Microsoft 365 雲端原則服務概觀

  • 發行項

注意事項

「Office 雲端原則服務」已重新命名為「Microsoft 365 的雲端原則服務」。在大部分情況下,我們只會將它稱為雲端原則。

Microsoft 365 的雲端原則服務可讓您針對用戶裝置上的 Microsoft 365 Apps 企業版 強制執行原則設定,即使裝置未加入網域或以其他方式管理。 當使用者在裝置上登入 Microsoft 365 應用程式企業版時,其原則設定會漫遊至該裝置。 原則設定適用於執行 Windows、macOS、iOS 和 Android 的裝置,但並非所有原則設定都適用於所有作業系統。 您也可以針對登入的來賓使用者和匿名存取檔的使用者,強制執行 Office 網頁版 和迴圈的一些原則設定。

雲端原則是 Microsoft 365 Apps 系統管理中心的一部分。 此服務包含許多相同的使用者型原則設定,可在 群組原則 中使用。 您也可以直接在 Microsoft Intune 系統管理中心的 [Office 應用程式>>原則原則] 底下使用雲端原則

使用雲端原則的需求

以下是搭配使用雲端原則與 Microsoft 365 Apps 企業版 的需求:

  • 支援的 Microsoft 365 Apps 企業版 版本
  • 在 中建立或同步至 Microsoft Entra ID的用戶帳戶。 用戶必須使用 Microsoft Entra ID 型帳戶登入 Microsoft 365 Apps 企業版。
  • 雲端原則支援 Microsoft 365 群組 和 Microsoft Entra 在 中建立或同步至 Microsoft Entra ID 的安全組。 成員資格類型可以是 [動態] 或 [指派]。
  • 若要建立原則設定,您必須在 Microsoft Entra ID 中獲派下列其中一個角色:全域管理員、安全性系統管理員或 Office Apps 管理員。
  • 您必須在網路上正確設定 必要的 URL 和 IP 位址範圍
  • 雲端原則服務不支援已驗證的 Proxy。

重要事項

  • 雲端原則不適用於具有下列方案的客戶:Office 365 由 21Vianet、Office 365 GCC 或 Office 365 GCC High 和 DoD 營運。
  • 原則設定無法套用至使用隨選即用的大量授權 Office 版本,例如 Office LTSC 專業增強版 2021 或 Office 標準版 2019。
  • 您可以建立 Microsoft 365 Apps 商務版 的原則設定,但只支援與隱私權控制相關的原則設定。 如需詳細資訊,請參閱使用原則設定來管理 Microsoft 365 Apps 企業版的隱私權控制

建立原則設定的步驟

以下是建立原則設定的基本步驟。

  1. 登入 Microsoft 365 Apps 系統管理中心。 如果您是第一次使用系統管理中心,請檢閱條款。 然後,選取 [ 接受]
  2. 在 [ 自定義] 底下,選取 [ 原則管理]
  3. 在 [ 原則設定] 頁面上,選取 [ 建立]
  4. 在 [ 開始使用基本概念 ] 頁面上,輸入) 所需的名稱 (,以及選擇性) (描述,然後選取 [ 下一步]
  5. 在 [選擇範圍] 頁面上,判斷原則設定是否適用於所有使用者、特定群組,或使用 Office 網頁版 匿名存取文件的使用者。
  6. 如果原則設定適用於特定群組,您現在可以將多個群組新增至單一原則設定,以獲得更有彈性的目標。 若要新增群組,請選取 [ 新增群組 ],然後選擇相關的群組。 將多個群組新增至單一原則設定,可讓相同的群組包含在多個原則設定中,以促進更簡化且更有效率的原則管理程式。
  7. 選取之後,選擇 [ 下一步]
  8. 在 [ 設定設定 ] 頁面上,選取您要包含在原則設定中的原則。 您可以依名稱搜尋原則,也可以建立自定義篩選。 您可以依應用程式篩選平臺、是否設定原則,以及原則是否為建議的安全性基準。
  9. 進行選取之後,選取 [ 下一步 ] 以檢閱您的選取專案。 然後選 取 [建立 ] 以建立原則設定。

管理原則設定

若要變更原則設定:

  1. 移至 [ 原則設定] 頁面。
  2. 選取您想要變更的原則,以開啟其設定詳細數據。
  3. 對原則設定進行適當的變更。
  4. 流覽至 [ 檢閱併發佈] 頁面。
  5. 取 [更新 ] 以儲存並套用您的變更。

如果您想要建立與現有原則設定類似的新原則設定,請在 [原則設定 ] 頁面上 選取現有的原則設定,然後選取 [ 複製]。 進行適當的變更,然後選取 [ 建立]

若要查看編輯原則設定時設定的原則,請流覽至 [原則] 區段並[狀態 ] 數據行篩選,或選取原則數據表頂端的 [已設定 的交叉分析 篩選器]。 您也可以依應用程式和平台進行篩選。

若要變更原則設定的優先順序順序,請選取 [原則設定] 頁面上的 [重新排序優先順序]。

如果您想要匯出原則設定,請在 [原則設定] 頁面上選取現有的原則設定,然後選取 [匯出]。 此動作會產生 CSV 檔案以供下載。

如何套用原則設定

Microsoft 365 Apps 企業版 使用的隨選即用服務會定期簽入雲端原則服務,以查看是否有任何與登入使用者相關的原則。 如果有,則會套用適當的原則,並在使用者下次開啟 Office 應用程式時生效,例如 Word 或 Excel。

  • 當 Office 應用程式啟動或登入的用戶變更時,隨選即用服務會判斷是否該擷取已登入用戶的原則。
    • 如果這是使用者第一次登入,則會進行簽入呼叫來擷取已登入用戶的原則。
    • 如果使用者先前已登入,則只有在簽入間隔已失效時,才會進行簽入呼叫。
  • 當服務收到簽入呼叫時,會為用戶決定 Microsoft Entra 群組成員資格。
    • 如果使用者不是獲指派原則設定之 Microsoft Entra 群組的成員,服務會通知隨選即用,以便在24小時內回來檢查此使用者。
    • 如果使用者是獲指派原則設定的 Microsoft Entra 群組成員,服務會傳回使用者的適當原則設定,並通知隨選即用以在 90 分鐘內取回。
    • 如果發生錯誤,下次用戶開啟 Office 應用程式時會進行另一個簽入呼叫,例如 Word 或 Excel。
    • 如果排程下一次簽入通話時沒有 Office 應用程式正在執行,則會在使用者下次開啟 Office 應用程式時進行檢查,例如 Word 或 Excel。

注意事項

  • 只有當 Office 應用程式重新啟動時,才會套用來自雲端原則的原則。 此行為與 群組原則 相同。 針對 Windows 裝置,原則會根據登入 Microsoft 365 Apps 企業版 的主要用戶來強制執行。 如果有多個帳戶登入,則只會套用主要帳戶的原則。 如果切換主要帳戶,則在 Office 應用程式重新啟動之前,將不會套用指派給該帳戶的大部分原則。 某些與 隱私權控制 相關的原則會在不重新啟動任何 Office 應用程式的情況下套用。

  • 如果用戶位於巢狀群組中,且父群組是以原則為目標,巢狀群組中的使用者將會收到原則。 巢狀群組和這些巢狀群組中的用戶必須在 中建立,或同步至 Microsoft Entra ID。

  • 簽入間隔由雲端原則服務控制,並在每次簽入呼叫期間傳達給隨選即用。

如果使用者是具有衝突原則設定之多個 Microsoft Entra 群組的成員,則會使用優先順序來判斷要套用哪一個原則設定。 套用最高優先順序,其中 「0」 是您可以指派的最高優先順序。 您可以在 [原則設定] 頁面上選擇 [重新排序優先順序],以設定優先順序。

此外,使用雲端原則實作的原則設定優先於使用 Windows Server 上 群組原則 實作的原則設定,優先於喜好設定或本機套用的原則設定。

基線

在 Microsoft,我們致力於創新,並透過建立新式管理工具來降低 IT 系統管理員的負擔。 也就是說,雲端原則中的基準是另一種方式,您可以在為組織部署原則時節省時間。 安全性和輔助功能基準可針對保護組織所需的 群組原則 提供唯一的篩選,並讓終端用戶能夠建立可存取的內容。

安全性基準

為了輕鬆識別安全性基準原則,原則數據表中新增了名為 Recommendation 的新數據行。 建議用於安全性基準的原則會在此數據行中觸發。 您也可以使用數據行篩選條件,將檢視限制為僅標記為安全性基準的原則。

如需詳細資訊,請參閱 Microsoft 365 Apps 企業版 的安全性基準

輔助功能基準

我們大部分的客戶都會大步前進,讓組織更容易存取。 輔助功能基準可讓 IT 專業人員設定輔助功能原則,使其終端用戶能夠建立無障礙內容,並限制移除輔助功能檢查程式設定的功能,使其無法停用。

雲端原則的其他相關信息

  • 只能使用以用戶為基礎的原則設定。 無法使用以計算機為基礎的原則設定。
  • 當新的使用者型原則設定可供 Office 使用時,雲端原則會自動新增這些設定。 不需要 (ADMX/ADML) 下載更新的系統管理範本檔案。
  • 您也可以建立原則設定,針對 Project 和 Visio 訂閱方案隨附的傳統型應用程式版本套用原則設定。
  • 健康狀態功能已於 2022 年 3 月後半部淘汰。 在未來 (目前沒有已知日期) ,我們計劃提供雲端原則的進階健康情況報告和合規性監視功能。

疑難排解提示

如果預期的原則未正確套用至使用者的裝置,請嘗試下列動作:

  • 請確定使用者已登入 Microsoft 365 Apps 企業版、加以啟用,並具有有效的授權。

  • 請確定用戶是適當安全組的一部分。

  • 確認您未使用已驗證的 Proxy。

  • 檢查原則設定的優先順序。 如果用戶位於指派原則設定的多個安全組中,則原則設定的優先順序會決定哪些原則會生效。

  • 在某些情況下,如果兩個具有不同原則的使用者在相同的 Windows 會話期間登入相同裝置上的 Office,則可能無法正確套用原則。

  • 從雲端原則擷取的原則設定會儲存在 HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 下的 Windows 登錄中。 每次在簽入程式期間從原則服務擷取一組新的原則時,都會覆寫此密鑰。

  • 原則服務簽入活動會儲存在 Windows 登錄中的 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy。 刪除此金鑰並重新啟動 Office 應用程式將會觸發原則服務,以便在下次啟動 Office 應用程式時簽入。

  • 如果您想要在下次排程執行 Windows 的裝置檢查雲端原則時看到,請查看 [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy] 底下的 FetchInterval。 此值以分鐘為單位表示。 例如,1440,相當於24小時。

  • 您可能會遇到 FetchInterval 值 0。 如果此值存在,用戶端會在上次簽入后等候 24 小時,再嘗試再次使用雲端原則進行檢查。