适用于 Office 的云策略服务Microsoft 365 企业应用版

使用Office 云策略服务,可以在用户设备上强制设置以前Microsoft 365 企业应用版 (名为 Office 365 专业增强版) 的 Office 365 专业增强版) 的策略设置,即使设备未加入域或以其他方式进行管理。 用户在设备上登录 Microsoft 365 企业应用版时,策略设置将漫游到该设备。 还可以对已登录的用户和匿名访问Office 网页版用户强制实施一些策略设置。

云Office服务是门户的一部分用于管理Microsoft 365 企业应用版。 该服务包括许多相同的基于用户的策略设置,这些设置在组策略中可用。 也可以直接使用 Microsoft Endpoint Manager 管理中心 中的 Office 云策略服务。

创建策略配置时,可以检查并应用 Microsoft 建议用作安全基线策略的策略。 选择策略时,这些建议将标记为"安全基线"。

使用云Office服务的要求

以下是在云策略服务Office云策略服务Microsoft 365 企业应用版:

  • 版本至少为版本 1808 Microsoft 365 企业应用版。
  • 在 中创建或同步到 Azure Active Directory (AAD) 。 必须使用基于 Microsoft 365 企业应用版 的帐户AAD登录用户。
  • Office云策略服务支持在云中创建的安全组和启用邮件Azure AD。 成员身份类型可以是"动态"或"已分配"。
  • 若要创建策略配置,必须在"全局管理员"Azure Active Directory (AAD) "安全管理员"或"应用管理员"Office角色之一。必须将角色分配给用户帐户。 目前,AAD策略服务不支持分配给组Office角色。
  • 必须在网络中正确配置所需的 URL 和 IP 地址范围。

重要

  • Office云策略服务不适用于具有以下计划的客户:由世纪Office 365运营的 Office 365 GCC 或 Office 365 GCC High and DoD。
  • 策略配置不能应用于使用即点即Office的批量许可版本,例如 Office LTSC 专业增强版 2021 或 Office Standard 2019。
  • 你可以为用户创建策略Microsoft 365 商业应用版,但仅支持与隐私控件相关的策略设置。 有关详细信息,请参阅使用策略设置来管理 Microsoft 365 企业应用版的隐私控制

创建策略配置的步骤

下面是创建策略配置的基本步骤。

  1. 登录到门户 查看条款,然后选择"接受 "。
  2. "自定义" 下,选择 "策略管理"。
  3. 在"策略配置" 页上,选择"创建"。
  4. 在" 创建策略配置" 页上,执行以下操作:
    • 输入名称。
    • 提供可选 (说明) 。
    • 在"分配"中,选择此策略是适用于所有Microsoft 365 企业应用版用户,还是仅适用于使用 Office 网页版 匿名访问文档的用户。
    • 选择AAD策略配置的基于组的安全组。 每个策略配置只能分配给一个组,每个组只能分配一个策略配置。
    • 配置要包含在策略配置中的策略设置。 可以搜索策略设置名称以查找要配置的策略设置。 还可以筛选应用程序、策略是否是建议的安全基线,以及策略是否已配置。 平台列指示策略是应用于Microsoft 365 企业应用版设备Windows应用Office 网页版还是全部应用。
  5. 选择后,选择"创建 "。

若要更改策略配置,请在"策略配置"页上选择策略 配置,然后选择"编辑 "。 进行相应的更改,然后选择"保存 "。 可以通过筛选状态来查找配置的策略。

如果要创建类似于现有策略配置的新策略配置,请在"策略配置"页上选择现有策略配置,然后选择"从 复制"。 进行相应的更改,然后选择"保存 "。

管理策略配置

"策略配置"页上显示了每个策略配置的运行状况,包括是否已将策略应用到该组中的 客户端 设备。 若要了解有关任何错误的更多详细信息,可以单击策略配置的运行状况。

若要在编辑策略配置时查看配置了哪些策略,请选择"状态 ",然后选择"已 配置"。 还可以按应用程序进行筛选。

若要更改策略配置的优先级顺序,请单击"策略配置" 页上 的"重新 排序优先级 "。

策略配置的应用方式

用户使用的即点即用服务Microsoft 365 企业应用版定期检查 Office 云策略服务,以查看是否有与用户相关的任何策略配置。 如果存在,则应用相应的策略设置,并会在用户下次打开应用时生效Office 应用 Word 或 Excel。

例如,当用户首次Office登录设备时,将立即检查是否有与用户相关的策略配置。 如果用户不是分配了策略AAD组的成员,则 24 小时内再次执行另一次检查。 如果用户是分配了策略AAD组的成员,则应用相应的策略设置,然后在 90 分钟内再次执行检查。 如果发生错误,当用户打开 Word 或 Office 应用 等应用时,将进行Excel。 如果在Office检查时没有运行任何应用,则下次用户打开应用时将进行Office 应用。

备注

只有在重启Office策略时,才应用Office 应用策略。 行为与组策略相同。 对于Windows设备,策略是根据登录到 Microsoft 365 企业应用版 的主用户强制实施的。 如果有多个帐户登录,则仅应用主帐户的策略。 如果主帐户已切换,则分配给该帐户大多数策略在重新启动应用之前Office应用。 与隐私控制相关的某些策略将适用,而不会重启任何Office应用。

如果用户是具有冲突策略AAD多个组的成员,则优先级用于确定应用了哪个策略设置。 应用最高优先级,"0"是可分配的最高优先级。 可以通过在"策略配置"页上选择 "重新排序优先级 " 来设置 优先级。

此外,使用 Office 云策略服务实现的策略设置优先于在 Windows 服务器上使用组策略实现的策略设置,并优先于首选项设置或本地应用的策略设置。

有关云Office服务的其他信息

  • 仅基于用户的策略设置可用。 基于计算机的策略设置不可用。
  • 当新的基于用户的策略设置可用于 Office 时,Office云策略服务会自动添加这些设置。 无需通过 ADMX/ADML (更新的管理模板) 。
  • 还可以创建策略配置,以应用版本 1808 或更高版本的订阅版本的策略设置,Project桌面Visio应用。
  • Microsoft 365 企业应用版 (版本 1808 以及 Project 和 Visio 桌面应用的订阅版本) 在当前频道、每月 Enterprise 频道、Semi-Annual Enterprise 频道 (预览版) 和 Semi-Annual Enterprise 频道中提供。 有关Microsoft 365 企业应用版信息,请参阅 Microsoft 365 应用版的更新历史记录
  • 如果用户位于嵌套组中,并且父组针对策略,则嵌套组的用户将收到策略。

故障排除提示

如果预期策略未正确应用到用户的设备,请尝试以下操作:

  • 确保用户已登录到 Microsoft 365 企业应用版,已激活,并且具有有效的许可证。
  • 确保用户属于相应的安全组。
  • 检查策略配置的优先级。如果用户位于分配了策略配置的多个安全组中,则策略配置的优先级决定了哪些策略生效。
  • 在某些情况下,如果具有不同策略的两个用户在同一设备上登录Office 365同一会话期间登录,则可能无法正确Windows策略。
  • 从云策略服务Office的策略设置存储在注册表的"HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0"。 每次在签入过程中从策略服务检索新策略集时,将覆盖此密钥。
  • 策略服务签入活动存储在注册表HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy。 删除此密钥并重启 Office 应用将触发策略服务,以在下次启动 Office 应用时签入。