基本行動與安全性的功能

基本行動性和安全性可協助您保護和管理行動裝置,例如 iphone、ipad、Androids 和 Windows 電話,以供組織中的授權 Microsoft 365 使用者使用。 您可以建立行動裝置管理原則,其設定可協助控制存取您組織的 Microsoft 365 電子郵件和檔,以供支援的行動裝置和應用程式使用。 如果裝置遺失或遭盜,您可以遠端清除裝置,以移除敏感的組織資訊。

支援的作業系統

請遵循《 Microsoft Intune 作業系統手冊》,以取得使用基本行動性及安全性之裝置的支援作業系統。 如需詳細資訊,請參閱 Intune 支援的作業系統

注意

已註冊舊版作業系統的裝置仍可運作,但功能可能會變更,恕不另行通知。

如果您組織中的人員使用基本行動性和安全性不支援的行動裝置,您可能想要封鎖 Microsoft 365 電子郵件的 Exchange ActiveSync 應用程式存取權,讓組織的資料更加安全。 如需封鎖 Exchange ActiveSync 的步驟,請參閱管理基本行動性和安全性中的裝置存取設定

Microsoft 365 電子郵件和檔的存取控制

下表中不同類型的行動裝置支援的應用程式,會提示使用者在基本行動裝置管理原則上登錄,並在其中加入新的行動裝置管理原則,該原則會套用至使用者的裝置,而且使用者先前尚未註冊裝置。 如果使用者的裝置不符合原則,視您設定原則的方式而定,使用者可能會遭到封鎖,無法存取這些應用程式中的 Microsoft 365 資源,也可能具有存取權,但 Microsoft 365 會報告原則違規。

產品 iOS 10.0 或更新版本 Android 5.0 或更新版本
Exchange Exchange ActiveSync 包含內建的電子郵件和協力廠商的應用程式,例如 TouchDown,使用 Exchange ActiveSync 版本14.1 或更新版本。 郵件 電子郵件
Office   和  商務用 OneDrive Outlook
OneDrive
Word
Excel
PowerPoint
在手機和平板電腦上
Outlook
OneDrive
Word
Excel
PowerPoint
僅限電話:
Office Mobile

注意

  • 支援 iOS 10.0 和更新版本包括 iPhone 和 iPad 裝置。
  • 基本的安全性和行動性不支援 BlackBerry OS 裝置的管理。 使用 BlackBerry Business 雲端服務 (BBCS) 從 BlackBerry 管理 BlackBerry 作業系統裝置。 支援執行 Android 作業系統的 Blackberry 裝置作為標準 Android 裝置
  • 如果使用者使用行動瀏覽器來存取 Microsoft 365 SharePoint 網站、檔 Office 線上或 Outlook Web App 中的電子郵件,則不會提示使用者進行註冊,也不會對原則加以舉報。

下圖顯示當具有新裝置的使用者利用基本行動性和安全性,登入支援存取控制的應用程式時會發生什麼情況。 使用者在註冊其裝置之前,系統會封鎖使用者存取應用程式中的 Microsoft 365 資源。

基本行動性和安全性存取控制。

注意

在 Microsoft 365 商務標準版基本行動性和安全性中建立的原則和存取規則,會覆寫 Exchange 系統管理中心建立 Exchange ActiveSync 行動裝置信箱原則和裝置存取規則。 在 Microsoft 365 商務標準版的基本行動性和安全性中,裝置註冊後,就會忽略套用至裝置的任何 Exchange ActiveSync 行動裝置信箱原則或裝置存取規則。 若要深入瞭解 Exchange ActiveSync,請參閱 Exchange Online 中的 Exchange ActiveSync

行動裝置的原則設定

如果您建立一個原則,以在開啟特定設定時封鎖存取,當您使用Microsoft 365 電子郵件和檔的存取控制中所列的支援應用程式時,系統會封鎖使用者存取 Microsoft 365 資源。

可以封鎖使用者存取 Microsoft 365 資源的設定包括下列各節:

  • 安全性

  • 加密

  • 越獄中斷

  • 受管理的電子郵件設定檔

例如,下圖顯示使用已註冊裝置的使用者不符合套用至其裝置之行動裝置管理原則中的安全性設定時,會發生什麼情況。 使用者可使用基本行動性和安全性登入支援存取控制的應用程式。 在裝置符合安全性設定之前,系統會封鎖他們存取應用程式中的 Microsoft 365 資源。

基本行動及安全性合規性訊息。

下列各節列出您可以用來協助保護和管理與 Microsoft 365 組織資源相連之行動裝置的原則設定。

安全性設定

設定名稱 iOS 7.1 和更新版本 Android 5 及更新版本 Samsung Knox
需要密碼
防止簡單密碼
需要一個數位元密碼
密碼最小長度
擦除裝置之前的登入失敗次數
鎖定裝置之前的閒置分鐘
密碼到期 (天)
記住密碼歷程記錄,並防止重複使用

加密設定

設定名稱 iOS 7.1 和更新版本 Android 5 及更新版本 Samsung Knox
裝置1上需要資料加密

1使用 Samsung Knox,您也可以要求在儲存卡上加密。

越獄中斷設定

設定名稱 iOS 7.1 和更新版本 Android 5 及更新版本 Samsung Knox
無法越獄中斷或根裝置

受管理的電子郵件設定檔選項

下列選項可以封鎖使用者在使用手動建立的電子郵件設定檔時存取其 Microsoft 365 電子郵件。 IOS 裝置上的使用者必須先刪除其手動建立的電子郵件設定檔,才能存取其電子郵件。 在刪除設定檔之後,系統會自動在裝置上建立新的設定檔。 如需使用者如何相容的相關指示,請參閱 找到現有的電子郵件帳戶

設定名稱 iOS 7.1 和更新版本 Android 5 及更新版本 Samsung Knox
電子郵件設定檔已管理

雲端設定

設定名稱 iOS 7.1 和更新版本 Android 5 及更新版本 Samsung Knox
需要加密備份
封鎖雲端備份
封鎖檔同步處理
封鎖照片同步處理
允許 Google 備份 不適用
允許 Google 帳戶自動同步處理 不適用

系統設定

設定名稱 iOS 7.1 和更新版本 Android 5 及更新版本 Samsung Knox
封鎖螢幕捕捉
封鎖從裝置傳送診斷資料

應用程式設定

設定名稱 iOS 7.1 和更新版本 Android 5 及更新版本 Samsung Knox
在裝置上封鎖影片會議
封鎖對應用程式存放區的存取
存取應用程式存放區時需要密碼

裝置功能設定

設定名稱 iOS 7.1 和更新版本 Android 5 及更新版本 Samsung Knox
使用 [可移動儲存區] 封鎖連線
封鎖藍牙連接

其他設定

您可以使用安全性 & 合規性中心 PowerShell Cmdlet 來設定下列其他原則設定。 如需詳細資訊,請參閱 安全性 & 規範中心 PowerShell

設定名稱 iOS 7.1 和更新版本 Android 5 及更新版本
CameraEnabled
RegionRatings
MoviesRatings
TVShowsRating
AppsRatings
AllowVoiceDialing
AllowVoiceAssistant
AllowAssistantWhileLocked
AllowPassbookWhileLocked
MaxPasswordGracePeriod
PasswordQuality
SystemSecurityTLS
WLANEnabled

Windows 支援設定

您可以將 Windows 10 裝置登記為行動裝置,以管理這些裝置。 在部署適用的原則之後,使用 Windows 10 裝置的使用者在第一次使用內建的電子郵件應用程式存取其 Microsoft 365 電子郵件時,就會需要登錄基本行動和安全性 (需要 Azure AD 優質訂閱) 。

以行動裝置註冊的 Windows 10 裝置支援下列設定。 這些設定不會封鎖使用者存取 Microsoft 365 資源。

安全性設定

  • 需要一個數位元密碼

  • 密碼最小長度

  • 擦除裝置之前的登入失敗次數

  • 鎖定裝置之前的閒置分鐘

  • 密碼到期 (天)

  • 記住密碼歷程記錄,並防止重複使用

注意

下列設定控制密碼只會控制本機 Windows 帳戶。 透過「加入網域」或「Azure Active Directory」所提供的 Windows 帳戶,這些設定不會受到影響。

系統設定

封鎖從裝置發送診斷資料。

其他設定

您可以使用 PowerShell Cmdlet 來設定這些額外的原則設定:

  • AllowConvenienceLogon

  • UserAccountControlStatus

  • FirewallStatus

  • AutoUpdateStatus

  • AntiVirusStatus

  • AntiVirusSignatureStatus

  • SmartScreenEnabled

  • WorkFoldersSyncUrl

遠端清除行動裝置

如果裝置遺失或遭盜,您可以移除敏感的組織資料,並透過從安全性 & 相容性中心進行擦除,>資料遺失防護 > 裝置管理,來防止存取 Microsoft 365 組織資源。 您可以進行選擇性擦除,只移除組織資料或完全清除,以刪除裝置中的所有資訊,並將其還原為出廠設定。

如需詳細資訊,請參閱 在基本行動及安全性中清除行動裝置

Microsoft 365 (篇文章的基本行動性和安全性的概述)
在基本行動及安全性 (文章) 中建立裝置安全性原則