Настройка Basic Mobility + SecuritySet up Basic Mobility and Security

Встроенная базовая мобильность и безопасность для Microsoft 365 позволяет обеспечить безопасность и управление мобильными устройствами пользователей, такими как iPhone, iPad, Android и Windows.The built-in Basic Mobility and Security for Microsoft 365 helps you secure and manage users' mobile devices such as iPhones, iPads, Androids, and Windows phones. Вы можете создавать политики безопасности устройств и управлять ими, удаленно очищать устройства и просматривать подробные отчеты об устройствах.You can create and manage device security policies, remotely wipe a device, and view detailed device reports.

Есть вопросы?Have questions? Вопросы часто задаваемой вопросы см. в справке Basic Mobility and Security Frequently-asked questions (FAQ).For a FAQ to help address common questions, see Basic Mobility and Security Frequently-asked questions (FAQ). Следует помнить, что для управления базовой мобильностью и безопасностью нельзя использовать делегированную учетную запись администратора.Be aware that you cannot use a delegated administrator account to manage Basic Mobility and Security. Дополнительные сведения см. в сайте Partners: Предложение делегирования администрирования.For more info, see Partners: Offer delegated administration.

Управление устройствами является частью Центра & безопасности, поэтому вам потребуется перейти туда, чтобы приумнотить базовую настройку мобильности и безопасности.Device management is part of the Security & Compliance Center so you'll need to go there to kick off Basic Mobility and Security setup.

Активация службы базовой мобильности и безопасностиActivate the Basic Mobility and Security service

  1. Во входе в Microsoft 365 с учетной записью глобального администратора.Sign in to Microsoft 365 with your global admin account.

  2. Перейдите к активации базовой мобильности и безопасности.Go to Activate Basic Mobility and Security.

    Активация basic Mobility и Security может занять некоторое время.It can take some time to activate Basic Mobility and Security. По его завершению вы получите сообщение электронной почты с объяснением следующих действий.When it finishes, you'll receive an email that explains the next steps to take.

Настройка управления мобильными устройствамиSet up Mobile Device Management

Когда служба будет готова, выполните следующие действия, чтобы завершить настройку.When the service is ready, complete the following steps to finish setup.

Шаг 1. (Обязательно) Настройка доменов для базовой мобильности и безопасностиStep 1: (Required) Configure domains for Basic Mobility and Security

Если у вас нет настраиваемой области, связанной с Microsoft 365, или если вы не управляете устройствами Windows, вы можете пропустить этот раздел.If you don't have a custom domain associated with Microsoft 365 or if you're not managing Windows devices, you can skip this section. В противном случае необходимо добавить записи DNS для домена на вашем DNS-хозяйте.Otherwise, you'll need to add DNS records for the domain at your DNS host. Если вы уже добавили записи в рамках настройки домена с Помощью Microsoft 365, вы все настроены.If you've added the records already, as part of setting up your domain with Microsoft 365, you're all set. После добавления записей пользователи Microsoft 365 в организации, вписавшиеся на свое устройство Windows с адресом электронной почты, использующим настраиваемый домен, перенаправляются для регистрации в Basic Mobility and Security.After you add the records, Microsoft 365 users in your organization who sign in on their Windows device with an email address that uses your custom domain are redirected to enroll in Basic Mobility and Security.

Нужна помощь в настройке записей?Need help setting up the records? Найдите регистратор домена и выберите имя регистратора, чтобы пошаговая помощь по созданию записи DNS в списке, представленном в записях Добавить DNS для подключения домена.Find your domain registrar and select the registrar name to go to step-by-step help for creating DNS record in the list provided in Add DNS records to connect your domain. Используйте эти инструкции для создания записей CNAME, описанных в программе Упрощение регистрации Windows без Azure AD Premium.Use those instructions to create CNAME records described in Simplify Windows enrollment without Azure AD Premium.

После добавления двух записей CNAME перейдите в Центр & безопасности и перейдите к управлению устройствами для предотвращения потери данных, чтобы выполнить >   следующий шаг.After you add the two CNAME records, go back to the Security & Compliance Center and go to Data loss prevention > Device management to complete the next step.

Шаг 2. (Обязательно) Настройка сертификата APNs для устройств iOSStep 2: (Required) Configure an APNs Certificate for iOS devices

Чтобы управлять устройствами iOS, например iPad и iPhone, необходимо создать сертификат APNs.To manage iOS devices like iPad and iPhones, you need to create an APNs certificate.

  1. Во входе в Microsoft 365 с учетной записью глобального администратора.Sign in to Microsoft 365 with your global admin account.

  2. В типе браузера:  https://protection.office.com .In your browser type: https://protection.office.com.

  3. Выберите  управление устройствами для предотвращения   >  потери данных и выберите сертификат APNs для устройств iOS.Select  Data loss prevention > Device management, and choose APNs Certificate for iOS devices.

  4. На странице Параметры сертификата push-уведомления Apple выберите Далее.On the Apple Push Notification Certificate Settings page, choose Next.

  5. Выберите Скачайте CSR-файл и сохраните запрос на подписание сертификата на вашем компьютере, который   запомнится.Select Download your CSR file and save the Certificate signing request to somewhere on your computer that you'll remember. Выберите Далее.Select Next.

  6. На странице Создание сертификата APNs:On the Create an APNs certificate page:

    • Выберите портал APNS Apple, чтобы открыть портал push-сертификатов Apple.Select Apple APNS Portal to open the Apple Push Certificates Portal.

    • Sign in with an Apple ID.Sign in with an Apple ID.

      Важно!

      Use a company Apple ID associated with an email account that will remain with your organization even if the user who manages the account leaves. Save this ID because you'll need to use the same ID when it's time to renew the certificate.Use a company Apple ID associated with an email account that will remain with your organization even if the user who manages the account leaves. Save this ID because you'll need to use the same ID when it's time to renew the certificate.

    • Выберите Создать сертификат и принять условия использования.Select Create a Certificate and accept the Terms of Use.

    • Просмотрите запрос на подписание сертификата, загруженный на компьютер из Microsoft 365 и selectUpload.Browse to the Certificate signing request you downloaded to your computer from Microsoft 365 and selectUpload.

    • Download the APN certificate created by the Apple Push Certificate Portal to your computer.Download the APN certificate created by the Apple Push Certificate Portal to your computer.

      Совет

      If you're having trouble downloading the certificate, refresh your browser.If you're having trouble downloading the certificate, refresh your browser.

  7. Возвращайся к Microsoft 365 и выберите Далее.Go back to Microsoft 365 and select Next.

  8. Browse to the APN certificate you downloaded from the Apple Push Certificates Portal.Browse to the APN certificate you downloaded from the Apple Push Certificates Portal.

  9. Выберите  Готово.Select  Finish.

MFA помогает обеспечить вход в Microsoft 365 для регистрации мобильных устройств, требуя второй формы проверки подлинности.MFA helps secure the sign in to Microsoft 365 for mobile device enrollment by requiring a second form of authentication. Пользователи должны подтвердить телефонный звонок, текстовое сообщение или уведомление о приложении на своем мобильном устройстве после правильного ввода пароля учетной записи работы.Users are required to acknowledge a phone call, text message, or app notification on their mobile device after correctly entering their work account password. Они могут записать свое устройство только после завершения второй формы проверки подлинности.They can enroll their device only after this second form of authentication is completed. После регистрации устройств пользователей в Basic Mobility and Security пользователи могут получать доступ к ресурсам Microsoft 365 только с рабочей учетной записью.After user devices are enrolled in Basic Mobility and Security, users can access Microsoft 365 resources with only their work account.

Чтобы узнать, как включить MFA на портале Azure AD, см. в этой ссылке Настройка многофакторной проверки подлинности.To learn how to turn on MFA in the Azure AD portal, see Set up multi-factor authentication.

После настройка MFA возвращайтесь в Центр & безопасности и **** перейдите к политикам управления устройствами управления устройствами для предотвращения потери данных, чтобы выполнить   >   >  ****   следующий шаг.After you set up MFA, go back to the Security & Compliance Center and navigate to  Data loss prevention > Device management > Device policies to complete the next step.

Следующий шаг — создание и развертывание политик безопасности устройств для защиты данных организации Microsoft 365.The next step is to create and deploy device security policies to help protect your Microsoft 365 organization data. Например, вы можете предотвратить потерю данных, если пользователь теряет устройство, создав политику блокировки устройств после пяти минут бездействия и стирая устройства после трех сбоев при входе.For example, you can help prevent data loss if a user loses their device by creating a policy to lock devices after five minutes of inactivity and wipe devices after three sign-in failures.

  1. Во входе в Microsoft 365 с учетной записью глобального администратора.Sign in to Microsoft 365 with your global admin account.

  2. Выберите активировать управление мобильными устройствами.Select Activate Mobile Device Management. Если служба активирована, вместо действий активации вы увидите ссылку на управление устройствами.If the service is activated, instead the activation steps you'll see a link to Manage Devices .

  3. Перейдите к политикам устройства.Go to Device policies.

    Основные параметры политики безопасности и мобильности

  4. Создание и развертывание политик безопасности устройств, соответствующих вашей организации, в соответствии с действиями в Области создания политик безопасности устройств в Basic Mobility and Security.Create and deploy device security policies appropriate for your organization following the steps in Create device security policies in Basic Mobility and Security.

Совет

  • При создании новой политики может потребоваться установить политику, чтобы разрешить доступ и сообщать о нарушении политики, если устройство пользователя не соответствует политике.When you create a new policy, you might want to set the policy to allow access and report policy violation where a user device isn't compliant with the policy. Это позволяет увидеть, сколько мобильных устройств влияет на политику, не блокируя доступ к Microsoft 365.This allows you see how many mobile devices are impacted by the policy without blocking access to Microsoft 365.

  • Перед развертыванием новой политики для всех сотрудников организации рекомендуется протестировать ее на устройствах, используемых небольшим числом пользователей.Before you deploy a new policy to everyone in your organization, we recommend you test it on the devices used by a small number of users.

  • Кроме того, перед развертыванием политик дайте организации знать о потенциальных последствиях регистрации устройства в Basic Mobility and Security.Also, before you deploy policies, let your organization know the potential impacts of enrolling a device in Basic Mobility and Security. В зависимости от того, как настроить политики, устройства, не соответствующие политикам (устройства, не соответствующие требованиям), могут быть заблокированы для доступа к Microsoft 365.Depending on how you set up the policies, devices that don't comply with policies (non-compliant devices) could be blocked from accessing Microsoft 365. На устройствах, не совместимых с установленными приложениями, фотографиями и другими персональными данными, которые на зарегистрированных устройствах могут быть удалены в случае стирки устройства.Non-compliant devices might also have apps installed, photos, and other personal information which, on an enrolled device, could be deleted if the device is wiped. Дополнительные сведения см. в приложении Wipe a mobile device in Basic Mobility and Security.For more info, see Wipe a mobile device in Basic Mobility and Security.

Убедитесь, что пользователи зачислили свои устройстваMake sure users enroll their devices

После создания и развертывания политики управления мобильными устройствами каждый лицензированный пользователь Microsoft 365 в организации, применяемой политикой устройств, получает сообщение о регистрации при следующем входе в Microsoft 365 с мобильного устройства.After you've created and deployed a mobile device management policy, each licensed Microsoft 365 user in your organization that the device policy applies receives an enrollment message the next time they sign into Microsoft 365 from their mobile device. Они должны выполнить действия по регистрации и активации, прежде чем они смогут получить доступ к электронной почте и документам Microsoft 365.They must complete the enrollment and activation steps before they can access Microsoft 365 email and documents. Дополнительные сведения см. в записи мобильного устройства с помощью Basic Mobility and Security.For more info, see Enroll your mobile device using Basic Mobility and Security.

Важно!

Если предпочтительный язык пользователя не поддерживается процессом регистрации, пользователи могут получать уведомления о регистрации и шаги на мобильных устройствах на другом языке.If a user's preferred language isn't supported by the enrollment process, users might receive enrollment notification and steps on their mobile devices in another language. Не все языки, поддерживаемые в Microsoft 365, в настоящее время поддерживаются для процесса регистрации на мобильных устройствах.Not all languages supported in Microsoft 365 are currently supported for the enrollment process on mobile devices.

Пользователи с устройствами Android или iOS должны установить приложение портала компании в рамках процесса регистрации.Users with Android or iOS devices are required to install the Company Portal app as part of the enrollment process.

Возможности Basic Mobility + SecurityCapabilities of Basic Mobility and Security
Создание политик безопасности устройств в Basic Mobility and SecurityCreate device security policies in Basic Mobility and Security