Zarządzanie środowiskami do współpracy na platformie Microsoft 365 (Office) dla systemów iOS i Android za pomocą usługi Microsoft Intune

Platforma Microsoft 365 (Office) dla systemów iOS i Android zapewnia kilka kluczowych korzyści, w tym:

• Programy Word, Excel i PowerPoint połączono w sposób upraszczający środowisko pracy, ponieważ jest mniej aplikacji, które trzeba pobrać lub pomiędzy którymi trzeba się przełączać. Platforma wymaga znacznie mniej miejsca na telefonie niż zainstalowanie poszczególnych aplikacji, zachowując przy tym praktycznie wszystkie możliwości istniejących aplikacji mobilnych, które ludzie już znają i których używają.
• Integracja z technologią Microsoft Lens uwalnia możliwości aparatu. Można za jego pomocą konwertować obrazy na edytowalne dokumenty programu Word i Excel, skanować pliki PDF i rejestrować to, co napisano na tablicach, wspierając się automatycznymi ulepszeniami cyfrowymi ułatwiającymi odczytywanie zawartości.
• Dodano nowe funkcje do wykonywania typowych zadań, które ludzie często napotykają podczas pracy na telefonie, takich jak pisanie szybkich notatek, podpisywanie plików PDF, skanowanie kodów QR i przesyłanie plików między urządzeniami.

Najbogatsze i najszersze możliwości ochrony danych platformy Microsoft 365 są dostępne podczas subskrybowania pakietu Enterprise Mobility + Security, który obejmuje funkcje usług Microsoft Intune i Tożsamość Microsoft Entra w warstwie P1 i P2, takie jak dostęp warunkowy. Co najmniej należy wdrożyć zasady dostępu warunkowego, które zezwalają na łączność z platformą Microsoft 365 (Office) dla systemów iOS i Android z urządzeń przenośnych, oraz zasady ochrony aplikacji usługi Intune, które zapewniają ochronę środowiska współpracy.

Zastosuj dostęp warunkowy

Organizacje mogą korzystać z zasad dostępu warunkowego usługi Microsoft Entra, aby mieć pewność, że użytkownicy będą mieli dostęp do zawartości służbowej tylko za pomocą platformy Microsoft 365 (Office) dla systemów iOS i Android. W tym celu potrzebne są zasady dostępu warunkowego, które dotyczą wszystkich potencjalnych użytkowników. Te zasady zostały opisane w artykule Dostęp warunkowy: Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji.

1. Wykonaj kroki opisane w artykule Wymagaj zatwierdzonych aplikacji klienckich lub zasad ochrony aplikacji na urządzeniach przenośnych, co zezwala na używanie platformy Microsoft 365 (Office) dla systemów iOS i Android, ale blokuje nawiązywanie połączeń z punktami końcowymi platformy Microsoft 365 przez klientów innych firm z obsługą uwierzytelniania OAuth na urządzeniach przenośnych.

   Uwaga

   Te zasady zapewniają użytkownikom urządzeń przenośnych dostęp do wszystkich punktów końcowych platformy Microsoft 365 przy użyciu odpowiednich aplikacji.

Uwaga

Aby korzystać z zasad dostępu warunkowego opartego na aplikacji, aplikacja Microsoft Authenticator musi być zainstalowana na urządzeniach z systemem iOS. W przypadku urządzeń z systemem Android wymagana jest aplikacja Intune — Portal firmy. Aby uzyskać więcej informacji, zobacz Dostęp warunkowy oparty na aplikacji przy użyciu usługi Intune.

Utwórz zasady ochrony aplikacji usługi Intune

Zasady ochrony aplikacji (zasady APP) definiują, które aplikacje są dozwolone, oraz akcje, jakie mogą wykonywać na danych Twojej organizacji. Opcje dostępne w zasadach APP umożliwiają organizacjom dostosowanie ochrony do ich konkretnych potrzeb. Dla niektórych może nie być oczywiste, które ustawienia zasad są wymagane do wdrożenia pełnego scenariusza. Aby ułatwić organizacjom ustalanie priorytetów zabezpieczeń punktów końcowych klientów na urządzeniach przenośnych, firma Microsoft wprowadziła taksonomię dla struktury ochrony danych aplikacji na potrzeby zarządzania aplikacjami na urządzeniach przenośnych dla systemów iOS i Android.

Struktura ochrony danych zasad APP jest podzielona na trzy różne poziomy konfiguracji, przy czym każdy poziom opiera się na poziomie poprzednim:

• Podstawowa ochrona danych w przedsiębiorstwie (poziom 1) zapewnia, że aplikacje są chronione przy użyciu kodu PIN i szyfrowane, a także wykonuje selektywne operacje czyszczenia. W przypadku urządzeń z systemem Android ten poziom weryfikuje zaświadczanie urządzenia z systemem Android. Jest to konfiguracja na poziomie podstawowym, która zapewnia podobną kontrolę ochrony danych w zasadach skrzynek pocztowych usługi Exchange Online oraz wprowadza specjalistów IT i populację użytkowników do aplikacji.
• Rozszerzona ochrona danych w przedsiębiorstwie (poziom 2) wprowadza mechanizmy zapobiegania wyciekom danych aplikacji i minimalne wymagania dotyczące systemu operacyjnego. Jest to konfiguracja, która ma zastosowanie w przypadku większości użytkowników na urządzeniach przenośnych uzyskujących dostęp do danych służbowych.
• Wysoka ochrona danych w przedsiębiorstwie (poziom 3) wprowadza zaawansowane mechanizmy ochrony danych, rozszerzoną konfigurację kodu PIN i zasady APP dotyczące obrony przed zagrożeniami mobilnymi. Ta konfiguracja jest pożądana dla użytkowników uzyskujących dostęp do danych wysokiego ryzyka.

Aby zobaczyć specyficzne zalecenia dotyczące każdego poziomu konfiguracji i minimalną liczbę aplikacji, które muszą być chronione, zapoznaj się z artykułem Struktura ochrony danych przy użyciu zasad ochrony aplikacji.

Niezależnie od tego, czy urządzenie jest zarejestrowane w rozwiązaniu do ujednoliconego zarządzania punktami końcowymi (rozwiązanie UEM), należy utworzyć zasady ochrony aplikacji usługi Intune dla aplikacji dla systemów iOS i Android, wykonując kroki opisane w artykule Jak utworzyć i przypisać zasady ochrony aplikacji. Te zasady muszą spełniać co najmniej następujące warunki:

1. Obejmują one wszystkie aplikacje mobilne platformy Microsoft 365, takie jak Edge, Outlook, OneDrive, Microsoft 365 (Office) czy Teams, ponieważ zapewniają użytkownikom bezpieczny dostęp do danych służbowych oraz manipulowanie tymi danymi w dowolnej aplikacji firmy Microsoft.

2. Są one przypisane do wszystkich użytkowników. Dzięki temu wszyscy użytkownicy są chronieni, niezależnie od tego, czy korzystają z platformy Microsoft 365 (Office) dla systemu iOS, czy Android.

3. Określ, który poziom struktury spełnia Twoje wymagania. Większość organizacji powinna wdrożyć ustawienia zdefiniowane w artykule Rozszerzona ochrona danych przedsiębiorstwa (poziom 2), ponieważ umożliwiają one kontrolę wymagań dotyczących ochrony danych i dostępu.

Aby uzyskać więcej informacji na temat dostępnych ustawień, zobacz Ustawienia zasad ochrony aplikacji dla systemu Android i Ustawienia zasad ochrony aplikacji dla systemu iOS.

Ważna

Aby zastosować zasady ochrony aplikacji usługi Intune wobec aplikacji na urządzeniach z systemem Android, które nie są zarejestrowane w usłudze Intune, użytkownik musi również zainstalować usługę Intune — Portal firmy. W przypadku zasad ochrony aplikacji systemu Android dodaj aplikacje Centrum Office, Centrum Office [HL] i Centrum Office [ROW]. Aby uzyskać więcej informacji, zobacz Porada pomocy technicznej: Jak włączyć zasady ochrony aplikacji usługi Intune za pomocą pakietu Office dla urządzeń przenośnych.

Korzystanie z konfiguracji aplikacji

Platforma Microsoft 365 (Office) dla systemów iOS i Android obsługuje ustawienia aplikacji, które umożliwiają administratorom ujednoliconego zarządzania punktami końcowymi, na przykład usługi Microsoft Intune, dostosowywanie zachowania aplikacji.

Konfigurację aplikacji można przeprowadzić albo za pośrednictwem kanału systemu operacyjnego zarządzania urządzeniami przenośnymi (funkcja MDM) na zarejestrowanych urządzeniach (kanał Managed App Configuration dla systemu iOS lub kanał System Android w warstwie Enterprise dla systemu Android), albo za pośrednictwem kanału Zasady ochrony aplikacji (ZOP). Pakiet Microsoft 365 (Office) dla systemów iOS i Android obsługuje następujące scenariusze konfiguracji:

• Zezwalaj tylko na konta służbowe
• Ogólna konfiguracja aplikacji
• Ustawienia ochrony danych

Ważna

W przypadku scenariuszy konfiguracji, które wymagają rejestracji urządzeń w systemie Android, urządzenia muszą być zarejestrowane w systemie Android Enterprise, a platforma Microsoft 365 (Office) dla systemu Android musi zostać wdrożona za pośrednictwem sklepu Managed Google Play. Aby uzyskać więcej informacji, zobacz Konfigurowanie rejestracji osobistych urządzeń z profilem służbowym dla systemu Android Enterprise i Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem Android Enterprise. W przypadku konfiguracji aplikacji systemu Android dodaj aplikacje Centrum Office, Centrum Office [HL] i Centrum Office [ROW]. Aby uzyskać więcej informacji, zobacz Porada pomocy technicznej: Jak włączyć zasady ochrony aplikacji usługi Intune za pomocą pakietu Office dla urządzeń przenośnych.

Każdy scenariusz konfiguracji wyróżnia jego specyficzne wymagania. Na przykład czy scenariusz konfiguracji wymaga rejestracji urządzenia, a tym samym współpracuje z dowolnym dostawcą rozwiązania UEM, czy też wymaga zasad ochrony aplikacji usługi Intune.

Ważna

W kluczach konfiguracji aplikacji rozróżniana jest wielkość liter. Użyj odpowiedniej wielkości liter, aby mieć pewność, że konfiguracja przyniesie efekt.

Uwaga

W przypadku usługi Microsoft Intune konfiguracja aplikacji dostarczana za pośrednictwem kanału systemu operacyjnego funkcji MDM jest określana jako zasady usługi App Configuration (zasady ACP) dla urządzeń zarządzanych, natomiast konfiguracja aplikacji dostarczana za pośrednictwem kanału Zasady ochrony aplikacji jest określana jako zasady usługi App Configuration dla aplikacji zarządzanych.

Zezwalaj tylko na konta służbowe

Poszanowanie zasad zabezpieczeń danych i zgodności naszych największych klientów podlegających ścisłym regulacjom jest kluczowym filarem wartości platformy Microsoft 365. Niektóre firmy muszą przechwytywać wszystkie informacje komunikacyjne w swoim środowisku firmowym, a także upewnić się, że urządzenia są używane wyłącznie do celów komunikacji firmowej. Aby spełnić te wymagania, platformę Microsoft 365 (Office) dla systemów iOS i Android na zarejestrowanych urządzeniach można skonfigurować tak, aby zezwalała na aprowizowanie tylko jednego konta firmowego w aplikacji.

Więcej informacji na temat konfigurowania ustawienia trybu kont dozwolonych dla organizacji można znaleźć tutaj:

• Ustawienie systemu Android
• Ustawienie systemu iOS

Ten scenariusz konfiguracji działa tylko z zarejestrowanymi urządzeniami. Obsługiwany jest jednak każdy dostawca rozwiązania UEM. Jeśli nie korzystasz z usługi Microsoft Intune, musisz zapoznać się z dokumentacją rozwiązania UEM, aby dowiedzieć się, jak wdrożyć te klucze konfiguracyjne.

Ogólne scenariusze konfiguracji aplikacji

Platforma Microsoft 365 (Office) dla systemów iOS/iPadOS i Android oferuje administratorom możliwość dostosowywania konfiguracji domyślnej dla wielu ustawień w aplikacji przy użyciu zasad konfiguracji aplikacji systemu iOS/iPadOS lub Android. Ta możliwość jest oferowana zarówno dla zarejestrowanych urządzeń za pośrednictwem dowolnego dostawcy UEM, jak i dla urządzeń, które nie są zarejestrowane, gdy platforma Microsoft 365 (Office) dla systemów iOS i Android ma zastosowane zasady ochrony aplikacji usługi Intune.

Uwaga

Jeśli zasady ochrony aplikacji są nakierowane na użytkowników, zaleca się wdrożenie ogólnych ustawień konfiguracji aplikacji w modelu rejestracji aplikacji zarządzanych. Dzięki temu zasady konfiguracji aplikacji będą wdrożone zarówno na zarejestrowanych, jak i na niezarejestrowanych urządzeniach.

Platforma Microsoft 365 (Office) obsługuje następujące ustawienia konfiguracji:

• Zarządzanie tworzeniem notatek aplikacji Sticky Notes
• Ustawianie preferencji dodatków
• Zarządzanie aplikacjami usługi Teams działającymi na platformie Microsoft 365 (Office) dla systemów iOS i Android
• Włączanie lub wyłączanie kanału informacyjnego platformy Microsoft 365 dla systemów iOS i Android

Zarządzanie tworzeniem notatek aplikacji Sticky Notes

Domyślnie platforma Microsoft 365 (Office) dla systemów iOS i Android umożliwia użytkownikom tworzenie notatek aplikacji Sticky Notes. W przypadku użytkowników ze skrzynkami pocztowymi usługi Exchange Online notatki są synchronizowane ze skrzynką pocztową użytkownika. W przypadku użytkowników z lokalnymi skrzynkami pocztowymi te notatki są przechowywane tylko na urządzeniu lokalnym.

Klucz	Value
com.microsoft.office.NotesCreationEnabled	true (domyślna) umożliwia tworzenie notatek aplikacji Sticky Notes dla konta służbowego false wyłącza tworzenie notatek aplikacji Sticky Notes dla konta służbowego

Ustawianie preferencji dodatków

W przypadku urządzeń z systemem iOS/iPadOS i pakietem Office możesz (jako administrator) określić, czy dodatki platformy Microsoft 365 (Office) są włączone. Te ustawienia aplikacji można wdrożyć przy użyciu zasad konfiguracji aplikacji w usłudze Intune.

Klucz	Value
com.microsoft.office.OfficeWebAddinDisableAllCatalogs	true (domyślna) wyłącza całą platformę dodatków false włącza platformę dodatków

Jeśli musisz włączyć lub wyłączyć część sklepu Microsoft 365 (Office) Store na platformie dla urządzeń z systemem iOS, możesz użyć następującego klucza.

Klucz	Value
com.microsoft.office.OfficeWebAddinDisableOMEXCatalog	true (domyślna) wyłącza tylko część sklepu Microsoft 365 (Office) Store na platformie false umożliwia korzystanie ze sklepu Microsoft 365 (Office) Store na platformie UWAGA: Ładowanie bezpośrednie będzie nadal działać.

Aby uzyskać więcej informacji na temat dodawania kluczy konfiguracji, zobacz Dodawanie zasad konfiguracji aplikacji dla zarządzanych urządzeń z systemem iOS/iPadOS.

Zarządzanie aplikacjami usługi Teams działającymi na platformie Microsoft 365 (Office) dla systemów iOS i Android

Administratorzy IT mogą zarządzać dostępem do aplikacji usługi Teams, tworząc niestandardowe zasady uprawnień i przypisując te zasady użytkownikom przy użyciu centrum administracyjnego usługi Teams. Teraz możesz również uruchamiać aplikacje z karty osobistej usługi Teams na platformie Microsoft 365 (Office) dla systemów iOS i Android. Aplikacje z karty osobistej usługi Teams utworzonej przy użyciu zestawu SDK klienta JavaScript usługi Microsoft Teams w wersji 2 (wersja 2.0.0) i manifestu aplikacji Teams (wersja 1.13) są wyświetlane na platformie Microsoft 365 (Office) dla systemów iOS i Android w menu „Aplikacje”.

Mogą istnieć dodatkowe wymagania dotyczące zarządzania specyficzne dla platformy Microsoft 365 (Office) dla systemów iOS i Android. Możliwe jest:

• zezwolenie tylko określonym użytkownikom w organizacji na wypróbowanie rozszerzonych aplikacji usługi Teams na platformie Microsoft 365 (Office) dla systemów iOS i Android,
• zablokowanie wszystkim użytkownikom w organizacji możliwości używania rozszerzonych aplikacji usługi Teams na platformie Microsoft 365 (Office) dla systemów iOS i Android.

Aby nimi zarządzać, możesz użyć następującego klucza:

Klucz	Value
com.microsoft.office.officemobile.TeamsApps.IsAllowed	true (domyślna) włącza aplikacje usługi Teams na platformie Microsoft 365 (Office) dla systemów iOS i Android false wyłącza aplikacje usługi Teams na platformie Microsoft 365 (Office) dla systemów iOS i Android

Ten klucz może być używany zarówno przez urządzenia zarządzane, jak i aplikacje zarządzane.

Ustawienia ochrony danych na platformie Microsoft 365 (Office)

Buforowanie w trybie offline można włączyć lub wyłączyć, gdy zasady ochrony aplikacji blokują opcję Zapisz jako w magazynie lokalnym.

Ważna

To ustawienie ma zastosowanie tylko do aplikacji platformy Microsoft 365 (Office) w systemie Android. Aby skonfigurować to ustawienie, możesz użyć następującego klucza:

Klucz	Value
com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked	false (domyślna) wyłącza buforowanie w trybie offline, gdy opcja Zapisz jako w magazynie lokalnym jest zablokowana true włącza buforowanie w trybie offline, gdy opcja Zapisz jako w magazynie lokalnym jest zablokowana

Włączanie lub wyłączanie kanału informacyjnego platformy Microsoft 365 dla systemów iOS i Android

Administratorzy mogą teraz włączać lub wyłączać kanał informacyjny platformy Microsoft 365, konfigurując następujące ustawienie w centrum administracyjnym usługi Intune. Aby wdrożyć to ustawienie aplikacji, użyj zasad konfiguracji aplikacji w usłudze Intune.

Aby zarządzać kanałem informacyjnym platformy Microsoft 365, możesz użyć następującego klucza:

Klucz	Value
com.microsoft.office.officemobile.Feed.IsAllowed	true (domyślna) kanał informacyjny jest włączony dla dzierżawy false wyłącza kanał informacyjny dla dzierżawy

Ten klucz może być używany przez urządzenia zarządzane i aplikacje zarządzane.

Funkcja Copilot z ochroną danych w przedsiębiorstwie

Administratorzy mogą teraz włączać i wyłączać funkcję Copilot w aplikacji platformy Microsoft 365, konfigurując następujące ustawienie w centrum administracyjnym usługi Intune. Aby wdrożyć to ustawienie aplikacji, użyj zasad konfiguracji aplikacji w usłudze Intune.

Aby zarządzać funkcją Copilot w aplikacji platformy Microsoft 365, możesz użyć następującego klucza:

Klucz	Value
com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed	true (domyślna) funkcja Copilot jest włączona dla dzierżawy false wyłącza funkcję Copilot dla dzierżawy

Ten klucz może być używany przez urządzenia zarządzane i aplikacje zarządzane.

Następne kroki

• Jakie są zasady ochrony aplikacji?
• Zasady dotyczące konfiguracji aplikacji dla usługi Microsoft Intune