Развертывание рекомендуемых политик для защиты электронной почтыDeploy recommended secure email policies

В этом разделе содержатся инструкции по развертыванию рекомендуемых политик в новой подготовленной среде.This section discusses how to deploy the recommended policies in a newly provisioned environment. Настройка этих политик в отдельной лабораторной среде позволяет понять и оценить рекомендуемые политики перед выполнением развертывания в средах подготовки и производства.Setting up these policies in a separate lab environment allows you to understand and evaluate the recommended policies before staging the rollout to your pre-production and production environments. Новая подготовленная среда может быть либо только облачной, либо гибридной.Your newly provisioned environment may be cloud-only or Hybrid.

Для успешного развертывания рекомендуемых политик следует выполнить действия на портале Azure, чтобы обеспечить соответствие необходимым условиям, перечисленным выше.To successfully deploy the recommended polices, you need to take actions in the Azure portal to meet the prerequisites stated earlier. В частности, нужно сделать следующее.Specifically, you need to:

  • Настроить именованные сети, чтобы защита идентификации Azure могла правильно определить оценку риска.Configure named networks, to ensure Azure Identity Protection can properly generate a risk score
  • Требовать регистрацию всех пользователей для многофакторной идентификации (MFA).Require all users to register for multi-factor authentication (MFA)
  • Настроить синхронизацию паролей и самостоятельный сброс паролей, чтобы предоставить пользователям возможность самостоятельного сброса паролей.Configure password sync and self-service password reset to enable users to be able to reset passwords themselves

Политики Azure AD и Intune можно назначить для конкретных групп пользователей.You can target both Azure AD and Intune policies towards specific groups of users. Мы советуем развертывать определенные ранее политики поэтапно.We suggest rolling out the policies defined earlier in a staged way. Таким образом вы можете постепенно проверять производительность политик и групп поддержки.This way you can validate the performance of the policies and your support teams relative to the policy incrementally.

Базовая политика условного доступаBaseline conditional access policy

Чтобы создать политику условного доступа, войдите на портал Microsoft Azure с помощью учетных данных администратора.To create a new conditional access policy, log in to the Microsoft Azure portal with your administrator credentials. Затем последовательно выберите Azure Active Directory > Безопасность > Условный доступ.Then navigate to Azure Active Directory > Security > Conditional access.

Можно добавить новую политику (кнопка "+ Добавить"), как показано на следующем снимке экрана:You can add a new policy (+Add) as shown in the following screen shot:

Базовая политика условного доступа

В следующих таблицах описываются соответствующие параметры, необходимые для выражения политик, требуемых для каждого уровня защиты.The following tables describe the appropriate settings necessary to express the policies required for each level of protection.

При среднем и высоком уровне риска требуется многофакторная идентификацияMedium and above risk requires MFA

В следующей таблице описываются параметры политики условного доступа для реализации данной политики.The following table describes the conditional access policy settings to implement for this policy.

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
НазначенияAssignments Пользователи или группыUsers and groups ВключитьInclude Выберите пользователей и группы — выберите определенную группу безопасности, содержащую целевых пользователейSelect users and groups – Select specific security group containing targeted users Следует начать с группы безопасности, в которую входят пользователи пилотного проекта.Start with security group including pilot users.
ИсключитьExclude Исключение группы безопасности, учетных записей служб (удостоверений приложений)Exception security group; service accounts (app identities) Изменение членства по мере необходимости на временной основеMembership modified on an as needed temporary basis
Облачные приложенияCloud apps ВключитьInclude Выберите приложения — выберите Office 365 Exchange OnlineSelect apps - Select Office 365 Exchange Online
УсловияConditions НастроеноConfigured ДаYes Выполните настройку в соответствии с вашей средой и потребностямиConfigure specific to your environment and needs
Риск при входеSign-in risk Уровень рискаRisk level Высокий, среднийHigh, medium Выберите оба вариантаCheck both
Средства управления доступомAccess controls ПредоставитьGrant Предоставление доступаGrant access TrueTrue ВыбраноSelected
Требовать многофакторную идентификациюRequire MFA TrueTrue CheckCheck
Требовать соответствующие требованиям устройстваRequire compliant devices FalseFalse
Требовать устройства, присоединенные к доменуRequire domain joined devices FalseFalse
Требовать все выбранные средства управленияRequire all the selected controls TrueTrue ВыбраноSelected
Включить политикуEnable policy ВключенOn Выполняется развертывание политики условного доступаDeploys conditional access policy

Требовать соответствующее требованиям или присоединенное к домену устройствоRequire a compliant or domain joined device

Чтобы создать политику условного доступа Intune для Exchange Online, войдите на портал управления Майкрософт (http://manage.microsoft.com) с помощью учетных данных администратора и последовательно выберите Политика > Условный доступ > Политика Exchange Online.To create a new Intune Conditional Access Policy for Exchange Online, log in to the Microsoft Management portal (http://manage.microsoft.com) with your administrator credentials and then navigate to Policy > Conditional Access > Exchange Online Policy.

Политика Exchange Online

На портале управления Intune необходимо задать политику условного доступа конкретно для Exchange Online, требующую совместимых или присоединенных к домену устройств.You must set a Conditional Access policy specifically for Exchange Online in the Intune Management portal to require a compliant or domain joined device.

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
Доступ к приложениямApplication access Outlook и другие приложения, использующие современную проверку подлинностиOutlook and other apps that user modern authentication Все платформыAll platforms TrueTrue ВыбраноSelected
ОС Windows должна соответствовать следующим требованиямWindows must meet the following requirement Устройства должны быть присоединены к домену или соответствовать требованиямDevice must be domain joined or compliant Выбраны (список)Selected (List)
Выбранная платформаSelected platform FalseFalse
Outlook Web Access (OWA)Outlook Web Access (OWA) Блокировать несовместимые устройства на одинаковых с Outlook платформахBlock non-compliant devices on same platform as Outlook TrueTrue CheckCheck
Приложения Exchange ActiveSync, использующие обычную проверку подлинностиExchange ActiveSync apps that use basic authentication Блокировать несовместимые устройства на платформах, поддерживаемых в Microsoft IntuneBlock non-compliant devices on platforms supported by Microsoft Intune TrueTrue CheckCheck
Блокировать все прочие устройства на платформах, не поддерживаемых в Microsoft IntuneBlock all other devices on platforms not supported by Microsoft Intune TrueTrue CheckCheck
Развертывание политикиPolicy deployment Целевые группыTarget groups Выберите группы Active Directory, к которым будет применена политикаSelect the Active Directory groups to target with this policy
Все пользователиAll users FalseFalse
Выбранные группы безопасности:Selected security groups TrueTrue ВыбраноSelected
ИзменитьModify Выберите определенную группу безопасности, содержащую целевых пользователейSelect specific security group containing targeted users
Группы исключенийExempt groups Выберите группы безопасности Active Directory, которые будут исключены из этой политики (этот список приоритетнее списка "Целевые группы")Select the Active Directory groups to exempt from this policy (overrides members of the Targeted Groups list)
Нет исключенных пользователейNo exempt users TrueTrue ВыбраноSelected
Выбранные группы безопасности:Selected security groups FalseFalse

Условный доступ Exchange Online для управления мобильными приложениямиMobile application management conditional access for Exchange online

На портале управления Intune необходимо задать политику условного доступа конкретно для Exchange Online для управления мобильными приложениями.You must set a Conditional Access policy specifically for Exchange Online in the Intune Management portal to manage mobile apps.

Для управления мобильными приложениями войдите на портал Microsoft Azure с помощью учетных данных администратора, а затем последовательно выберите Защита приложений Intune > Параметры > Условный доступ > Exchange Online.To manage mobile apps, log in to the Microsoft Azure portal with your administrator credentials, and then navigate to Intune App Protection > Settings > Conditional Access > Exchange Online.

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
Доступ к приложениямApp access Разрешенные приложенияAllowed apps Включить доступ к приложениямEnable app access Разрешить приложения, поддерживающие политики приложений IntuneAllow apps that support Intune app policies Выбраны (список) — появится список сочетаний приложений и платформ, поддерживаемых политиками приложений IntuneSelected (list) – This results in a list of apps/platform combinations supported by Intune app policies
Доступ пользователейUser access Разрешенные приложенияAllowed apps Ограниченные группы пользователейRestricted user groups Добавьте пользователей и группы — выберите определенную группу безопасности, содержащую целевых пользователейAdd users groups – Select specific security group containing targeted users Следует начать с группы безопасности, в которую входят пользователи пилотного проектаStart with security group including pilot users
Исключенные группы пользователейExempt user groups Исключение групп безопасностиException security groups

ПрименениеApply to

После завершения пилотного проекта эти политики должны быть применены ко всем пользователям в организации.Once your pilot project has been completed, these policies should be applied to all users in your organization.

Создание политики условного доступаSensitive conditional access policy

При низком и более высоком уровне риска требуется многофакторная идентификацияLow and above risk requires MFA

В следующей таблице описываются параметры политики условного доступа для реализации политик при низком или более высоком уровне риска.The following table describes the conditional access policy settings to implement for low- and above-risk policies.

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
НазначенияAssignments Пользователи или группыUsers and groups ВключитьInclude Выберите пользователей и группы — выберите определенную группу безопасности, содержащую целевых пользователейSelect users and groups – Select specific security group containing targeted users Следует начать с группы безопасности, в которую входят пользователи пилотного проектаStart with security group including pilot users
ИсключитьExclude Исключение группы безопасности, учетных записей служб (удостоверений приложений)Exception security group; service accounts (app identities) Изменение членства по мере необходимости на временной основеMembership modified on an as needed temporary basis
Облачные приложенияCloud apps ВключитьInclude Выберите приложения — выберите Office 365 Exchange OnlineSelect apps - Select Office 365 Exchange Online
УсловияConditions НастроеноConfigured ДаYes Выполните настройку в соответствии с вашей средой и потребностямиConfigure specific to your environment and needs
Риск при входеSign-in risk НастроеноConfigured ДаYes Выполните настройку в соответствии с вашей средой и потребностямиConfigure specific to your environment and needs
Уровень рискаRisk level Низкий, средний, высокийLow, medium, high Выберите все три вариантаCheck all three
Средства управления доступомAccess controls ПредоставитьGrant Предоставление доступаGrant access TrueTrue ВыбраноSelected
Требовать многофакторную идентификациюRequire MFA TrueTrue CheckCheck
Требовать соответствующие требованиям устройстваRequire compliant devices FalseFalse
Требовать устройства, присоединенные к доменуRequire domain joined device FalseFalse
Требовать все выбранные средства управленияRequire all the selected controls TrueTrue ВыбраноSelected
Включить политикуEnable policy ВключенOn Выполняется развертывание политики условного доступаDeploys conditional access policy

Требовать соответствующее требованиям или присоединенное к домену устройствоRequire a compliant or domain joined device

(См. инструкции по базовому уровню.)(See baseline instructions)

Условный доступ Exchange Online для управления мобильными приложениямиMobile application management conditional access for Exchange online

(См. инструкции по базовому уровню.)(See baseline instructions)

ПрименениеApply to

После завершения пилотного проекта эти политики должны быть применены к пользователям в вашей организации, которым требуется доступ к сообщениям электронной почты, считающимся конфиденциальными.Once the pilot project has been completed, these policies should be applied to users in your organization who require access to email considered sensitive.

Создание политики строго регулируемого уровняHighly regulated conditional access policy

Требуется многофакторная идентификацияMFA required

В следующей таблице описываются параметры политики условного доступа для реализации строго регулируемой политики.The following table describes the conditional access policy settings to implement for the highly regulated policy.

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
НазначенияAssignments Пользователи или группыUsers and groups ВключитьInclude Выберите пользователей и группы — выберите определенную группу безопасности, содержащую целевых пользователейSelect users and groups – Select specific security group containing targeted users Следует начать с группы безопасности, в которую входят пользователи пилотного проектаStart with security group including pilot users
ИсключитьExclude Исключение группы безопасности, учетных записей служб (удостоверений приложений)Exception security group; service accounts (app identities) Изменение членства по мере необходимости на временной основеMembership modified on an as needed temporary basis
Облачные приложенияCloud apps ВключитьInclude Выберите приложения — выберите Office 365 Exchange OnlineSelect apps - Select Office 365 Exchange Online
Средства управления доступомAccess controls ПредоставитьGrant Предоставление доступаGrant access TrueTrue ВыбраноSelected
Требовать многофакторную идентификациюRequire MFA TrueTrue CheckCheck
Требовать соответствующие требованиям устройстваRequire complaint devices FalseFalse CheckCheck
Требовать устройства, присоединенные к доменуRequire domain joined device FalseFalse
Требовать все выбранные средства управленияRequire all the selected controls TrueTrue ВыбраноSelected
Включить политикуEnable policy ВключенOn Выполняется развертывание политики условного доступаDeploys conditional access policy

Требовать соответствующее требованиям или присоединенное к домену устройствоRequire a compliant or domain joined device

(См. инструкции по базовому уровню.)(See baseline instructions)

Условный доступ Exchange Online для управления мобильными приложениямиMobile application management conditional access for Exchange online

(См. инструкции по базовому уровню.)(See baseline instructions)

ПрименениеApply to

После завершения пилотного проекта эти политики должны быть применены к пользователям в вашей организации, которым требуется доступ к сообщениям электронной почты, считающимся строго регулируемыми.Once the pilot project has been completed, these policies should be applied to users in your organization who require access to email considered highly regulated.

Политика риск пользователяUser risk policy

Пользователи с высоким уровнем риска должны сменить парольHigh risk users must change password

Чтобы требовать от всех скомпрометированных учетных записей пользователей с высоким уровнем смену пароля при входе, необходимо применить следующую политику.To ensure that all high-risk users compromised accounts are forced to perform a password change when signing-in, you must apply the following policy.

Войдите на портал Microsoft Azure (http://portal.azure.com) с помощью учетных данных администратора и последовательно выберите Защита идентификации Azure AD > Политика риска пользователя.Log in to the Microsoft Azure portal (http://portal.azure.com) with your administrator credentials, and then navigate to Azure AD Identity Protection > User Risk Policy.

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
НазначенияAssignments UsersUsers ВключитьInclude Все пользователиAll users ВыбраноSelected
ИсключитьExclude НетNone
УсловияConditions Риск пользователяUser risk ВысокийHigh ВыбраноSelected
Элементы управленияControls ДоступAccess Разрешить доступAllow access TrueTrue ВыбраноSelected
ДоступAccess Требовать смену пароляRequire password change TrueTrue CheckCheck
ПроверкаReview Н/ДN/A Н/ДN/A Н/ДN/A Н/ДN/A
Применить политикуEnforce policy ВключенOn Начинается применение политикиStarts enforcing policy

Дополнительные конфигурацииAdditional configurations

Помимо указанных выше политик необходимо настроить следующие параметры управления мобильными приложениями и устройствами, рассматриваемые в этом разделе.In addition to the above policies, you must configure the following Mobile Application and Device Management settings discussed in this section.

Управление мобильными приложениями IntuneIntune mobile application management

Чтобы обеспечить защиту электронной почты с помощью приведенных выше рекомендуемых политик для каждого уровня безопасности и защиты данных, необходимо создать политики защиты приложений Intune на портале Azure.To ensure email is protected by the policy recommendations stated earlier for each security and data protection tier, you must create Intune app protection policies from within the Azure portal.

Чтобы создать политику защиты приложений, войдите на портал Microsoft Azure с помощью учетных данных администратора, а затем последовательно выберите Защита приложений Intune > Параметры > Политика приложений.To create a new app protection policy, log in to the Microsoft Azure portal with your administer credentials, and then navigate to Intune App Protection > Settings > App policy.

Добавьте новую политику (кнопка "+ Добавить"), как показано на следующем снимке экрана:Add a new policy (+Add) as shown in the following screen shot:

Управление мобильными приложениями Intune

Примечание

В iOS и Android существуют небольшие различия в параметрах политики для защиты приложений.There are slight differences in the app protection policy options between iOS and Android. Приведенная ниже политика предназначена для Android.The below policy is specifically for Android.

В следующих таблицах описываются соответствующие параметры, необходимые для выражения политик, требуемых для каждого уровня защиты.The following tables describe, in details, the appropriate settings necessary to express the policies required for each level of protection. В следующих таблицах описаны рекомендуемые параметры политики для защиты приложений Intune.| The following table describes the recommended Intune app protection policy settings.

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
ОбщиеGeneral Электронная почтаEmail ИмяName Политика защиты электронной почты для AndroidSecure email policy for Android Введите имя политикиEnter a policy name
ОписаниеDescription Введите текст с описанием политикиEnter text that describes the policy
ПлатформаPlatform AndroidAndroid В iOS и Android существуют небольшие различия в параметрах политики для защиты приложений. Эта политика предназначена для Android.There are slight differences in the app protection policy options between iOS and Android; this policy is specifically for Android
ПриложенияApps ПриложенияApplications ПриложенияApps OutlookOutlook Выбраны (список)Selected (list)
ПараметрыSettings Перемещение данныхData relocation Запретить резервное копирование на AndroidPrevent Android backup ДаYes В iOS это касается iTunes и iCloudOn iOS this will specifically call out iTunes and iCloud
Разрешить приложению передавать данные в другие приложенияAllow app to transfer data to other apps Приложения, управляемые политикойPolicy managed apps
Разрешить приложению принимать данные от других приложенийAllow app to receive data to other apps Приложения, управляемые политикойPolicy managed apps
Запрет команды "Сохранить как"Prevent "Save As" ДаYes
Ограничить вырезание, копирование и вставку данных между приложениямиRestrict cut, copy, and paste with other apps Приложения, управляемые политикойPolicy managed apps
Ограничить веб-контент, отображаемый в Managed BrowserRestrict web content to display in the managed browser НетNo
Шифрование данных приложенияEncrypt app data ДаYes В iOS выберите параметр "Когда устройство заблокировано"On iOS select option: When device is locked
Отключить синхронизацию контактовDisable contacts sync НетNo
ДоступAccess Требовать ПИН-код для доступаRequire PIN for access ДаYes
Число попыток до сброса PIN-кодаNumber of attempts before PIN reset 33
Разрешить простой ПИН-кодAllow simple PIN НетNo
Длина ПИН-кодаPIN length 66
Разрешить вход с использованием отпечатков пальцев вместо ПИН-кодаAllow fingerprint instead of PIN ДаYes
Требовать корпоративные учетные данные для доступаRequire Corporate credentials for access НетNo
Block managed apps from running on jailbroken or rooted devices (Запретить запуск управляемых приложений на устройствах со снятой защитой или административным доступом)Block managed apps from running on jailbroken or rooted devices ДаYes
Перепроверять требования к доступу через (мин)Recheck the access requirement after (minutes) 3030
Период отсрочки в автономном режимеOffline grace period 720720
Интервал в автономном режиме до очистки данных приложения (дн.)Offline interval (days) before app data is wiped 9090
Блокировать снимки экрана и Android AssistantBlock screen capture and Android assistant НетNo В iOS этот параметр недоступенOn iOS this is not an available option

После завершения нажмите кнопку "Создать".When complete, remember to click "Create". Повторите описанные выше действия и замените выбранную платформу (в раскрывающемся списке) на iOS.Repeat the above steps and replace the selected platform (dropdown) with iOS. Будет создано две политики приложений, поэтому сначала вы создаете политику, затем назначаете группы политике и развертываете ее.This creates two app policies, so once you create the policy, then assign groups to the policy and deploy it.

Управление мобильными устройствами IntuneIntune mobile device management

Для создания следующих политик конфигурации и соответствия требованиям войдите на портал управления Майкрософт (http://manage.microsoft.com) с помощью учетных данных администратора.You create the following Configuration and Compliance policies by logging into the Microsoft Management portal (http://manage.microsoft.com) with your administrator credentials.

Профиль электронной почты iOSiOS email profile

На портале управления Intune (https://manage.microsoft.com) создайте следующие политики конфигурации, последовательно выбрав Политика > Политики конфигурации > Добавить > iOS > Профиль электронной почты (iOS 8 и более поздние версии).In the Intune management portal (https://manage.microsoft.com) create the following Configuration policies at Policy > Configuration Policies > Add > iOS > Email Profile (iOS 8 and later).

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
Профиль электронной почтыEmail profile Exchange Active SyncExchange Active Sync УзелHost (#) Outlook.office365.comOutlook.office365.com
Имя учетной записиAccount Name (#) SecureEmailAccountSecureEmailAccount Выбирает администраторAdmini choice
Имя пользователяUsername Имя субъекта-пользователяUser principal name Выбирается из раскрывающегося спискаSelected – Drop down
Адрес электронной почтыEmail address Основной SMTP-адресPrimary SMTP address Выбирается из раскрывающегося спискаSelected – Drop down
Метод проверки подлинностиAuthentication method Имя пользователя и парольUsername and password Выбирается из раскрывающегося спискаSelected – Drop down
Использование S/MIMEUse S/MIME FalseFalse
Параметры синхронизацииSynchronization settings Число дней для синхронизации электронной почтыNumber of days of email to synchronize Две неделиTwo weeks Выбирается из раскрывающегося спискаSelected – Drop down
Использовать SSLUse SSL TrueTrue CheckCheck
Разрешить перемещение сообщений в другие учетные записи электронной почтыAllow messages to be moved to other email accounts FalseFalse
Разрешить отправлять электронную почту в сторонние приложенияAllow email to be sent from third party applications TrueTrue
Синхронизировать недавно использовавшиеся адреса электронной почтыSynchronize recently used email addresses TrueTrue CheckCheck

Профиль совместного использования приложения для iOSiOS app sharing profile

На портале управления Intune (https://manage.microsoft.com) создайте следующие политики конфигурации, последовательно выбрав Политика > Политики конфигурации > Добавить > iOS > Общая конфигурация (iOS 8.0 и более поздние версии).In the Intune management portal (https://manage.microsoft.com) create the following Configuration policies at Policy > Configuration Policies > Add > iOS > General Configuration (iOS 8.0 and later).

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
SecuritySecurity allAll allAll Не настроеноNot configured
ОблакоCloud allAll allAll Не настроеноNot configured
ПриложенияApplications БраузерBrowser allAll Не настроеноNot configured
ПриложенияApps Разрешить установку приложенийAllow installing apps Не настроеноNot configured
Требовать ввод пароля для доступа к магазину приложенияRequire a password to access application store Не настроеноNot configured
Все покупки из приложенийAll in-app purchases Не настроеноNot configured
Разрешить просмотр управляемых документов в других неуправляемых приложениях (iOS 8.0 и более поздние версии):Allow managed documents in other managed apps (iOS 8.0 and later) НетNo Выбирается из раскрывающегося спискаSelected – Drop down
Разрешить открывать неуправляемые документы в других управляемых приложенияхAllow unmanaged documents in other managed apps Не настроеноNot configured
Разрешить проведение видеоконференцийAllow video conferencing Не настроеноNot configured
Разрешить пользователю доверять авторам новых приложений предприятияAllow the user to trust new enterprise app authors Не настроеноNot configured
ИгрыGames allAll Не настроеноNot configured
Мультимедийное содержимоеMedia content allAll Не настроеноNot configured

Профиль электронной почты AndroidAndroid email profile

На портале управления Intune (https://manage.microsoft.com) создайте следующие политики конфигурации, последовательно выбрав Политика > Политики конфигурации > Добавить > iOS > Профиль электронной почты (Samsung KNOX Standard 4.0 и более поздние версии).In the Intune management portal (https://manage.microsoft.com) create the following Configuration policies at Policy > Configuration Policies > Add > iOS > Email Profile (Samsung KNOX Standard 4.0 and later).

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
Профиль электронной почтыEmail profile Exchange Active SyncExchange Active Sync УзелHost (#) Outlook.office365.comOutlook.office365.com
Имя учетной записиAccount Name (#) SecureEmailAccountSecureEmailAccount Выбирает администраторAdmini choice
Имя пользователяUsername Имя субъекта-пользователяUser principal name Выбирается из раскрывающегося спискаSelected – Drop down
Адрес электронной почтыEmail address Основной SMTP-адресPrimary SMTP address Выбирается из раскрывающегося спискаSelected – Drop down
Метод проверки подлинностиAuthentication method Имя пользователя и парольUsername and password Выбирается из раскрывающегося спискаSelected – Drop down
Использование S/MIMEUse S/MIME FalseFalse
Параметры синхронизацииSynchronization settings Число дней для синхронизации электронной почтыNumber of days of email to synchronize Две неделиTwo weeks Выбирается из раскрывающегося спискаSelected – Drop down
Расписание синхронизацииSync schedule Не настроеноNot configured Выбирается из раскрывающегося спискаSelected – Drop down
Использовать SSLUse SSL TrueTrue CheckCheck
Тип синхронизируемого содержимогоContent type to synchronize
Электронная почтаEmail TrueTrue Выбрано (заблокировано)Check (locked)
КонтактыContacts TrueTrue CheckCheck
КалендарьCalenadr TrueTrue CheckCheck
Обзор политикиTasks TrueTrue CheckCheck
ПримечанияNotes TrueTrue CheckCheck

Профиль электронной почты для устройств Android for WorkAndroid for work email profile

На портале управления Intune (https://manage.microsoft.com) создайте следующие политики конфигурации, последовательно выбрав Политика > Политики конфигурации > Добавить > iOS > Профиль электронной почты (Android for Work — Gmail).In the Intune management portal (https://manage.microsoft.com) create the following Configuration policies at Policy > Configuration Policies > Add > iOS > Email Profile (Android for Work - Gmail).

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
Профиль электронной почтыEmail profile Exchange Active SyncExchange Active Sync УзелHost(#) Outlook.office365.comOutlook.office365.com
Имя учетной записиAccount Name(#) SecureEmailAccountSecureEmailAccount Выбирает администраторAdmini choice
Имя пользователяUsername Имя субъекта-пользователяUser principal name Выбирается из раскрывающегося спискаSelected – Drop down
Адрес электронной почтыEmail address Основной SMTP-адресPrimary SMTP address Выбирается из раскрывающегося спискаSelected – Drop down
Метод проверки подлинностиAuthentication method Имя пользователя и парольUsername and password Выбирается из раскрывающегося спискаSelected – Drop down
Параметры синхронизацииSynchronization settings Число дней для синхронизации электронной почтыNumber of days of email to synchronize Две неделиTwo weeks Выбирается из раскрывающегося спискаSelected – Drop down
Использовать SSLUse SSL TrueTrue CheckCheck

Профиль совместного использования приложений для устройств Android for WorkAndroid for work app sharing profile

На портале управления Intune (https://manage.microsoft.com) создайте следующие политики конфигурации, последовательно выбрав Политика > Политики конфигурации > Добавить > iOS > Общая конфигурация (Android for Work).In the Intune management portal (https://manage.microsoft.com) create the following Configuration policies at Policy > Configuration Policies > Add > iOS > General Configuration (Android for Work).

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
SecuritySecurity ПарольPassword Минимальная длина пароляMinimum password length Не настроеноNot configured
Число разрешенных неудачных попыток входа перед удалением профиля работыNumber of repeated sign-in failures before the work profile is removed Не настроеноNot configured
Блокировать устройство после следующего периода бездействия (в минутах)Minutes of inactivity before device locks Не настроеноNot configured
Окончание срока действия пароля (дней)Password expiration (days) Не настроеноNot configured
Запоминать историю паролейRemember password history Не настроеноNot configured
Требовать пароль для разблокирования мобильного устройстваRequire a password to unlock mobile device Не настроеноNot configured
Разрешить разблокирование по отпечатку пальца (Android 6.0 и более поздние версии)Allow fingerprint unlock (Android 6.0+) Не настроеноNot configured
Разрешить Smart Lock и другие доверенные агенты (Android 6.0 и более поздние версии)Allow Smart Lock and other trust agents (Android 6.0+) Не настроеноNot configured
Параметры профиля работыWork profile settings Разрешить совместное использование данных для профиля работы и личного профиляAllow data sharing between work and personal profiles Приложения из профиля работы могут обрабатывать запрос на совместное использование из личного профиляApps in work profile can handle sharing request from personal profile Выбирается из раскрывающегося спискаSelected – Drop down
Скрывать уведомления рабочего профиля, если устройство заблокировано (Android 6.0 и более поздние версии)Hide work profile notifications when the device is locked (Android 6.0+) Не настроеноNot configured
Задать политику разрешений приложений по умолчанию (Android 6.0 и более поздние версии)Set default app permission policy (Android 6.0+) Не настроеноNot configured

Политика соответствия устройствDevice compliance policy

На портале управления Intune (https://manage.microsoft.com) создайте следующие политики конфигурации, последовательно выбрав Политика > Политика соответствия > Добавить.In the Intune management portal (https://manage.microsoft.com) create the following Configuration policies at Policy > Compliance Policy > Add.

CategoriesCategories ТипType Элемент PropertyProperties ЗначенияValues ПримечанияNotes
Безопасность системыSystem security ПарольPassword Требовать пароль для разблокирования мобильных устройств (...)Require a password to unlock mobile devices (...) ДаYes Выбирается из раскрывающегося спискаSelected – Drop down
Разрешить простые пароли (...)Allow simple passwords (...) НетNo Выбирается из раскрывающегося спискаSelected – Drop down
Минимальная длина пароля (...)Minimum password length (...) 66 Выбирается из спискаSelected – List
Дополнительные параметры пароляAdvanced password settings allAll Не настроеноNot configured
ШифрованиеEncryption Требовать шифрование на мобильном устройстве (...)Require encryption on mobile device (...) ДаYes Выбирается из раскрывающегося спискаSelected – Drop down
Профили электронной почтыEmail profiles Учетная запись почты должна управляться Intune (iOS 8.0 и более поздние версии)Email account must be managed by Intune (iOS 8.0+) ДаYes Выбирается из раскрывающегося спискаSelected – Drop down
ВыбратьSelect (#) Необходимо выбрать политику конфигурации электронной почты для iOS: политика электронной почты iOS (см. политики конфигурации выше)Must select Email Configuration Policy for iOS: iOS Email Policy (see configuration policies above)
Работоспособность устройстваDevice health Подтверждение работоспособности устройства WindowsWindows decide health attestation Требовать подтверждения работоспособности устройств (Windows 10 Desktop, Windows 10 Mobile и более поздние версии)Require devices to be reported as healthy (Windows 10 Desktop and Mobile and later) ДаYes
Параметры безопасности устройстваDevice security settings allAll Не настроеноNot configured
Защита устройства от угрозDevice threat protection allAll Не настроеноNot configured
Снятие ограничения на доступ к файловой системеJailbreak На устройстве не должно быть снято ограничение на доступ к файловой системе или корневому каталогу (iOS 8.0 и более поздние версии, Android 4.0 и более поздние версии)Device must not be jailbroken or rooted (iOS 8.0+, Android 4.0+) ДаYes
Свойства устройстваDevice properties Версия операционной системыOperating system version allAll Не настроеноNot configured

Чтобы все указанные выше политики считались развернутыми, они должны быть предназначены для групп пользователей.For all the above policies to be considered deployed, they must be targeted at user groups. Это можно сделать, создав политику (при сохранении) или позднее, выбрав "Управление развертыванием" в разделе "Политика" (тот же уровень, что и добавление).You can do this by creating the policy (on Save) or later by selecting Manage Deployment in the Policy section (same level as Add).

Устранение событий, которые привели к доступу со средним или высоким уровнем рискаRemediating events that have results in medium or high risk access

Если пользователь сообщает о том, что теперь он должен выполнять многофакторную идентификацию там, где это ранее не требовалось, служба технической поддержки может проверить его состояние с точки зрения риска.If a user reports that they are now expected to perform MFA when this was previously not required, support can review their status from a risk perspective.

Пользователи в организации с ролью глобального администратора или администратора безопасности могут использовать защиту идентификации Azure AD для анализа опасных событий, затронутых при оценке риска.Users within the organization with a Global Administrator or Security Administrator role can use Azure AD Identity Protection to review the risky events that contributed to the calculated risk score. Если они определяют некоторые события, которые были помечены как подозрительные, но подтверждаются как допустимые (например, вход из незнакомого расположения, когда сотрудник находится в отпуске), администратор может разрешить событие, чтобы оно больше не учитывалось при оценке риска.If they identify some events that were flagged as suspicious, but are confirmed to be valid (such as a login from an unfamiliar location when an employee is on vacation), the administrator can resolve the event so it no longer contributes to the risk score.

Дальнейшие действияNext steps

Дополнительные сведения о службах Microsoft 365Learn more about Microsoft 365 services