在 基本移动性和安全性 中创建设备安全策略

可以使用基本移动性和安全性创建设备策略，以帮助保护组织在 Microsoft 365 上的信息免受未经授权的访问。 可以将策略应用于组织中任何移动设备，其中设备的用户具有适用的 Microsoft 365 许可证，并且已在 基本移动性和安全性 中注册了设备。

开始之前

重要

必须先激活并设置基本移动性和安全性，然后才能创建移动设备策略。 有关详细信息，请参阅 Microsoft 365 基本移动性和安全性概述。

• 了解基本移动性和安全性支持的设备、移动设备应用和安全设置。 请参阅基本移动性和安全性的功能。
• 创建安全组，其中包含要向其部署策略的 Microsoft 365 用户，以及可能要阻止其访问 Microsoft 365 的用户的安全组。 我们建议您先向少量用户部署新策略，以此来测试策略，然后再为组织部署此策略。 你可以创建和使用一个安全组，该安全组仅包括你自己或少量的 Microsoft 365 用户，以便为你测试策略。 若要了解有关安全组的详细信息，请参阅 创建、编辑或删除安全组。
• 若要在 Microsoft 365 中创建和部署基本移动性和安全性策略，需要是 Microsoft 365 全局管理员。有关详细信息，请参阅 Microsoft Defender 和 Microsoft Purview 合规性中的角色和角色组。
• 在部署策略之前，请让组织知道在 基本移动性和安全性 中注册设备的潜在影响。 根据设置策略的方式，可以阻止不符合要求的设备访问 Microsoft 365 和数据，包括已注册设备上的已安装应用程序、照片和个人信息，并且可以删除数据。

注意

在 基本移动性和安全性 为Microsoft 365 商业标准版创建的策略和访问规则将替代在 Exchange 管理中心中创建Exchange ActiveSync移动设备邮箱策略和设备访问规则。 设备在 基本移动性和安全性 中注册Microsoft 365 商业标准版后，将忽略应用于设备的任何Exchange ActiveSync移动设备邮箱策略或设备访问规则。 若要详细了解Exchange ActiveSync，请参阅 Exchange Online 中的Exchange ActiveSync。

步骤 1：创建设备策略并部署到测试组

在开始之前，请确保已激活并设置基本移动性和安全性。 有关说明，请参阅基本移动性和安全性概述。

1. 在浏览器中，转到 https://compliance.microsoft.com/basicmobilityandsecurity。

2. 在“ 策略 ”选项卡上，选择“ 创建”。

3. 在 “策略名称 ”页上，添加和名称和说明，然后选择“ 下一步”。

4. 在 “访问要求 ”页上，指定要应用于组织中的移动设备的要求，然后选择“ 下一步”。

5. 在 “配置” 页上，选择组织的配置要求，然后选择“ 下一步”。

6. 在“ 部署 ”页上，选择要应用此策略的安全组。

7. 在“ 审阅 ”页上，验证你的选择，然后选择“ 提交”。

策略将推送到每个用户的设备，该策略适用于他们下次使用移动设备登录到 Microsoft 365 时。 如果用户之前没有将策略应用于其移动设备，则部署策略后，他们在其设备上会收到一条通知，其中包括注册和激活基本移动性和安全性的步骤。 有关详细信息，请参阅使用 基本移动性和安全性 注册移动设备。 在Intune服务托管基本移动性和安全性完成注册之前，将限制对电子邮件、OneDrive 和其他服务的访问。 使用 Intune 公司门户 应用完成注册后，他们可以使用服务，并将策略应用于其设备。

步骤 2：验证策略是否有效

创建设备策略后，检查策略按预期工作，然后再将其部署到组织。

1. 在浏览器中，转到 https://compliance.microsoft.com/basicmobilityandsecurity。
2. 选择“ 查看托管设备列表”。
3. 检查已应用此策略的用户设备的状态。 你希望设备 的状态 是 托管的。
4. 选择设备后，还可以通过单击“恢复出厂设置”或“从管理中删除公司数据”按钮，在设备上执行完全或选择性擦除。 有关说明，请参阅擦除基本移动性和安全性中的移动设备。

步骤 3：将策略部署到组织

创建设备策略并验证其按预期工作后，将其部署到组织。

1. 在浏览器类型中： https://compliance.microsoft.com/basicmobilityandsecurity。
2. 选择要部署的策略，然后选择“应用的组”旁边的“编辑”。
3. 搜索要添加的组，然后单击“选择”。
4. 选择 “关闭 ”和 “更改设置”。
5. 选择 “关闭 并 编辑策略”。

该策略将推送到每个用户的移动设备，该策略适用于他们下次从移动设备登录到 Microsoft 365 时。 如果用户尚未将策略应用于其移动设备，则会在其设备上收到一条通知，其中包含注册和激活该策略以用于基本移动性和安全性的步骤。 完成注册后，策略将应用于其设备。 有关详细信息，请参阅使用 基本移动性和安全性 注册移动设备。

步骤 4：阻止不受支持的设备的电子邮件访问

为了帮助保护组织信息，应阻止应用访问基本移动性和安全性不支持的移动设备的 Microsoft 365 电子邮件。 有关受支持设备的列表，请参阅 支持的设备。

若要阻止应用访问，请执行以下操作：

1. 在浏览器中，键入 https://compliance.microsoft.com/basicmobilityandsecurity。

2. 选择 “管理组织范围的设备访问设置”。

3. 若要阻止不受支持的设备，请在“如果 Microsoft 365 基本移动性和安全性不支持某个设备”下选择“访问”，然后选择“保存”。

   

步骤 5：选择要从条件访问检查中排除的安全组

如果您要从他们的移动设备上的条件访问检查中排除某些人员，并且已为这些人员创建了一个或多个安全组，则在此处添加安全组。 这些组中的人员不会为其支持的移动设备强制执行任何策略。 如果不想再在组织中使用基本移动性和安全性，则建议使用此选项。

1. 在浏览器中，键入 https://compliance.microsoft.com/basicmobilityandsecurity。

2. 选择 “管理组织范围的设备访问设置”。

   

3. 选择“ 添加 ”以添加要阻止访问 Microsoft 365 的用户的安全组。 将用户添加到此列表后，当他们使用不受支持的设备时，他们可以访问 Microsoft 365 电子邮件。

4. 在“ 选择 组”面板中选择要使用的安全组。

5. 选择名称，然后选择 “添加>保存”。

6. 在 “组织范围的设备访问设置” 面板中，选择“ 保存”。

   

安全策略对不同设备类型的影响是什么？

将策略应用于用户设备时，对每个设备的影响因设备类型而异。 请查看以下示例表，了解策略对不同设备的影响。

安全策略	Android	Samsung KNOX	iOS	注意
需要加密备份	否	是	是	需要 iOS 加密备份。
阻止云备份	是	是	是	在受监督的 iOS 上阻止 Google 备份 (灰显) 云备份。
阻止文档同步	否	否	是	iOS：在受监督的 iOS 设备上阻止云中的文档。
阻止照片同步	否	否	是	iOS（本机）：阻止照片流。
阻止屏幕捕获	否	是	是	在尝试时被阻止。
阻止视频会议	否	否	是	FaceTime 在受监督的 iOS 设备上被阻止，而不是在 Skype 或其他设备上阻止。
阻止发送诊断数据	否	是	是	阻止在 Android 上发送 Google 故障报告。
阻止对应用商店的访问	否	是	是	Android 主页上缺少应用商店图标，在 Windows 和受监督的 iOS 设备上禁用。
要求提供应用商店的密码	否	否	是	iOS：购买 iTunes 所需的密码。
阻止连接到可移动存储	否	是	不适用	Android：SD 卡在设置中灰显，Windows 通知用户，安装的应用不可用
阻止蓝牙连接	查看备注	查看备注	是	我们无法在 Android 上禁用 BlueTooth 作为设置。 相反，我们将禁用需要 BlueTooth 的所有事务：高级音频分发、音频/视频远程控制、免手动设备、头戴显示设备、电话簿访问和串行端口。 使用以上任一项时，页面底部将显示一个小型 Toast 消息。

当您删除策略或从策略中删除用户时，会发生什么情况？

删除策略或从部署策略的组中删除用户时，可能会从用户的设备中删除策略设置、Microsoft 365 电子邮件配置文件和缓存的电子邮件。 请参阅下表，了解针对不同设备类型删除的内容。

删除的内容	iOS	Android (，包括 Samsung KNOX)
托管电子邮件配置文件1	是	否
阻止云备份	是	否

¹ 如果在部署策略时选择了“管理配置文件Email”选项，则会从用户设备中删除该配置文件中的托管电子邮件配置文件和缓存的电子邮件。

该策略将从每个用户的移动设备中删除，该策略适用于下次使用 基本移动性和安全性 签入时应用该策略的用户。 如果部署适用于这些用户设备的新策略，系统会提示他们重新注册基本移动性和安全性。

还可以完全擦除设备，或选择性地擦除设备中的组织信息。 有关详细信息，请参阅擦除基本移动性和安全性中的移动设备。

相关内容

文章) 基本移动性和安全性 (概述
基本移动性和安全性 (文章) 的功能