtlinien empfohlen werden. Diese Empfehlungen werden bei der Auswahl von Richtlinien als "Sicherheitsbaseline" gekennzeichnet.

Anforderungen für die Verwendung des Cloudrichtliniendiensts Office

Im Folgenden sind die Anforderungen für die Verwendung des Office Cloudrichtliniendiensts mit Microsoft 365 Apps for Enterprise:

  • Eine unterstützte Version von Microsoft 365 Apps for Enterprise.
  • Benutzerkonten, die in Azure Active Directory erstellt oder mit Azure AD synchronisiert wurden. Der Benutzer muss mit einem Azure AD-basierten Konto bei Microsoft 365 Apps for Enterprise angemeldet sein.
  • Office Cloudrichtliniendienst unterstützt Sicherheitsgruppen und E-Mail-aktivierte Sicherheitsgruppen, die in Azure AD erstellt oder synchronisiert wurden. Der Mitgliedschaftstyp kann entweder "Dynamisch" oder "Zugewiesen" sein.
  • Um eine Richtlinienkonfiguration zu erstellen, muss Ihnen eine der folgenden Rollen in Azure AD zugewiesen werden: Globaler Administrator, Sicherheitsadministrator oder Office Apps-Administrator. Die Rolle muss Ihrem Benutzerkonto zugewiesen werden. Derzeit werden Azure AD Gruppen zugewiesenen Rollen vom Office Cloudrichtliniendienst nicht unterstützt.
  • Die erforderlichen URLs und IP-Adressbereiche müssen in Ihrem Netzwerk ordnungsgemäß konfiguriert sein.

Wichtig

  • Der Office Cloudrichtliniendienst ist für Kunden, die von 21Vianet betrieben Office 365, nicht verfügbar.
  • Für Kunden mit Office 365 GCC, GCC High oder DoD wird der Support voraussichtlich im April und Mai 2022 bereitgestellt. Weitere Informationen finden Sie in diesem Blogbeitrag.
  • Eine Richtlinienkonfiguration kann nicht auf Volumenlizenzversionen von Office angewendet werden, die Klick-und-Los verwenden, z. B. Office LTSC Professional Plus 2021 oder Office Standard 2019.
  • Sie können eine Richtlinienkonfiguration für Microsoft 365 Apps for Business erstellen, es werden jedoch nur Richtlinieneinstellungen im Zusammenhang mit Datenschutzsteuerelementen unterstützt. Weitere Informationen finden Sie unter Verwenden von Richtlinieneinstellungen zur Verwaltung von Datenschutzsteuerelementen für Microsoft 365 Apps for Enterprise.

Schritte zum Erstellen einer Richtlinienkonfiguration

Im Folgenden finden Sie die grundlegenden Schritte zum Erstellen einer Richtlinienkonfiguration.

  1. Melden Sie sich beim Microsoft 365 Apps Admin Center an. Wenn Dies Ihr erstes Mal ist, überprüfen Sie die Bedingungen, und wählen Sie dann "Annehmen" aus.
  2. Wählen Sie unter "Anpassung" die Option "Richtlinienverwaltung" aus.
  3. Wählen Sie auf der Seite "Richtlinienkonfigurationen " die Option "Erstellen" aus.
  4. Geben Sie auf der Seite "Mit den Grundlagen beginnen " einen Namen (erforderlich) und eine Beschreibung (optional) ein, und wählen Sie dann "Weiter" aus.
  5. Wählen Sie auf der Seite "Bereich auswählen" aus, ob die Richtlinienkonfiguration für eine bestimmte Gruppe oder für Benutzer gilt, die anonym mithilfe von Office für das Web auf Dokumente zugreifen.
  6. Wenn die Richtlinienkonfiguration für eine bestimmte Gruppe gilt, wählen Sie die Gruppe aus. Jede Richtlinienkonfiguration kann nur einer Gruppe zugewiesen werden, und jeder Gruppe kann nur eine Richtlinienkonfiguration zugewiesen werden. Die ausgewählte Gruppe kann jedoch andere (geschachtelte) Gruppen enthalten.
  7. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie "Weiter" aus.
  8. Wählen Sie auf der Seite "Einstellungen konfigurieren" die Richtlinien aus, die Sie in die Richtlinienkonfiguration einbeziehen möchten. Sie können nach der Richtlinie anhand des Namens suchen oder einen benutzerdefinierten Filter erstellen. Sie können auf der Plattform nach Anwendung filtern, ob die Richtlinie konfiguriert wurde und ob die Richtlinie eine empfohlene Sicherheitsbaseline ist.
  9. Nachdem Sie Ihre Auswahl getroffen haben, wählen Sie "Weiter " aus, um Ihre Auswahl zu überprüfen. Wählen Sie dann "Erstellen" aus, um die Richtlinienkonfiguration zu erstellen.

Verwalten von Richtlinienkonfigurationen

Um eine Richtlinienkonfiguration zu ändern, wählen Sie die Richtlinienkonfiguration auf der Seite "Richtlinienkonfigurationen " und dann " Bearbeiten" aus. Nehmen Sie die entsprechenden Änderungen vor, und wählen Sie dann "Aktualisieren" aus.

Wenn Sie eine neue Richtlinienkonfiguration erstellen möchten, die einer vorhandenen Richtlinienkonfiguration ähnelt, wählen Sie die vorhandene Richtlinienkonfiguration auf der Seite "Richtlinienkonfigurationen " und dann " Kopieren" aus. Nehmen Sie die entsprechenden Änderungen vor, und wählen Sie dann "Erstellen" aus.

Um zu sehen, welche Richtlinien konfiguriert werden, wenn Sie eine Richtlinienkonfiguration bearbeiten, navigieren Sie zum Abschnitt "Richtlinien ", und filtern Sie nach der Spalte "Status ", oder wählen Sie oben in der Richtlinientabelle den "Konfigurierten Datenschnitt" aus. Sie können auch nach Anwendung und Plattform filtern.

Um die Prioritätsreihenfolge für die Richtlinienkonfigurationen zu ändern, wählen Sie auf der Seite "Richtlinienkonfigurationen" die Option "Priorität neu anordnen" aus.

So wird die Richtlinienkonfiguration angewendet

Der von Microsoft 365 Apps for Enterprise verwendete Klick-und-Los-Dienst überprüft regelmäßig mit dem Office Cloudrichtliniendienst, ob Richtlinienkonfigurationen für den Benutzer vorhanden sind. Falls vorhanden, werden die entsprechenden Richtlinieneinstellungen angewendet und wirksam, wenn der Benutzer das nächste Mal die Office-App öffnet, z. B. Word oder Excel.

Hier ist eine Zusammenfassung, was geschieht:

  • Wenn sich ein Benutzer zum ersten Mal bei Office auf einem Gerät anmeldet, wird sofort überprüft, ob eine Richtlinienkonfiguration für den Benutzer vorhanden ist.

  • Wenn der Benutzer kein Mitglied einer Azure AD Gruppe ist, der eine Richtlinienkonfiguration zugewiesen ist, wird in 24 Stunden erneut überprüft.

  • Wenn der Benutzer Mitglied einer Azure AD Gruppe ist, der eine Richtlinienkonfiguration zugewiesen ist, werden die entsprechenden Richtlinieneinstellungen angewendet und in 90 Minuten erneut überprüft.

  • Wenn seit der letzten Überprüfung Änderungen an der Richtlinienkonfiguration vorgenommen wurden, werden die entsprechenden Richtlinieneinstellungen angewendet, und eine weitere Überprüfung erfolgt in 90 Minuten erneut.

  • Wenn seit der letzten Überprüfung keine Änderungen an der Richtlinienkonfiguration vorgenommen wurden, wird in 24 Stunden erneut überprüft.

  • Im Falle eines Fehlers wird eine Überprüfung durchgeführt, wenn der Benutzer eine Office-App öffnet, z. B. Word oder Excel.

  • Wenn keine Office Apps ausgeführt werden, wenn die nächste Überprüfung geplant ist, wird die Überprüfung durchgeführt, wenn der Benutzer das nächste Mal eine Office-App öffnet.

Hinweis

  • Richtlinien aus dem Office Cloudrichtliniendienst werden nur angewendet, wenn die Office-App neu gestartet wird. Das Verhalten ist das gleiche wie bei Gruppenrichtlinie. Für Windows Geräte werden Richtlinien basierend auf dem primären Benutzer erzwungen, der bei Microsoft 365 Apps for Enterprise angemeldet ist. Wenn mehrere Konten angemeldet sind, werden nur Richtlinien für das primäre Konto angewendet. Wenn das primäre Konto gewechselt wird, gelten die meisten diesem Konto zugewiesenen Richtlinien erst, wenn die Office Apps neu gestartet werden. Einige Richtlinien im Zusammenhang mit Datenschutzsteuerelementen gelten, ohne Office Apps neu zu starten.

  • Wenn sich Benutzer in geschachtelten Gruppen befinden und die übergeordnete Gruppe auf Richtlinien ausgerichtet ist, erhalten die Benutzer in den geschachtelten Gruppen die Richtlinien. Die geschachtelten Gruppen und die Benutzer in diesen geschachtelten Gruppen müssen in Azure AD erstellt oder synchronisiert werden.

Wenn der Benutzer Mitglied mehrerer Azure AD Gruppen mit widersprüchlichen Richtlinieneinstellungen ist, wird die Priorität verwendet, um zu bestimmen, welche Richtlinieneinstellung angewendet wird. Die höchste Priorität wird angewendet, wobei "0" die höchste Priorität ist, die Sie zuweisen können. Sie können die Priorität festlegen, indem Sie auf der Seite "Richtlinienkonfigurationen" die Option "Priorität neu anordnen" auswählen.

Außerdem haben Richtlinieneinstellungen, die mithilfe Office Cloudrichtliniendiensts implementiert werden, Vorrang vor Richtlinieneinstellungen, die mithilfe von Gruppenrichtlinie auf Windows Server implementiert werden, und haben Vorrang vor Präferenzeinstellungen oder lokal angewendeten Richtlinieneinstellungen.

Weitere Informationen zum Office Cloudrichtliniendienst

  • Nur benutzerbasierte Richtlinieneinstellungen sind verfügbar. Computerbasierte Richtlinieneinstellungen sind nicht verfügbar.
  • Wenn neue benutzerbasierte Richtlinieneinstellungen für Office verfügbar gemacht werden, fügt der Office Cloudrichtliniendienst diese automatisch hinzu. Es ist nicht erforderlich, aktualisierte Administrative Vorlagendateien (ADMX/ADML) herunterzuladen.
  • Sie können auch Richtlinienkonfigurationen erstellen, um Richtlinieneinstellungen für unterstützte Versionen der Desktop-Apps anzuwenden, die im Lieferumfang von Abonnementplänen für Project und Visio enthalten sind.
  • Das Feature "Integritätsstatus" wurde in der zweiten Märzhälfte 2022 eingestellt. In Zukunft (zu diesem Zeitpunkt kein bekanntes Datum) planen wir, erweiterte Funktionen zur Integritätsberichterstattung und Complianceüberwachung für den Office Cloudrichtliniendienst bereitzustellen.

Tipps zur Problembehandlung

Wenn die erwarteten Richtlinien nicht ordnungsgemäß auf das Gerät eines Benutzers angewendet wurden, versuchen Sie Folgendes:

  • Stellen Sie sicher, dass der Benutzer bei Microsoft 365 Apps for Enterprise angemeldet ist, ihn aktiviert hat und über eine gültige Lizenz verfügt.

  • Stellen Sie sicher, dass der Benutzer Teil der entsprechenden Sicherheitsgruppe ist.

  • Überprüfen Sie die Priorität der Richtlinienkonfigurationen.Wenn sich der Benutzer in mehreren Sicherheitsgruppen befindet, denen Richtlinienkonfigurationen zugewiesen sind, bestimmt die Priorität der Richtlinienkonfigurationen, welche Richtlinien wirksam werden.

  • In einigen Fällen werden Richtlinien möglicherweise nicht ordnungsgemäß angewendet, wenn sich zwei Benutzer mit unterschiedlichen Richtlinien auf demselben Gerät und während derselben Windows Sitzung bei Office 365 anmelden.

  • Vom Office Cloudrichtliniendienst abgerufene Richtlinieneinstellungen werden in der Windows Registrierung unter HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 gespeichert. Dieser Schlüssel wird jedes Mal überschrieben, wenn während des Eincheckvorgangs eine neue Gruppe von Richtlinien aus dem Richtliniendienst abgerufen wird.

  • Die Check-In-Aktivität des Richtliniendiensts wird in der Windows Registrierung unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy gespeichert. Wenn Sie diesen Schlüssel löschen und die Office-Apps neu starten, wird der Richtliniendienst beim nächsten Start eines Office-App eingecheckt.

  • Wenn Sie sehen möchten, wenn ein Gerät, das das nächste Mal ausgeführt wird, Windows das nächste Mal mit dem Office Cloudrichtliniendienst überprüft wird, sehen Sie sich fetchInterval unter HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy an. Der Wert wird in Minuten ausgedrückt. Beispiel: 1440, was 24 Stunden entspricht.