Microsoft 365 雲端原則服務概觀

注意

「Office 雲端原則服務」已重新命名為「Microsoft 365 的雲端原則服務」。 在大部分情況下,我們只會將其稱為雲端原則。

Microsoft 365 的雲端原則服務可讓您在使用者的裝置上強制執行Microsoft 365 Apps 企業版的原則設定,即使裝置未加入網域或受管理。 當使用者在裝置上登入 Microsoft 365 Apps 企業版時,其原則設定會漫遊至該裝置。 原則設定適用于執行 Windows、macOS、iOS 和 Android 的裝置,但並非所有作業系統都能使用所有原則設定。 您也可以針對Office 網頁版強制執行一些原則設定,無論是針對已登入的使用者,還是針對匿名存取檔的使用者。

雲端原則是Microsoft 365 Apps 系統管理中心的一部分。 服務包含許多相同的使用者原則設定,可在 群組原則 中使用。 您也可以直接在 Microsoft 端點管理員 系統管理中心的Office 應用程式 > > 原則原則底下使用雲端 原則

當您建立原則設定時,您可以檢閱並套用 Microsoft 建議的原則做為安全性比較基準原則。 選取原則時,這些建議會標示為「安全性比較基準」。

使用雲端原則的需求

以下是將雲端原則與雲端原則搭配Microsoft 365 Apps 企業版的需求:

  • 支援的 Microsoft 365 Apps 企業版 版本
  • 在 Azure AD () 中建立或同步處理至 Azure Active Directory 的使用者帳戶。 使用者必須使用 Azure AD 型帳戶登入Microsoft 365 Apps 企業版。
  • 雲端原則支援在 Azure AD 中建立或同步處理的安全性群組和具備郵件功能的安全性群組。 成員資格類型可以是 [動態] 或 [已指派]。
  • 若要建立原則設定,您必須在 Azure AD 中獲派下列其中一個角色:全域系統管理員、安全性系統管理員或 Office Apps 管理員。角色必須指派給您的使用者帳戶。 目前,雲端原則不支援指派給群組的 Azure AD 角色。
  • 您網路上必須正確設定 所需的 URL 和 IP 位址範圍

重要

  • 雲端原則不適用於擁有下列方案的客戶:Office 365由 21Vianet、Office 365 GCC 或 Office 365 GCC High 和 DoD 所營運。
  • 原則設定無法套用至使用隨選即用的大量授權版 Office,例如 Office LTSC 專業增強版 2021 或 Office 標準版 2019。
  • 您可以為Microsoft 365 Apps 商務版建立原則設定,但只支援與隱私權控制相關的原則設定。 如需詳細資訊,請參閱使用原則設定來管理 Microsoft 365 Apps 企業版的隱私權控制

建立原則設定的步驟

以下是建立原則設定的基本步驟。

  1. 登入Microsoft 365 Apps系統管理中心。 如果您是第一次使用系統管理中心,請檢閱條款。 然後,選取 [接受]
  2. 在 [ 自訂] 底 下,選取 [ 原則管理]
  3. 在 [ 原則設定] 頁面上 ,選取 [ 建立]
  4. 在 [基本概念 起始 ] 頁面上,輸入 (必要) 的名稱,以及選擇性) (描述,然後選取 [ 下一步]
  5. 在 [選擇範圍] 頁面上,選擇原則設定是否適用于特定群組或使用Office 網頁版以匿名方式存取檔的使用者。
  6. 如果原則設定適用于特定群組,請選取該群組。 每個原則設定只能指派給一個群組,而且每個群組只能指派一個原則設定。 但您選取的群組可以包含其他 (巢狀) 群組。
  7. 選取之後,選取 [ 下一步]
  8. [設定設定 ] 頁面上,選取您要包含在原則設定中的原則。 您可以依名稱搜尋原則,也可以建立自訂篩選。 您可以依應用程式篩選平臺、是否已設定原則,以及原則是否為建議的安全性比較基準。
  9. 選取選項之後,選取 [ 下一步 ] 以檢閱您的選取範圍。 然後選取 [建立 ] 以建立原則設定。

管理原則設定

若要變更原則設定,請選取 [原則設定] 頁面上的原則 設定 ,然後選取 [ 編輯]。 進行適當的變更,然後選取 [更新]

如果您想要建立類似現有原則設定的新原則設定,請在 [原則設定] 頁面上選取現有的原則 設定 ,然後選取 [複製]。 進行適當的變更,然後選取 [ 建立]

若要查看編輯原則設定時已設定哪些原則,請流覽至 [原則 ] 區段 並依 [狀態] 欄篩選,或選取原則資料表頂端的 [設定 的交叉分析 篩選器]。 您也可以依應用程式和平臺進行篩選。

若要變更原則設定的優先順序順序,請選取 [原則設定] 頁面上的 [重新排序優先順序]。

原則設定的套用方式

Microsoft 365 Apps 企業版使用的隨選即用服務會定期檢查雲端原則,以查看是否有與使用者有關的原則設定。 如果有,則會套用適當的原則設定,並在下次使用者開啟 Word 或 Excel 等 Office 應用程式時生效。

以下是發生情況的摘要:

  • 當使用者第一次在裝置上登入 Office 時,會立即檢查是否有與使用者有關的原則設定。

  • 如果使用者不是獲指派原則設定的 Azure AD 群組成員,則會在 24 小時內再次進行另一次檢查。

  • 如果使用者是已獲指派原則設定之 Azure AD 群組的成員,則會套用適當的原則設定。 90 分鐘後再次檢查。

  • 如果上次檢查後的原則設定有任何變更,則會套用適當的原則設定,並在 90 分鐘內再次進行另一次檢查。

  • 如果上次檢查後的原則設定沒有任何變更,24 小時內會再次進行另一次檢查。

  • 如果發生錯誤,會在使用者開啟 Word 或 Excel 等 Office 應用程式時進行檢查。

  • 如果排程下一次檢查時沒有執行 Office 應用程式,則會在下次使用者開啟 Office 應用程式時進行檢查。

注意

  • 雲端原則的原則只有在 Office 應用程式重新開機時才會套用。 此行為與群組原則相同。 對於 Windows 裝置,系統會根據登入Microsoft 365 Apps 企業版的主要使用者來強制執行原則。 如果有多個帳戶登入,則只會套用主要帳戶的原則。 如果切換到主要帳戶,在 Office 應用程式重新開機之前,將不會套用指派給該帳戶的大部分原則。 某些與 隱私權控制 相關的原則會套用,而不會重新開機任何 Office 應用程式。

  • 如果使用者位於巢狀群組中,且父群組已針對原則設定目標,則巢狀群組中的使用者會收到原則。 巢狀群組和這些巢狀群組中的使用者必須以 Azure AD 建立或同步處理。

如果使用者是多個 Azure AD 群組中具有衝突原則設定的成員,優先順序會用來判斷已套用哪一個原則設定。 會套用最高優先順序,其中「0」是您可指派的最高優先順序。 您可以在 [原則設定] 頁面上選擇 [重新排序優先順序**]** 來設定優先順序。

此外,使用雲端原則所實作的原則設定優先于在 Windows Server 上使用群組原則實作的原則設定,並優先于喜好設定或本機套用的原則設定。

雲端原則的其他相關資訊

  • 僅提供使用者原則設定。 無法使用以電腦為基礎的原則設定。
  • 當新的使用者原則設定可供 Office 使用時,雲端原則會自動新增它們。 不需要 (ADMX/ADML) 下載更新的系統管理範本檔案。
  • 您也可以建立原則設定,為 Project 和 Visio 訂閱者案隨附之傳統型應用程式的支援版本套用原則設定。
  • 健康狀態功能已于 2022 年 3 月下半年淘汰。 在未來 (目前沒有已知日期) ,我們計畫提供雲端原則的進階健康情況報告和合規性監控功能。

疑難排解提示

如果預期的原則尚未正確套用至使用者的裝置,請嘗試下列動作:

  • 請確定使用者已登入Microsoft 365 Apps 企業版、已啟用,並擁有有效的授權。

  • 請確定使用者屬於適當的安全性群組。

  • 檢查原則設定的優先順序。如果使用者在多個安全性群組中,且已指派原則設定,則原則設定的優先順序會決定哪些原則生效。

  • 在某些情況下,如果兩個具有不同原則的使用者在同一個 Windows 會話期間,在同一個裝置上登入 Office,原則可能無法正確套用。

  • 從雲端原則擷取的原則設定會儲存在 HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 下的 Windows 登錄中。 每次在簽入程式期間從原則服務擷取一組新原則時,都會覆寫此金鑰。

  • 原則服務簽入活動會儲存在 windows 登錄HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy下。 刪除此金鑰並重新啟動 Office App 將會觸發原則服務,以便在下次啟動 Office 應用程式時存回。

  • 如果您想要查看下一次排程執行 Windows 的裝置以檢查雲端原則,請查看 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy 下的 FetchInterval。 值會以分鐘表示。 例如,1440 等於 24 小時。