Microsoft 365 企业应用版的Office云策略服务概述

Office云策略服务允许你对用户设备上的Microsoft 365 企业应用版强制实施策略设置,即使设备未加入域或以其他方式进行管理。 用户在设备上登录 Microsoft 365 企业应用版时,策略设置将漫游到该设备。 策略设置适用于运行 Windows、macOS、iOS 和 Android 的设备,尽管并非所有策略设置都适用于所有操作系统。 你还可以对Office 网页版强制执行一些策略设置,既适用于已登录的用户,也适用于匿名访问文档的用户。

Office云策略服务是Microsoft 365 应用版管理中心的一部分。 该服务包括许多在组策略中可用的基于用户的策略设置。 还可以直接在Microsoft Endpoint Manager 管理中心下的 AppsPolicyPolicies > > 下 Office应用使用Office 云策略服务。

创建策略配置时,可以查看和应用 Microsoft 建议的策略作为安全基线策略。 选择策略时,这些建议标记为“安全基线”。

使用Office云策略服务的要求

下面是将Office云策略服务与Microsoft 365 企业应用版配合使用的要求:

  • 支持的Microsoft 365 企业应用版版本
  • 在Azure Active Directory (Azure AD) 中创建或同步的用户帐户。 用户必须使用基于Azure AD的帐户登录到Microsoft 365 企业应用版。
  • Office云策略服务支持在Azure AD中创建或同步的安全组和启用邮件的安全组。 成员身份类型可以是动态的,也可以是分配的。
  • 若要创建策略配置,必须在Azure AD中分配以下角色之一:全局管理员、安全管理员或Office应用管理员。该角色必须分配给用户帐户。 目前,分配给组的Azure AD角色不受Office云策略服务的支持。
  • 必须在网络上正确配置 所需的 URL 和 IP 地址范围

重要

  • Office云策略服务不适用于Office 365由世纪互联运营的客户。
  • 对于拥有 Office 365 GCC、GCC High 或 DoD 的客户,预计支持将于 2022 年 4 月和 5 月提供。 有关详细信息, 请阅读此博客文章
  • 策略配置不能应用于使用即点即用的批量许可版本的Office,例如 Office LTSC 专业增强版 2021 或 Office Standard 2019。
  • 可以为Microsoft 365 商业应用版创建策略配置,但仅支持与隐私控制相关的策略设置。 有关详细信息,请参阅使用策略设置来管理 Microsoft 365 企业应用版的隐私控制

创建策略配置的步骤

以下是创建策略配置的基本步骤。

  1. 登录到Microsoft 365 应用版管理中心。 如果这是第一次,请查看条款,然后选择 “接受”。
  2. “自定义” 下,选择“ 策略管理”。
  3. 在“ 策略配置”页上 ,选择 “创建”。
  4. “基础知识开始” 页上,输入所需的名称 () 和说明 (可选) ,然后选择 “下一步”。
  5. “选择范围”页上,选择策略配置是适用于特定组,还是适用于使用Office 网页版匿名访问文档的用户。
  6. 如果策略配置适用于特定组,请选择该组。 每个策略配置只能分配给一个组,每个组只能分配一个策略配置。 但是选择的组可以包含其他 (嵌套) 组。
  7. 进行选择后,选择 “下一步”。
  8. 在“配置设置”页上,选择要包含在策略配置中的策略。 可以按名称搜索策略,也可以创建自定义筛选器。 可以按应用程序在平台上筛选策略是否已配置,以及策略是否为建议的安全基线。
  9. 进行选择后,选择 “下一步 ”以查看所选内容。 然后选择 “创建 ”以创建策略配置。

管理策略配置

若要更改策略配置,请在“策略配置”页上选择策略 配置 ,然后选择 “编辑”。 进行适当的更改,然后选择 “更新”。

如果要创建类似于现有策略配置的新策略配置,请在“策略配置”页上选择现有策略 配置 ,然后选择 “复制”。 进行适当的更改,然后选择 “创建”。

若要查看在编辑策略配置时配置的策略,请导航到“策略 ”部分, 然后按 “状态” 列进行筛选,或选择策略表顶部 的“已配置的 切片器”。 还可以按应用程序和平台进行筛选。

若要更改策略配置的优先级顺序,请在“策略 配置”页上选择 “重新排序优先级”。

策略配置的应用方式

Microsoft 365 企业应用版使用的即点即用服务定期与Office云策略服务进行检查,以查看是否有与用户相关的任何策略配置。 如果存在,则应用相应的策略设置,并在用户下次打开Office 应用时生效,例如 Word 或 Excel。

下面是所发生情况的摘要:

  • 当用户首次登录到设备上的Office时,会立即进行检查,以查看是否有与用户相关的策略配置。

  • 如果用户不是分配有策略配置的Azure AD组的成员,则在 24 小时内再次进行另一次检查。

  • 如果用户是分配有策略配置的Azure AD组的成员,则应用相应的策略设置,并在 90 分钟内再次进行检查。

  • 如果自上次检查以来对策略配置进行了任何更改,则会应用相应的策略设置,并在 90 分钟内再次进行另一次检查。

  • 如果自上次检查以来未对策略配置进行任何更改,则会在 24 小时内再次进行另一次检查。

  • 如果出现错误,则在用户打开Office 应用(如 Word 或 Excel)时进行检查。

  • 如果在下一次检查计划时未运行Office应用,则下次用户打开Office 应用时将进行检查。

备注

  • 仅在重启Office 应用时才应用Office云策略服务中的策略。 此行为与组策略相同。 对于Windows设备,策略是根据登录到Microsoft 365 企业应用版的主要用户强制实施的。 如果有多个帐户登录,则仅应用主帐户的策略。 如果切换了主帐户,则分配给该帐户的大部分策略在重启Office应用之前将不适用。 一些与隐私控制相关的策略将应用而不重启任何Office应用。

  • 如果用户位于嵌套组中,并且父组是策略的目标,则嵌套组中的用户将收到策略。 嵌套组和这些嵌套组中的用户必须在其中创建或同步到Azure AD。

如果用户是具有冲突策略设置的多个Azure AD组的成员,则优先级用于确定应用的策略设置。 应用最高优先级,其中“0”是可以分配的最高优先级。 可以通过在“策略 配置”页上选择 “重新排序优先级”来设置优先级。

此外,使用Office云策略服务实现的策略设置优先于在Windows服务器上使用组策略实现的策略设置,并且优先于首选项设置或本地应用的策略设置。

有关Office云策略服务的其他信息

  • 只有基于用户的策略设置可用。 基于计算机的策略设置不可用。
  • 由于新的基于用户的策略设置可用于Office,Office云策略服务将自动添加它们。 无需下载更新的管理模板文件 (ADMX/ADML) 。
  • 还可以创建策略配置,以便为附带订阅计划Project和Visio的桌面应用应用策略设置。
  • 运行状况功能于2022年3月下半月停用。 在未来 (目前尚) 已知日期,我们计划为Office云策略服务提供高级运行状况报告和合规性监视功能。

疑难解答提示

如果预期的策略尚未正确应用于用户的设备,请尝试以下操作:

  • 请确保用户已登录到Microsoft 365 企业应用版、已激活并具有有效的许可证。

  • 确保用户是相应安全组的一部分。

  • 检查策略配置的优先级。如果用户位于分配有策略配置的多个安全组中,则策略配置的优先级将确定哪些策略生效。

  • 在某些情况下,如果两个具有不同策略的用户在同一设备上和同一Windows会话中登录到Office 365,则策略可能无法正确应用。

  • 从Office云策略服务检索到的策略设置存储在HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0下的Windows注册表中。 每次在签入过程中从策略服务检索一组新策略时,都会覆盖此密钥。

  • 策略服务签入活动存储在HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy下的Windows注册表中。 删除此密钥并重启Office应用将触发策略服务,以便在下次启动Office 应用时签入。

  • 如果希望下次计划运行Windows的设备与Office云策略服务进行检查时,请查看HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy下的 FetchInterval。 值以分钟表示。 例如,1440,相当于 24 小时。