Управление взаимодействием в Microsoft 365 (Office) для iOS и Android с помощью Microsoft Intune
Microsoft 365 (Office) для iOS и Android предоставляет несколько основных преимуществ, в том числе:
- Объединение Word, Excel и PowerPoint таким образом, чтобы упростить работу с меньшим количеством приложений для скачивания или переключения между ними. Для этого требуется гораздо меньше места на телефоне, чем для установки отдельных приложений, сохраняя при этом практически все возможности существующих мобильных приложений, которые уже знают и используют пользователи.
- Интеграция технологии Microsoft Lens для разблокировки возможностей камеры с такими возможностями, как преобразование изображений в редактируемые документы Word и Excel, сканирование PDF-файлов и захват досок с автоматическими цифровыми улучшениями, чтобы упростить чтение содержимого.
- Добавление новых функциональных возможностей для распространенных задач, с которыми часто сталкиваются пользователи при работе с телефоном, такие как быстрое создание заметок, подписывание PDF-файлов, сканирование QR-кодов и передача файлов между устройствами.
Самые широкие и широкие возможности защиты данных Microsoft 365 доступны при подписке на набор Enterprise Mobility + Security, включающий функции Microsoft Intune и Microsoft Entra ID P1 или P2, такие как условный доступ. Как минимум, вам потребуется развернуть политику условного доступа, которая позволяет подключаться к Microsoft 365 (Office) для iOS и Android с мобильных устройств, а также политику защиты приложений Intune, которая обеспечивает защиту совместной работы.
Применение условного доступа
Организации могут использовать политики условного доступа Microsoft Entra, чтобы пользователи могли получать доступ только к рабочему или учебному содержимому с помощью Microsoft 365 (Office) для iOS и Android. Для этого потребуется политика условного доступа, распространяющаяся на всех потенциальных пользователей. Эти политики описаны в разделе Условный доступ: требовать утвержденные клиентские приложения или политику защиты приложений.
Выполните действия, описанные в разделе Требовать утвержденные клиентские приложения или политику защиты приложений на мобильных устройствах, которая позволяет Microsoft 365 (Office) для iOS и Android, но блокирует подключение сторонних клиентов мобильных устройств с поддержкой OAuth к конечным точкам Microsoft 365.
Примечание.
Эта политика гарантирует, что мобильные пользователи могут получить доступ ко всем конечным точкам Microsoft 365 с помощью соответствующих приложений.
Примечание.
Чтобы можно было применять политики условного доступа для приложений на устройствах с iOS, должно быть установлено приложение Microsoft Authenticator. Для устройств с Android требуется приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.
Создание политик защиты приложений Intune
Политики защиты приложений (APP) указывают, какие приложения разрешены и какие действия эти приложения могут выполнять над данными вашей организации. Доступные в APP параметры позволяют организациям адаптировать систему безопасности в соответствии с конкретными потребностями. Однако они могут затруднить выбор параметров политик, необходимых для реализации полного сценария. Чтобы помочь организациям расставить приоритеты в отношении защиты клиентских конечных точек, корпорация Майкрософт представила новую таксономию для платформы защиты данных с APP для управления мобильными приложениями iOS и Android.
Платформа защиты данных c APP разделена на три разных уровня конфигурации, где каждый следующий уровень строится на предыдущем.
- Базовая защита корпоративных данных (уровень 1) обеспечивает защиту приложений с помощью ПИН-кода и шифрования и выполняет операции выборочной очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Это минимальная конфигурация, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online и предлагает ИТ-специалистам и пользователям возможности APP.
- Расширенная защита корпоративных данных (уровень 2) предоставляет механизмы APP для защиты от утечки данных и поддерживает минимальные требования к ОС. Эта конфигурация подходит большинству пользователей мобильных устройств, обращающихся к рабочим или учебным данным.
- Высокий уровень защиты корпоративных данных (уровень 3) предоставляет механизмы для расширенной защиты данных, улучшенную конфигурацию ПИН-кодов и политики защиты от угроз на мобильных устройствах. Эта конфигурация является рекомендуемой для пользователей, работающих с данными с высоким уровнем риска.
Конкретные рекомендации для каждого уровня конфигурации и минимальный список приложений, защиту которых необходимо обеспечить, см. в статье Использование политик защиты приложений на платформе защиты данных.
Вне зависимости от того, зарегистрировано ли устройство в решении единого управления конечными точками (UEM), политику защиты приложений Intune необходимо создать как для приложений iOS, так и для приложений Android. Для этого выполните действия, описанные в статье Как создать и назначить политики защиты приложений. Эти политики должны по крайней мере отвечать указанным ниже требованиям.
Они включают все мобильные приложения Microsoft 365, такие как Edge, Outlook, OneDrive, Microsoft 365 (Office) или Teams, так как это гарантирует, что пользователи могут безопасно получать доступ к рабочим или учебным данным в любом приложении Майкрософт и управлять ими.
Она назначена всем пользователям. Это гарантирует защиту всех пользователей независимо от того, используют ли они Microsoft 365 (Office) для iOS или Android.
Определите, какой уровень платформы соответствует вашим требованиям. Большинству организаций следует реализовать параметры, определенные в разделе Корпоративная расширенная защита данных (уровень 2), так как это обеспечивает управление требованиями к защите данных и доступу.
Дополнительные сведения о доступных параметрах см. в статьях Параметры политики защиты приложений Android и Параметры политик для защиты приложений в iOS.
Важно!
Чтобы применять политики защиты приложений с использованием Intune к приложениям на устройствах с Android, не зарегистрированных в Intune, пользователь также должен установить приложение "Корпоративный портал Intune".
Использование конфигурации приложения
Microsoft 365 (Office) для iOS и Android поддерживает параметры приложения, которые позволяют администраторам единого управления конечными точками, например Microsoft Intune, настраивать поведение приложения.
Конфигурация приложения может быть доставлена через канал ОС управления мобильными устройствами (MDM) на зарегистрированных устройствах (управляемый канал Конфигурация приложений для iOS или Android в канале Enterprise для Android) или через канал Политики защиты приложений Intune (APP). Microsoft 365 (Office) для iOS и Android поддерживает следующие сценарии конфигурации:
- Разрешение только для рабочих и учебных учетных записей
- Общая конфигурация приложения
- Параметры защиты данных
Важно!
Для сценариев конфигурации, требующих регистрации устройств на Android, устройства должны быть зарегистрированы в Android Enterprise, а Microsoft 365 (Office) для Android должны быть развернуты через управляемый магазин Google Play. Дополнительные сведения см. в статьях Настройка регистрации устройств с личным рабочим профилем Android Enterprise и Добавление политик конфигурации приложений для управляемых устройств Android Enterprise.
Каждый сценарий конфигурации подчеркивает свои конкретные требования. Например, что требуется сценарием конфигурации: регистрация устройства (а значит обеспечивается возможность работы с любым поставщиком UEM) или политики защиты приложений Intune.
Важно!
Ключи конфигурации приложений чувствительны к регистру. Используйте правильный регистр, чтобы конфигурация вступила в силу.
Примечание.
В Microsoft Intune конфигурация приложений, предоставляемая через канал MDM OS, называется политикой Конфигурация приложений управляемых устройств (ACP). Конфигурация приложения, предоставляемая через канал Политики защиты приложений, называется политикой Конфигурация приложений управляемых приложений.
Разрешение только для рабочих и учебных учетных записей
Соблюдение политик безопасности данных и соответствия требованиям наших крупнейших и строго регулируемых клиентов является ключевым элементом ценности Microsoft 365. Некоторые компании должны записывать всю информацию о коммуникациях в своей корпоративной среде, а также гарантировать, что устройства используются только для корпоративных коммуникаций. Для поддержки этих требований Microsoft 365 (Office) для Android на зарегистрированных устройствах можно настроить так, чтобы разрешить подготовку только одной корпоративной учетной записи в приложении.
Дополнительные сведения о настройке режима разрешенных учетных записей организации см. здесь:
Этот сценарий конфигурации работает только с зарегистрированными устройствами. Однако поддерживается любой поставщик UEM. Если вы не используете Microsoft Intune, обратитесь к документации по UEM о развертывании этих ключей конфигурации.
Общие сценарии конфигурации приложений
Microsoft 365 (Office) для iOS/iPadOS и Android предоставляет администраторам возможность настраивать конфигурацию по умолчанию для нескольких параметров приложения с помощью политик конфигурации приложений iOS/iPadOS или Android . Эта возможность предоставляется как для зарегистрированных устройств с помощью любого поставщика UEM, так и для устройств, которые не зарегистрированы, если в Microsoft 365 (Office) для iOS и Android применена политика защиты приложений Intune.
Примечание.
Если политика защиты приложений ориентирована на пользователей, рекомендуется развернуть общие параметры конфигурации приложений в модели регистрации управляемых приложений . Это гарантирует, что политика Конфигурация приложений будет развернута как на зарегистрированных, так и на незарегистрированных устройствах.
Microsoft 365 (Office) поддерживает следующие параметры конфигурации:
- Управление созданием Записки
- Настройка предпочтений надстроек
- Управление приложениями Teams, работающими в Microsoft 365 (Office) для iOS и Android
- Включение или отключение веб-канала Microsoft 365 для iOS и Android
Управление созданием Записки
По умолчанию Microsoft 365 (Office) для iOS и Android позволяет пользователям создавать Записки. Для пользователей с Exchange Online почтовыми ящиками заметки синхронизируются с почтовым ящиком пользователя. Для пользователей с локальными почтовыми ящиками эти заметки хранятся только на локальном устройстве.
| Ключ | Значение |
|---|---|
| com.microsoft.office.NotesCreationEnabled | True (по умолчанию) позволяет создать Записки для рабочей или учебной учетной записи. False отключает создание Записки для рабочей или учебной учетной записи. |
Настройка предпочтений надстроек
Для устройств iOS/iPadOS под управлением Office вы (как администратор) можете задать, включены ли надстройки Microsoft 365 (Office). Эти параметры приложения можно развернуть с помощью политики конфигурации приложений в Intune.
| Ключ | Значение |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableAllCatalogs | Значение true (по умолчанию) отключает всю платформу надстроек false включает платформу надстроек |
Если вам нужно включить или отключить часть платформы Microsoft 365 (Office) Store для устройств iOS, можно использовать следующий ключ.
| Ключ | Значение |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableOMEXCatalog | Значение true (по умолчанию) отключает только часть Microsoft 365 (Office) Store платформы. Значение false включает часть платформы Microsoft 365 (Office) Store ПРИМЕЧАНИЕ: Загрузка неопубликованных данных будет продолжать работать. |
Дополнительные сведения о добавлении ключей конфигурации см. в статье Добавление политик конфигурации приложений для управляемых устройств iOS/iPadOS.
Управление приложениями Teams, работающими в Microsoft 365 (Office) для iOS и Android
ИТ-администраторы могут управлять доступом к приложениям Teams, создавая настраиваемые политики разрешений и назначая эти политики пользователям с помощью Центра администрирования Teams. Теперь вы также можете запускать приложения личных вкладок Teams в Microsoft 365 (Office) для iOS и Android. Приложения личной вкладки Teams, созданные с помощью клиентского пакета SDK Для JavaScript для Microsoft Teams версии 2 (версия 2.0.0) и манифеста приложения Teams (версия 1.13), отображаются в Microsoft 365 (Office) для iOS и Android в меню "Приложения".
Могут существовать дополнительные требования к управлению, характерные для Microsoft 365 (Office) для iOS и Android. Возможные действия:
- Разрешить только определенным пользователям в вашей организации пробовать расширенные приложения Teams в Microsoft 365 (Office) для iOS и Android;
- Запрет всем пользователям в вашей организации использовать расширенные приложения Teams в Microsoft 365 (Office) для iOS и Android.
Для управления ими можно использовать следующий ключ:
| Ключ | Значение |
|---|---|
| com.microsoft.office.officemobile.TeamsApps.IsAllowed | True (по умолчанию) включает приложения Teams в Microsoft 365 (Office) для iOS и Android False отключает приложения Teams в Microsoft 365 (Office) для iOS и Android |
Этот ключ может использоваться как управляемыми устройствами, так и управляемыми приложениями.
Параметры защиты данных в Microsoft 365 (Office)
Вы можете включить или отключить автономное кэширование, если политика защиты приложений блокирует сохранение как в локальном хранилище.
Важно!
Этот параметр применим только к приложению Microsoft 365 (Office) на Android. Чтобы настроить этот параметр, можно использовать следующий ключ:
| Ключ | Значение |
|---|---|
| com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked | Значение false (по умолчанию) отключает автономное кэширование при блокировке сохранения в локальном хранилище . Значение true включает автономное кэширование при блокировке сохранения как в локальном хранилище . |
Включение или отключение веб-канала Microsoft 365 для iOS и Android
Теперь администраторы могут включать или отключать веб-канал Microsoft 365, настроив следующий параметр в Центре администрирования Intune. Чтобы развернуть этот параметр приложения, используйте политику конфигурации приложений в Intune.
Для управления веб-каналом Microsoft 365 можно использовать следующий ключ:
| Ключ | Значение |
|---|---|
| com.microsoft.office.officemobile.Feed.IsAllowed | Для клиента включен канал true (по умолчанию). False отключает веб-канал для клиента |
Этот ключ может использоваться управляемыми устройствами и управляемыми приложениями.
Copilot с коммерческой защитой данных
Теперь администраторы могут включить или отключить Copilot в приложении Microsoft 365, настроив следующий параметр в Центре администрирования Intune. Чтобы развернуть этот параметр приложения, используйте политику конфигурации приложений в Intune.
Для управления Copilot в приложении Microsoft 365 можно использовать следующий ключ:
| Ключ | Значение |
|---|---|
| com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed | True (по умолчанию) Copilot включен для клиента false отключает Copilot для клиента. |
Этот ключ может использоваться управляемыми устройствами и управляемыми приложениями.
Дальнейшие действия
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по