在基本移动性和安全性中创建设备安全策略

可以使用基本移动性和安全性创建设备策略,帮助保护组织有关Microsoft 365的信息免受未经授权的访问。 可以将策略应用到组织中的任何移动设备,其中设备的用户具有适用的Microsoft 365许可证,并且已在基本移动性和安全性中注册了该设备。

准备工作

重要

在创建移动设备策略之前,必须激活并设置基本移动性和安全性。 有关详细信息,请参阅基本移动性和安全性概述。

  • 了解基本移动性和安全性支持的设备、移动设备应用和安全设置。 请参阅 基本移动性和安全性功能
  • 创建安全组,其中包括要将策略部署到Microsoft 365用户,以及你可能希望排除的用户无法被阻止访问Microsoft 365。 我们建议您先向少量用户部署新策略,以此来测试策略,然后再为组织部署此策略。 可以创建和使用仅包括你自己或少量Microsoft 365用户的安全组,这些用户可以为你测试策略。 若要详细了解安全组,请参阅 创建、编辑或删除安全组
  • 若要在Microsoft 365中创建和部署基本移动性和安全性策略,需要成为Microsoft 365全局管理员。有关详细信息,请参阅安全&合规中心中的权限
  • 在部署策略之前,请让组织了解在基本移动性和安全性中注册设备的潜在影响。 根据设置策略的方式,可能会阻止不合规的设备访问Microsoft 365和数据,包括已注册设备上已安装的应用程序、照片和个人信息,并且可以删除数据。

备注

在基本移动性和安全性中为Microsoft 365 商业标准版创建的策略和访问规则替代在Exchange管理中心创建的Exchange ActiveSync移动设备邮箱策略和设备访问规则。 将设备注册到基本移动性和安全Microsoft 365 商业标准版后,将忽略应用于设备的任何Exchange ActiveSync移动设备邮箱策略或设备访问规则。 若要详细了解Exchange ActiveSync,请参阅Exchange Online中的Exchange ActiveSync

步骤 1:创建设备策略并部署到测试组

在开始之前,请确保已激活并设置基本移动性和安全性。 有关说明,请参阅 基本移动性和安全性概述

  1. 在浏览器中键入 https://compliance.microsoft.com/basicmobilityandsecurity

  2. 选择“创建策略”。

    基本的移动性和安全性策略设置。

  3. 在“ 策略设置” 页上,指定要应用于组织中的移动设备的要求。

  4. 需要管理电子邮件配置文件:启用后,没有基本移动性和安全性管理的电子邮件配置文件的设备被视为不合规。 如果设备未正确定位,或者用户在设备上手动设置电子邮件帐户,则设备不能具有托管电子邮件配置文件。 如果将其保留为 “未启用 ” (默认) ,则不会针对符合性或不符合性评估此设置。 有关选择此选项时用户如何合规的说明,请参阅 找到现有电子邮件帐户

  5. 在“ 是否立即应用此策略? ”页上,选择要将此策略应用到的组。

  6. 选择 “创建此策略”。

策略会推送到每个用户的设备,策略会在下次使用移动设备登录Microsoft 365时应用。 如果用户之前尚未将策略应用到其移动设备,则在部署策略后,他们会在其设备上收到一条通知,其中包含注册和激活基本移动性和安全性的步骤。 有关详细信息,请参阅 使用基本移动性和安全性注册移动设备。 在完成由Intune服务托管的基本移动性和安全性注册之前,对电子邮件、OneDrive和其他服务的访问受到限制。 使用Intune 公司门户应用完成注册后,他们可以使用这些服务,并将策略应用到其设备。

步骤 2:验证策略是否正常工作

创建设备策略后,请先检查策略是否按预期工作,然后再将其部署到组织。

  1. 在浏览器中键入 https://compliance.microsoft.com/basicmobilityandsecurity
  2. 选择 “查看托管设备列表”。
  3. 检查已应用此策略的用户设备的状态。 你希望管理设备的 状态**。**
  4. 还可以通过单击 “工厂重置”或在选择设备后从 “管理”按钮 中删除公司数据,在设备上执行完整或选择性擦除。 有关说明,请参阅 [在 Microsoft 365 中擦除移动设备。

步骤 3:将策略部署到组织

创建设备策略并验证其是否按预期工作后,将其部署到组织。

  1. 从浏览器类型: https://compliance.microsoft.com/basicmobilityandsecurity.
  2. 选择要部署的策略,然后选择 应用到的组 旁边 的“编辑”。
  3. 搜索要添加的组,然后单击 “选择”。
  4. 选择 “关闭 ”和 “更改”设置。
  5. 选择 “关闭 ”和 “编辑”策略。

策略会推送到每个用户的移动设备,策略会在下次从移动设备登录到Microsoft 365时应用。 如果用户尚未将策略应用到其移动设备,则会在设备上收到通知,其中包含注册和激活基本移动性和安全性的步骤。 完成注册后,策略将应用到其设备。 有关详细信息,请参阅 使用基本移动性和安全性注册移动设备

步骤 4:阻止不受支持的设备的电子邮件访问

若要帮助保护组织信息,应阻止应用访问基本移动性和安全性不支持的移动设备的Microsoft 365电子邮件。 有关受支持设备的列表,请参阅 支持的设备

阻止应用访问:

  1. 在浏览器中键入 https://compliance.microsoft.com/basicmobilityandsecurity

  2. 选择 “管理组织范围的设备访问设置”。

  3. 若要阻止不受支持的设备,**请选择“**如果设备不受基本移动性和安全Microsoft 365支持”下的访问,然后选择 “保存”。

    基本移动性和安全性块访问选项。

步骤 5:选择要从条件访问检查中排除的安全组

如果您要从他们的移动设备上的条件访问检查中排除某些人员,并且已为这些人员创建了一个或多个安全组,则在此处添加安全组。 这些组中的人员不会对其支持的移动设备实施任何策略。 如果不再希望在组织中使用基本移动性和安全性,则建议使用此选项。

  1. 在浏览器中键入 https://compliance.microsoft.com/basicmobilityandsecurity

  2. 选择 “管理组织范围的设备访问设置”。

    基本移动性和安全性创建策略选项。

  3. 选择 “添加”以添加包含要排除的用户的安全组,以阻止访问Microsoft 365。 将用户添加到此列表后,他们可以在使用不受支持的设备时访问Microsoft 365电子邮件。

  4. 选择要在 “选择组”面板 中使用的安全组。

  5. 选择名称,然后 添加“保存 > ”。

  6. 组织范围的设备访问设置面板上 ,选择 “保存”。

    基本移动性和安全性允许访问选项。

安全策略对不同设备类型的影响是什么?

将策略应用于用户设备时,对每个设备的影响在设备类型之间略有不同。 请查看以下示例表,了解策略对不同设备的影响。

安全策略 Android 三星KNOX iOS 备注
需要加密备份 需要iOS加密备份。
阻止云备份 阻止在 Android 上进行 Google 备份(灰显),阻止在 iOS 上进行云备份。
阻止文档同步 iOS:阻止云中的文档。
阻止照片同步 iOS(本机):阻止照片流。
阻止屏幕捕获 在尝试时被阻止。
阻止视频会议 faceTime 在iOS上被阻止,而不是在Skype或其他位置被阻止。
阻止发送诊断数据 阻止在 Android 上发送 Google 故障报告。
阻止对应用商店的访问 应用商店图标在 Android 主页上缺失,在 Windows 上禁用,在 iOS 上缺失。
要求提供应用商店的密码 iOS:购买 iTunes 所需的密码。
阻止连接到可移动存储 不适用 Android:SD 卡在设置中灰显,Windows通知用户,安装的应用不可用
阻止蓝牙连接 请参阅笔记 请参阅笔记 无法在Android上禁用 BlueTooth 作为设置。 相反,我们将禁用所有需要 BlueTooth 的事务:高级音频分发、音频/视频远程控制、免提设备、耳机、电话书籍访问和串行端口。 使用以上任一项时,页面底部将显示一个小型 Toast 消息。

当您删除策略或从策略中删除用户时,会发生什么情况?

删除策略或从策略部署到的组中删除用户时,可能会从用户的设备中删除策略设置、Microsoft 365电子邮件配置文件和缓存的电子邮件。 请参阅下表,了解为不同设备类型删除的内容。

删除的内容 iOS 包括三星KNOX在内的Android (
托管电子邮件配置文件1
阻止云备份

1 如果策略部署时选择了“ 电子邮件配置文件 ”选项,则会从用户设备中删除该配置文件中的托管电子邮件配置文件和缓存电子邮件。

策略将从移动设备中删除,策略适用于下一次使用基本移动性和安全性签入的设备。 如果部署适用于这些用户设备的新策略,系统会提示他们重新注册基本移动性和安全性。

还可以完全擦除设备,也可以有选择地擦除设备中的组织信息。 有关详细信息,请参阅 在基本移动性和安全性中擦除移动设备

基本移动性和安全 性 (文章概述)
基本移动性和安全 性 (功能)