Sdílet prostřednictvím

Vytváření zásad zabezpečení zařízení v základní mobility a zabezpečení

  • Článek

Základní mobility a zabezpečení můžete použít k vytvoření zásad zařízení, které pomáhají chránit informace vaší organizace v Microsoftu 365 před neoprávněným přístupem. Zásady můžete použít na libovolné mobilní zařízení ve vaší organizaci, kde má uživatel příslušné licence Microsoftu 365 a zaregistroval zařízení v rámci základní mobility a zabezpečení.

Než začnete

Důležité

Než budete moct vytvořit zásadu pro mobilní zařízení, musíte aktivovat a nastavit základní mobilitu a zabezpečení. Další informace najdete v tématu Přehled základní mobility a zabezpečení pro Microsoft 365.

  • Přečtěte si o zařízeních, aplikacích pro mobilní zařízení a nastavení zabezpečení, která základní mobility a zabezpečení podporují. Viz Možnosti základní mobility a zabezpečení.
  • Vytvořte skupiny zabezpečení, které obsahují uživatele Microsoftu 365, pro které chcete zásady nasadit, a pro uživatele, kterým byste mohli chtít vyloučit přístup k Microsoftu 365. Doporučujeme, abyste před nasazením nové zásady do vaší organizace tuto zásadu otestovali tak, že ji nasadíte malému počtu uživatelů. Můžete vytvořit a používat skupinu zabezpečení, která zahrnuje jenom vás nebo malý počet uživatelů Microsoftu 365, kteří za vás můžou zásady otestovat. Další informace o skupinách zabezpečení najdete v tématu Vytvoření, úprava nebo odstranění skupiny zabezpečení.
  • Pokud chcete v Microsoftu 365 vytvářet a nasazovat základní zásady mobility a zabezpečení, musíte být správcem dodržování předpisů. Další informace najdete v tématu Předdefinované role Microsoft Entra.
  • Před nasazením zásad informujte organizaci o potenciálních dopadech registrace zařízení do základní mobility a zabezpečení. V závislosti na tom, jak zásady nastavíte, můžete zařízením nesplňujících předpisy zablokovat přístup k Microsoftu 365 a data, včetně nainstalovaných aplikací, fotek a osobních údajů na zaregistrovaných zařízeních, a data se můžou odstranit.

Poznámka

Zásady a pravidla přístupu vytvořená v rámci základní mobility a zabezpečení pro Microsoft 365 Business Standard přepisují zásady poštovní schránky mobilních zařízení Exchange ActiveSync a pravidla přístupu zařízení vytvořená v Centru pro správu Exchange. Po registraci zařízení do základní mobility a zabezpečení pro Microsoft 365 Business Standard se všechny zásady poštovní schránky mobilního zařízení Exchange ActiveSync nebo pravidlo přístupu zařízení použité na zařízení ignorují. Další informace o protokolu Exchange ActiveSync najdete v tématu Exchange ActiveSync v Exchangi Online.

Krok 1: Vytvoření zásady zařízení a nasazení do testovací skupiny

Než začnete, ujistěte se, že jste aktivovali a nastavili základní mobilitu a zabezpečení. Pokyny najdete v tématu Přehled základní mobility a zabezpečení.

  1. V prohlížeči přejděte na https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Na kartě Zásady vyberte Vytvořit.

  3. Na stránce Název zásady přidejte a název a popis a vyberte Další.

  4. Na stránce Požadavky na přístup zadejte požadavky, které chcete použít pro mobilní zařízení ve vaší organizaci, a vyberte Další.

  5. Na stránce Konfigurace vyberte požadavky na konfiguraci pro vaši organizaci a vyberte Další.

  6. Na stránce Nasazení zvolte skupinu zabezpečení, na kterou chcete tuto zásadu použít.

  7. Na stránce Revize ověřte vybrané možnosti a zvolte Odeslat.

Zásady se nasdílí do zařízení každého uživatele a platí pro další přihlášení k Microsoftu 365 pomocí svého mobilního zařízení. Pokud uživatelé na mobilní zařízení ještě zásady nepoužili, po nasazení zásady se jim na zařízení zobrazí oznámení, které obsahuje postup registrace a aktivace základní mobility a zabezpečení. Další informace najdete v tématu Registrace mobilního zařízení pomocí základní mobility a zabezpečení. Až do dokončení registrace v základní mobility a zabezpečení hostovaném službou Intune je přístup k e-mailu, OneDrivu a dalším službám omezený. Po dokončení registrace pomocí aplikace Portál společnosti Intune můžou tyto služby používat a zásady se použijí na jejich zařízení.

Krok 2: Ověření, že vaše zásady fungují

Po vytvoření zásady pro zařízení zkontrolujte, jestli tato zásada funguje podle očekávání, než ji nasadíte do vaší organizace.

  1. V prohlížeči přejděte na https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Vyberte Zobrazit seznam spravovaných zařízení.
  3. Zkontrolujte stav uživatelských zařízení, na kterých se zásady použily. Chcete, aby stav zařízení byl Spravovaný.
  4. Úplné nebo selektivní vymazání zařízení můžete provést také tak, že po výběru zařízení kliknete na Obnovení továrního nastavení do továrního nastavení nebo Na tlačítko Odebrat firemní data z tlačítka Spravovat . Pokyny najdete v tématu Vymazání mobilního zařízení v části Základní mobilita a zabezpečení.

Krok 3: Nasazení zásady do vaší organizace

Jakmile vytvoříte zásadu zařízení a ověříte, že funguje podle očekávání, nasaďte ji do vaší organizace.

  1. V prohlížeči zadejte: https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Vyberte zásadu, kterou chcete nasadit, a zvolte Upravit vedle položky Skupiny použité na.
  3. Vyhledejte skupinu, kterou chcete přidat, a klikněte na Vybrat.
  4. Vyberte Zavřít a Změnit nastavení.
  5. Vyberte Zavřít a upravit zásadu.

Zásady se nasdílí na mobilní zařízení každého uživatele, na které se zásady vztahují při příštím přihlášení k Microsoftu 365 ze svého mobilního zařízení. Pokud se pro jejich mobilní zařízení neuplatnily zásady, zobrazí se jim na jejich zařízení oznámení s postupem registrace a aktivace základní mobility a zabezpečení. Po dokončení registrace se zásady použijí na jejich zařízení. Další informace najdete v tématu Registrace mobilního zařízení pomocí základní mobility a zabezpečení.

Krok 4: Blokování přístupu k e-mailu pro nepodporovaná zařízení

Pokud chcete lépe zabezpečit informace vaší organizace, měli byste zablokovat přístup aplikací k e-mailu Microsoftu 365 pro mobilní zařízení, která nejsou podporována službou Basic Mobility a Security. Seznam podporovaných zařízení najdete v tématu Podporovaná zařízení.

Blokování přístupu k aplikacím:

  1. V prohlížeči zadejte https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Vyberte kartu Nastavení organizace .

  3. Pokud chcete blokovat nepodporovaná zařízení, zvolte Přístup v části Pokud základní mobility a zabezpečení pro Microsoft 365 nepodporuje zařízení a pak vyberte Uložit.

    Základní mobilita a možnost blokování přístupu zabezpečení

Krok 5: Výběr skupin zabezpečení, které mají být vyloučeny z kontrol podmíněného přístupu

Pokud chcete některé uživatele vyloučit z kontrol podmíněného přístupu na jejich mobilních zařízeních a vytvořili jste pro tyto uživatele jednu nebo více skupin zabezpečení, přidejte skupiny zabezpečení sem. Lidé v těchto skupinách nebudou mít pro podporovaná mobilní zařízení vynucované žádné zásady. Toto je doporučená možnost, pokud už ve vaší organizaci nechcete používat základní mobilitu a zabezpečení.

  1. V prohlížeči zadejte https://compliance.microsoft.com/basicmobilityandsecurity.

  2. Vyberte kartu Nastavení organizace .

    Základní mobilita a zabezpečení vytvoří možnost zásad.

  3. Vyberte Přidat a přidejte skupinu zabezpečení obsahující uživatele, které chcete vyloučit z blokování přístupu k Microsoftu 365. Když je uživatel přidaný do tohoto seznamu, bude mít přístup k e-mailu Microsoftu 365, když používá nepodporované zařízení.

  4. Na panelu Vybrat skupinu vyberte skupinu zabezpečení, kterou chcete použít.

  5. Vyberte název a potom Přidat>uložit.

  6. Na panelu Nastavení organizace zvolte Uložit.

    Základní možnost mobility a zabezpečení povolit přístup.

Jaký je dopad zásad zabezpečení na různé typy zařízení?

Když použijete zásadu na uživatelská zařízení, dopad na jednotlivá zařízení se u jednotlivých typů zařízení poněkud liší. Příklady dopadu zásad na různá zařízení najdete v následující tabulce.

Zásady zabezpečení Android Samsung KNOX iOS Poznámky
Vyžadovat šifrované zálohování Ne Ano Ano Vyžaduje se šifrované zálohování iOS.
Blokování cloudového zálohování Ano Ano Ano Blokování zálohování Google na Androidu (neaktivní) a cloudové zálohování v iOSu pod dohledem.
Blokovat synchronizaci dokumentů Ne Ne Ano iOS: Blokování dokumentů v cloudu na zařízeních s iOSem pod dohledem
Blokovat synchronizaci fotek Ne Ne Ano iOS (nativní): Blokovat fotostream.
Blokovat snímek obrazovky Ne Ano Ano Blokováno při pokusu.
Blokovat videokonferenci Ne Ne Ano FaceTime je blokovaný na zařízeních s iOSem pod dohledem, ne na Skypu nebo jiných zařízeních.
Blokování odesílání diagnostických dat Ne Ano Ano Blokovat odesílání zprávy o chybách Google na Androidu
Blokování přístupu k App Storu Ne Ano Ano Na domovské stránce Androidu chybí ikona App Storu, ve Windows je zakázaná a na zařízeních s iOSem pod dohledem.
Vyžadovat heslo pro App Store Ne Ne Ano iOS: Heslo se vyžaduje pro nákupy v iTunes.
Blokování připojení k vyměnitelnému úložišti Ne Ano Není k dispozici. Android: Karta SD je v nastavení zašedlá, Systém Windows uživatele upozorní, nainstalované aplikace nejsou k dispozici
Blokovat připojení Bluetooth Zobrazit poznámky Zobrazit poznámky Ano BlueTooth nemůžeme zakázat jako nastavení na Androidu. Místo toho zakážeme všechny transakce, které vyžadují BlueTooth: Rozšířená distribuce zvuku, dálkové ovládání zvuku/videa, zařízení hands-free, náhlavní souprava, přístup k telefonnímu seznamu a sériový port. Malá informační zpráva se zobrazí v dolní části stránky, když se některá z těchto zpráv použije.

Co se stane, když odstraníte zásadu nebo ze zásady odeberete uživatele?

Když odstraníte zásadu nebo odeberete uživatele ze skupiny, do které byla zásada nasazená, můžou se ze zařízení uživatele odebrat nastavení zásad, e-mailový profil Microsoft 365 a e-maily uložené v mezipaměti. V následující tabulce se dozvíte, co se odebere pro různé typy zařízení.

Co se odebralo iOS Android (včetně Samsung KNOX)
Spravované e-mailové profily1 Ano Ne
Blokování cloudového zálohování Ano Ne

1 Pokud byla zásada nasazená s vybranou možností E-mailový profil se spravuje , spravovaný e-mailový profil a e-maily uložené v mezipaměti v daném profilu se ze zařízení uživatele odstraní.

Zásada se odebere z mobilního zařízení pro každého uživatele, na které se zásada vztahuje, až se jejich zařízení příště přihlásí se základní mobility a zabezpečení. Pokud nasadíte novou zásadu, která se vztahuje na tato uživatelská zařízení, zobrazí se jim výzva k opětovné registraci do základní mobility a zabezpečení.

Zařízení můžete také úplně vymazat nebo ze zařízení selektivně vymazat informace organizace. Další informace najdete v tématu Vymazání mobilního zařízení v tématu Základní mobilita a zabezpečení.

Související obsah

Přehled základní mobility a zabezpečení (článek)
Možnosti základní mobility a zabezpečení (článek)