Основные понятия и службы Microsoft 365 EnterpriseMicrosoft 365 Enterprise services and concepts

Решение Microsoft 365 Enterprise предназначено для крупных организаций. Оно интегрируется с Office 365 Enterprise, Windows 10 Корпоративная и Enterprise Mobility + Security, предоставляя безопасную среду для продуктивной совместной работы.Microsoft 365 Enterprise is designed for large organizations and integrates Office 365 Enterprise, Windows 10 Enterprise, and Enterprise Mobility + Security (EMS) to empower everyone to be creative and work together, securely. Microsoft 365 Enterprise включает корпоративный выпуск приложений Windows 10 и Office ("Office 365 профессиональный плюс").Microsoft 365 Enterprise includes an enterprise edition of Windows 10 and Office applications through Office 365 ProPlus.

И Windows 10, и "Office 365 профессиональный плюс" в марте и сентябре предоставляют новые компоненты для корпоративного выпуска через Semi-Annual Channel.Both Windows 10 and Office 365 ProPlus provide new feature releases to the enterprise in March and September via the Semi-Annual Channel. Выпуск компонента Semi-Annual Channel поддерживается в течение 18 месяцев.A feature release of Semi-Annual Channel is supported for 18 months. И в Microsoft Intune, и в System Center Configuration Manager предоставляются возможности для развертывания и обновления Windows 10 и "Office 365 профессиональный плюс".Both Microsoft Intune and System Center Configuration Manager provide capabilities to deploy and update Windows 10 and Office 365 ProPlus.

Ниже приведены самые последние версии Windows 10, "Office 365 профессиональный плюс", Microsoft Intune и System Center Configuration Manager.Here are the most current versions of Windows 10, Office 365 ProPlus, Microsoft Intune, and System Center Configuration Manager:

Semi-Annual Channel (целевой)Semi-Annual Channel (Targeted) Semi-Annual ChannelSemi-Annual Channel
Windows 10Windows 10 Windows 10 Fall Creators Update (ожидается в ближайшее время)Windows 10 Fall Creators Update (coming soon) Версия 1703Version 1703
Office 365 профессиональный плюсOffice 365 ProPlus Версия 1708Version 1708 Версия 1705Version 1705
IntuneIntune Н/ДN/A Версия 1708Version 1708
System Center Configuration ManagerSystem Center Configuration Manager Версия Technical Preview 1708Technical Preview Version 1708 Версия 1706Version 1706

Обновление 1706 для System Center Configuration Manager (Current Branch) доступно в виде обновления в консоли для ранее установленных сайтов, работающих под управлением версии 1606, 1610 или 1702. Update 1706 for System Center Configuration Manager current branch is available as an in-console update for previously installed sites that run version 1606, 1610, or 1702.

Примечание

Службы Microsoft Azure также обновляются на регулярной основе, но у них нет номеров версий.Microsoft Azure services are also updated on a regular basis, but are not referenced by a version number. Последние и предстоящие обновления служб Azure см. в описании стратегии развития облачной платформы.To review the latest updates, and what's coming, for Azure services, see the cloud platform roadmap.

Дополнительные сведения о компонентах, доступных в этих версиях, см. в следующих статьях:For more information about the features available in these versions, see the following articles:

Обзор службServices overview

Этот раздел содержит обзор служб EMS и Office 365, входящих в состав Microsoft 365 Enterprise, а также описывает основные понятия, позволяющие оптимальнее использовать данное решение в организации.This section provides an overview of the EMS and Office 365 services included with Microsoft 365 Enterprise and also introduces the core concepts necessary to understand how to best use it for your oganizational needs. Эти службы позволяют администраторам Microsoft Cloud Enterprise не только защищать удостоверения и устройства сотрудников организации, но и управлять доступом к корпоративным данным во время их передачи и хранения.These services provide capabilities that enable Microsoft cloud enterprise administrators to not just protect company employees’ identities and devices, but also control access to company data itself; both in transit and at rest.

службыService ОписаниеDescription
Microsoft Azure Active DirectoryMicrosoft Azure Active Directory Azure AD предоставляет полный набор возможностей для управления удостоверениями, включая многофакторную проверку подлинности, регистрацию устройств, самостоятельное управление паролями, самостоятельное управление группами, управление доступом на основе ролей, мониторинг использования приложений, расширенные функции аудита и мониторинга безопасности, а также использование оповещений.Azure AD provides a full suite of identity management capabilities including multi-factor authentication, device registration, self-service password management, self-service group management, role based access control, application usage monitoring, rich auditing and security monitoring and alerting.
Защита идентификации Azure ADAzure AD Identity Protection Эта служба позволяет обнаруживать потенциальные уязвимости, негативно влияющие на работу с удостоверениями организации, а также посредством политик условного доступа настраивать автоматизированные ответы для низкого, среднего, высокого риска при входе и риска для пользователя.This service enables you to detect potential vulnerabilities affecting your organization’s identities and configure automated responses via conditional access policies to low, medium and high sign-in risk and user risk.
Azure AD Privileged Identity ManagementAzure AD Privileged Identity Management Эта служба позволяет организациям минимизировать количество пользователей, имеющих постоянный доступ к привилегированным операциям. В Azure AD Privileged Identity Management вводится понятие разрешенного администратора. В качестве разрешенных администраторов должны выступать пользователи, которым привилегированный доступ требуется периодически, а не на постоянной основе.This service enables organizations to minimize the number of people who have persistent access to privileged operations; Azure AD Privileged Identity Management introduces the concept of an eligible admin. Eligible admins should be users that need privileged access now and then, but not every day. Эта роль неактивна, пока пользователю не потребуется доступ, после чего он проходит процедуру активации и становится активным администратором на определенный заранее период.The role is inactive until the user needs access, then they complete an activation process and become an active admin for a predetermined amount of time.
Azure Information ProtectionAzure Information Protection Azure Information Protection — это облачное решение, входящее в состав предложения EMS E5, которое позволяет организациям классифицировать, маркировать и защищать документы и сообщения электронной почты.Azure Information Protection is a cloud-based solution, delivered as part of the EMS E5 offering, that helps an organization to classify, label, and protect its documents and emails. Это может делаться автоматически (администраторами, которые определяют правила и условия), вручную (пользователями) или сочетанием этих вариантов, когда пользователям даются рекомендации.This can be done automatically by administrators who define rules and conditions, manually by users, or a combination where users are given recommendations. Метки Azure Information Protection используются для применения классификации к документам и электронным письмам.You use Azure Information Protection labels to apply classification to documents and emails. При этом классификация всегда видна, независимо от того, где хранятся данные и кому они предоставляются.When you do this, the classification is identifiable at all times, regardless of where the data is stored or with whom it’s shared.

Параметры политики Azure Information Protection защищены с помощью Azure Rights Management.Azure Information Protection policy settings are protected by Azure Rights Management. По аналогии с применяемыми метками, защита, которая применяется с помощью Rights Management, сохраняется с документами и сообщениями электронной почты независимо от их расположения — внутри или вне организации, сети, файловых серверов или приложений.Similar to how the labels that are applied, protection that is applied by using Rights Management stays with the documents and emails, independently of the location—inside or outside your organization, networks, file servers, and applications.
Microsoft IntuneMicrosoft Intune Intune — это облачная служба управления корпоративной мобильностью (EMM), которая повышает производительность труда персонала, при этом обеспечивая защиту корпоративных данных.Intune is a cloud-based enterprise mobility management (EMM) service that helps enable your workforce to be productive while keeping your corporate data protected. Intune тесно интегрируется с Azure AD для управления удостоверениями и доступом и используется для управления устройствами и приложениями.Intune integrates closely with Azure AD for identity and access control and is used for device and application management. Возможности управления устройствами Intune используются для настройки и защиты устройств пользователя, включая компьютеры с Windows.Intune’s device management capabilities are used to configure and protect your user’s devices, including Windows PCs.

Возможности управления устройствами Intune поддерживают как регистрацию по программе принеси свое устройство (BYOD), позволяющую пользователям регистрировать свои личные телефоны, планшеты или компьютеры, так и регистрацию корпоративных устройств (COD), которая позволяет реализовать такие сценарии управления, как автоматическая регистрация, общие устройства или обязательная предварительно авторизованная регистрация.Intune device management capabilities support both Bring Your Own Device (BYOD) enrollment which lets users enroll their personal phones, tablets, or PCs, and Corporate-owned Device (COD) enrollment that enable management scenarios like automatic enrollment, shared devices, or pre-authorized enrollment requirement configurations. Для повышения безопасности можно даже запросить регистрацию устройства в рамках MFA.For added security, you can even require MFA to enroll a device. После регистрации в системе управления Intune позволяет настроить функции и параметры устройства, чтобы обеспечить безопасный доступ к корпоративным ресурсам.Once enrolled into management, Intune can configure device features and settings to enable secure access to company resources.

Основные понятияImportant concepts to understand

В следующей таблице описаны основные понятия и возможности EMS, с которыми вам следует ознакомиться.Core concepts and EMS capabilities that you should be familiar with are described in the table below.

Основное понятиеCore Concept ОписаниеDescription
Многофакторная идентификация Azure (MFA)Azure Multi-Factor Authentication (MFA) Решение двухфакторной проверки подлинности Майкрософт — Azure MFA — защищает доступ к данным и приложениям, а также обеспечивает простой вход пользователей в систему.As Microsoft's two-step verification solution, Azure MFA helps safeguard access to data and applications while meeting user demand for a simple sign-in process. Оно позволяет реализовать строгую проверку подлинности посредством целого ряда методов, включая телефонный звонок, текстовое сообщение или проверку мобильного приложения.It delivers strong authentication via a range of verification methods, including phone call, text message, or mobile app verification.
Условный доступ Azure ADAzure AD Conditional Access Эта возможность Azure AD позволяет применять меры управления при доступе к облачным приложениям в вашей среде в зависимости от конкретных условий.This capability of Azure AD enables you to enforce controls on the access to cloud apps in your environment based on specific conditions. С помощью этих мер можно установить дополнительные требования для доступа либо заблокировать его.With controls, you can either tie additional requirements to the access or you can block it. Условный доступ реализуется на основе политик.The implementation of conditional access is based on policies.
Защита от потери данных (DLP) Exchange OnlineExchange Online Data Loss Prevention (DLP) Политики защиты от потери данных (DLP) Exchange Online, доступные в качестве расширенного компонента подписок Exchange Online (план 2) и Office 365, позволяют организациям идентифицировать, отслеживать и автоматически защищать конфиденциальную информацию в Office 365.Exchange Online Data Loss Prevention (DLP) policies, available as a premium feature of Exchange Online Plan 2 and Office 365 subscriptions, enable organizations to identify, monitor, and automatically protect sensitive information across Office 365.

С помощью политик защиты от потери данных Exchange Online вы можете идентифицировать конфиденциальную информацию во множестве расположений, таких как Exchange Online, SharePoint Online и OneDrive для бизнеса.With Exchange Online DLP policies you can identify sensitive information across many locations, such as Exchange Online, SharePoint Online, and OneDrive for Business. Например, эти политики помогают идентифицировать документы, содержащие конфиденциальные данные, а также предотвращать случайное предоставление конфиденциальной информации для общего доступа людям, находящимся за пределами вашей организации.For example, these policies help you identify documents containing sensitive information or prevent the accidental sharing of sensitive information with people outside your organization.
Правила транспорта/потока обработки почты ExchangeExchange Mail Flow/Transport Rules Правила потока обработки почты Exchange, которые также называются правилами транспорта, ищут определенные условия в проходящих через организацию сообщениях и принимают соответствующие меры.Exchange mail flow rules, also known as transport rules, look for specific conditions in messages that pass through your organization and act on them. Правила потока обработки почты похожи на правила папки "Входящие", доступные во многих клиентах электронной почты.Mail flow rules are like the Inbox rules that are available in many email clients. Основное различие между правилами потока обработки почты и правилами, которые можно настроить в клиентском приложении, таком как Outlook, заключается в том, что правила потока обработки почты затрагивают передаваемые, а не уже доставленные сообщения.The main difference between mail flow rules and rules you would set up in a client application such as Outlook is that mail flow rules act on messages while they’re in transit as opposed to after the message is delivered. Кроме того, правила потока обработки почты содержат расширенный набор условий, исключений и действий, что позволяет гибко реализовывать многие типы политик обмена сообщениями.Mail flow rules also contain a richer set of conditions, exceptions, and actions, which provides you with the flexibility to implement many types of messaging policies.
Управление мобильными устройствами IntuneIntune Mobile Device Management Intune обеспечивает управление мобильными устройствами с помощью протоколов или API, доступных в операционных системах мобильных устройств.Intune provides mobile device management (MDM) by using the protocols or APIs that are available in the mobile operating systems. Это решение позволяет выполнять такие задачи, как регистрация устройств в системе управления, чтобы ИТ-отдел располагал инвентаризацией устройств, обращающихся к корпоративным службам, настройка устройств, чтобы обеспечить соответствие стандартам безопасности и работоспособности организации, предоставление сертификатов и профилей Wi-Fi и VPN для доступа к корпоративным службам, создание отчетов о соответствии устройств корпоративным стандартам, а также удаление корпоративных данных с управляемых устройств.It includes tasks like enrolling devices into management so IT has an inventory of devices that are accessing corporate services, configuring devices to ensure they meet company security and health standards, providing certificates and Wi-Fi/VPN profiles to access corporate services, reporting on and measuring device compliance to corporate standards, and removing corporate data from managed devices.
Политики защиты приложений IntuneIntune app protection policies Политики защиты приложений Intune можно использовать для защиты корпоративных данных в мобильных приложениях как с регистрацией устройств в системе управления, так и без нее.Intune app protection policies can be used to protect your company’s data in mobile apps with or without enrolling devices into management. Фактически мобильными устройствами пользователей можно управлять даже с помощью стороннего решения MDM, используя Intune для защиты данных Office 365.In fact, your users' mobile devices can even be managed by another non-Microsoft MDM solution while Intune helps protect Office 365 information. Предоставляя сотрудникам возможности для продуктивной работы, вы также желаете предотвратить потерю данных, как намеренную, так и случайную.While making sure your employees can still be productive, you can also prevent data loss—intentional and unintentional. Внедрив политики уровня приложения, вы можете ограничить доступ к ресурсам организации и оставить данные в поле зрения ИТ-отдела.By implementing app-level policies, you can restrict access to company resources and keep data within the control of your IT department.
Время существования токена Azure ADAzure AD Token Lifetime Вы можете указать время жизни токена, выданного системой Azure Active Directory (Azure AD).You can specify the lifetime of a token issued by Azure Active Directory (Azure AD). Времени жизни токенов можно задать для всех приложений в вашей организации, мультитенантного приложения (охватывающего несколько организаций) или отдельного субъекта-службы в вашей организации.You can set token lifetimes for all apps in your organization, for a multi-tenant (multi-organization) application, or for a specific service principal in your organization.
Брокеры удостоверений (Майкрософт)Microsoft Identity Brokers Для каждой из мобильных платформ корпорация Майкрософт предоставляет приложения, позволяющие разносить учетные данные между приложениями от разных поставщиков, и специальные расширенные функции, которым требуется единое надежное расположение для проверки учетных данных.Microsoft provides applications for every mobile platform that allow for the bridging of credentials across applications from different vendors and allows for special enhanced features that require a single secure place from where to validate credentials. Мы называем их брокерами.We call these brokers. В iOS и Android эти брокеры предоставляются посредством приложений Microsoft Authenticator и корпоративного портала Intune.On iOS and Android these brokers are provided through the Microsoft Authenticator and Intune Company Portal apps. В Windows 10 эта функциональность обеспечивается за счет средства выбора учетных записей, встроенного в операционную систему, которое также называют брокером веб-проверки подлинности.In Windows 10, this functionality is provided by an account chooser built in to the operating system, known technically as the Web Authentication Broker.

Рекомендации по обеспечению безопасностиSecurity best practices and recommendations

Хотя не существует какого-то одного оптимального решения для всех пользовательских сред, статья Рекомендуемые конфигурации и политики безопасности предлагает ряд важных общих подходов, связанных с безопасностью.While there is no single best recommendation for all customer environments, the recommended security policies and configurations article introduces important security best practices concepts to understand. В статье также приводятся общие рекомендации по применению политик и конфигураций в облаке Майкрософт, которые помогут обеспечить защиту и продуктивную работу для ваших сотрудников.This article also describes general Microsoft recommendations about how to apply policy and configuration within the Microsoft cloud to ensure that your employees are both secure and productive.

Общие рекомендации по политикам доступа для удостоверений и устройств включают основные рекомендуемые политики по защите Microsoft 365 Enterprise.General identity and device access policy recommendations describes the common recommended policies to help you secure Microsoft 365 Enterprise. Кроме того, там рассматриваются рекомендуемые конфигурации клиента платформы по умолчанию, обеспечивающие оптимальный единый вход для пользователей, а также технические требования для условного доступа.Also discussed are the default platform client configurations we recommend to provide the best SSO experience to your users, as well as the technical pre-requisites for conditional access.

Политики доступа Exchange OnlineExchange Online access policies

Статья Рекомендуемые политики защиты электронной почты содержит рекомендации Майкрософт по защите электронной почты и почтовых клиентов вашей организации, поддерживающих современную проверку подлинности и условный доступ.Policy recommendations to help secure email provides Microsoft recommendations to help you secure organizational email, and email clients that support Modern Authentication and Conditional Access. Сведения этой статьи дополняют рекомендуемые основные политики доступа для удостоверений и устройств.These recommendations are in addition to the common identity and access policy recommendations.

Политики доступа SharePoint OnlineSharePoint Online access policies

Мы предлагаем рекомендации по защите доступа к файлам SharePoint Online в дополнение к рекомендуемым основным политикам доступа для удостоверений и устройств и рекомендуемым политикам защиты электронной почты.Recommendations are provided to safeguard SharePoint Online file access in addition to the common identity and access policy recommendations and policy recommendations to help secure email. Статья рассказывает, какие новые политики следует создать и как изменить имеющиеся политики для эффективной защиты электронной почты Exchange Online и доступа к файлам SharePoint Online.This article describes the new policies that must be created, and how existing policies should be amended, to protect both Exchange Online email and SharePoint online file access.

Развертывание Windows 10 и "Office 365 профессиональный плюс"Deploy Windows 10 and Office 365 ProPlus

Узнайте, как развернуть Windows 10 и "Office 365 профессиональный плюс", а также интегрировать их в Microsoft Azure Active Directory (Azure AD) или доменные службы Active Directory.Learn how to deploy Windows 10 and Office 365 ProPlus and integrate into Microsoft Azure Active Directory (Azure AD) or on-premises Active Directory Domain Services (AD DS). Разверните Windows 10, "Office 365 профессиональный плюс" и другие бизнес-приложения на новых устройствах или обновите существующие устройства до Windows 10 с помощью Intune, System Center Configuration Manager и групповой политики управления устройствами.Deploy Windows 10, Office 365 ProPlus, and your other line-of-business apps to new devices or upgrade existing devices to Windows 10 using Intune, System Center Configuration Manager, and Group Policy to manage devices.

Дополнительные сведения см. в следующих статьях:For more information, see the following articles:

Если вам требуется помощь при развертывании Microsoft 365, см. описание процесса FastTrack.For deployment assistance with Microsoft 365, contact FastTrack.

Управление обновлениями Windows 10 и "Office 365 профессиональный плюс"Manage updates to Windows 10 and Office 365 ProPlus

В следующих статьях объясняется, как эффективно управлять качеством, а также содержатся обновления для Windows 10 и "Office 365 профессиональный плюс".The following links show you how to gain maximum control over quality and feature updates for Windows 10 and Office 365 ProPlus. Узнайте, как эффективно контролировать использование пропускной способности и получать сведения о новейших функциях, возможностях и обновления системы безопасности Windows и Office.Learn how to effectively control bandwidth usage and keep Windows and Office up-to-date with the newest features, capabilities, and security updates.

Дополнительные сведения см. в следующих статьях:For more information, see the following articles:

Корпорация Майкрософт рекомендует организациям, использующим Configuration Manager для управления обновлениями Windows продолжать делать это для клиентских компьютеров Windows 10. Microsoft encourages organizations currently using Configuration Manager for Windows update management to continue doing so for Windows 10 client computers.

Дальнейшие действияNext steps

Страница продукта Microsoft 365 корпоративный Путеводитель по облачной платформеMicrosoft 365 Enterprise product page Cloud platform roadmap