Udostępnij za pośrednictwem

Tworzenie zasad zabezpieczeń urządzeń w usłudze Basic Mobility and Security

  • Artykuł

Usługi Basic Mobility and Security można używać do tworzenia zasad urządzeń, które ułatwiają ochronę informacji organizacji na platformie Microsoft 365 przed nieautoryzowanym dostępem. Zasady można stosować do dowolnego urządzenia przenośnego w organizacji, na którym użytkownik urządzenia ma odpowiednią licencję platformy Microsoft 365 i zarejestrował urządzenie w usłudze Basic Mobility and Security.

Przed rozpoczęciem

Ważna

Przed utworzeniem zasad urządzeń przenośnych należy aktywować i skonfigurować pakiet Basic Mobility and Security. Aby uzyskać więcej informacji, zobacz Omówienie pakietu Basic Mobility and Security dla platformy Microsoft 365.

  • Dowiedz się więcej o urządzeniach, aplikacjach urządzeń przenośnych i ustawieniach zabezpieczeń obsługiwanych przez usługę Basic Mobility and Security. Zobacz Możliwości usługi Basic Mobility and Security.
  • Utwórz grupy zabezpieczeń obejmujące użytkowników platformy Microsoft 365, dla których chcesz wdrożyć zasady dla użytkowników i dla użytkowników, których można wykluczyć z blokowania dostępu do platformy Microsoft 365. Zalecamy, aby przed wdrożeniem nowych zasad w organizacji przetestować zasady, wdrażając je dla niewielkiej liczby użytkowników. Możesz utworzyć i użyć grupy zabezpieczeń obejmującej tylko siebie lub niewielką liczbę użytkowników platformy Microsoft 365, którzy mogą przetestować zasady. Aby dowiedzieć się więcej o grupach zabezpieczeń, zobacz Tworzenie, edytowanie lub usuwanie grupy zabezpieczeń.
  • Aby tworzyć i wdrażać zasady podstawowej mobilności i zabezpieczeń na platformie Microsoft 365, musisz być administratorem zgodności. Aby uzyskać więcej informacji, zobacz Wbudowane role usługi Microsoft Entra.
  • Przed wdrożeniem zasad poinformuj organizację o potencjalnych skutkach rejestracji urządzenia w usłudze Basic Mobility and Security. W zależności od sposobu konfigurowania zasad dostęp niezgodnych urządzeń do platformy Microsoft 365 i danych, w tym zainstalowanych aplikacji, zdjęć i danych osobowych na zarejestrowanym urządzeniu, może zostać usunięty.

Uwaga

Zasady i reguły dostępu utworzone w usłudze Basic Mobility and Security dla platformy Microsoft 365 Business Standard zastępują zasady skrzynki pocztowej urządzeń przenośnych programu Exchange ActiveSync i reguły dostępu urządzeń utworzonych w centrum administracyjnym programu Exchange. Po zarejestrowaniu urządzenia w usłudze Basic Mobility and Security dla platformy Microsoft 365 Business Standard wszystkie zasady skrzynki pocztowej urządzeń przenośnych programu Exchange ActiveSync lub reguły dostępu do urządzenia są ignorowane. Aby dowiedzieć się więcej na temat programu Exchange ActiveSync, zobacz Exchange ActiveSync w usłudze Exchange Online.

Krok 1. Tworzenie zasad urządzenia i wdrażanie w grupie testowej

Przed rozpoczęciem upewnij się, że aktywowano i skonfigurowano pakiet Basic Mobility and Security. Aby uzyskać instrukcje, zobacz Omówienie pakietu Basic Mobility and Security.

  1. W przeglądarce przejdź do https://compliance.microsoft.com/basicmobilityandsecuritystrony .

  2. Na karcie Zasady wybierz pozycję Utwórz.

  3. Na stronie Nazwa zasad dodaj i nazwy oraz opis, a następnie wybierz pozycję Dalej.

  4. Na stronie Wymagania dotyczące dostępu określ wymagania, które chcesz zastosować do urządzeń przenośnych w organizacji, a następnie wybierz pozycję Dalej.

  5. Na stronie Konfiguracje wybierz pozycję Wymagania konfiguracji dla organizacji, a następnie wybierz pozycję Dalej.

  6. Na stronie Wdrożenie wybierz grupę zabezpieczeń do zastosowania tych zasad.

  7. Na stronie Przegląd sprawdź wybrane opcje i wybierz pozycję Prześlij.

Zasady są wypychane do urządzenia każdego użytkownika, do których zasady mają zastosowanie przy następnym zalogowaniu się na platformie Microsoft 365 przy użyciu urządzenia przenośnego. Jeśli użytkownicy nie mieli wcześniej zasad stosowanych do urządzenia przenośnego, po wdrożeniu zasad otrzymają na swoim urządzeniu powiadomienie zawierające kroki rejestrowania i aktywowania pakietu Basic Mobility and Security. Aby uzyskać więcej informacji, zobacz Rejestrowanie urządzenia przenośnego przy użyciu pakietu Basic Mobility and Security. Do momentu ukończenia rejestracji w usłudze Basic Mobility and Security hostowanej przez usługę Intune dostęp do poczty e-mail, usługi OneDrive i innych usług jest ograniczony. Po zakończeniu rejestracji przy użyciu aplikacji Portal firmy usługi Intune mogą korzystać z usług, a zasady są stosowane do urządzenia.

Krok 2. Sprawdzanie, czy zasady działają

Po utworzeniu zasad urządzenia sprawdź, czy zasady działają zgodnie z oczekiwaniami przed wdrożeniem ich w organizacji.

  1. W przeglądarce przejdź do https://compliance.microsoft.com/basicmobilityandsecuritystrony .
  2. Wybierz pozycję Wyświetl listę urządzeń zarządzanych.
  3. Sprawdź stan urządzeń użytkowników, na których zastosowano zasady. Chcesz, aby stan urządzeń był zarządzany.
  4. Możesz również przeprowadzić pełne lub selektywne czyszczenie na urządzeniu, klikając pozycję Resetowanie do ustawień fabrycznych lub Usuń dane firmowe z przycisku Zarządzaj po wybraniu urządzenia. Aby uzyskać instrukcje, zobacz Wipe a mobile device in Basic Mobility and Security (Czyszczenie urządzenia przenośnego w usłudze Basic Mobility and Security).

Krok 3. Wdrażanie zasad w organizacji

Po utworzeniu zasad urządzenia i upewnieniu się, że działają zgodnie z oczekiwaniami, wdróż je w organizacji.

  1. Z poziomu typu przeglądarki: https://compliance.microsoft.com/basicmobilityandsecurity.
  2. Wybierz zasady, które chcesz wdrożyć, a następnie wybierz pozycję Edytuj obok pozycji Grupy zastosowane do.
  3. Wyszukaj grupę do dodania i kliknij pozycję Wybierz.
  4. Wybierz pozycję Zamknij i zmień ustawienie.
  5. Wybierz pozycję Zamknij i Edytuj zasady.

Zasady są wypychane do urządzenia przenośnego każdego użytkownika, do których zasady mają zastosowanie przy następnym zalogowaniu się na platformie Microsoft 365 z urządzenia przenośnego. Jeśli użytkownicy nie zastosowali zasad do swojego urządzenia przenośnego, otrzymają powiadomienie na swoim urządzeniu z instrukcjami dotyczącymi rejestrowania i aktywowania ich dla pakietu Basic Mobility and Security. Po zakończeniu rejestracji zasady są stosowane do urządzenia. Aby uzyskać więcej informacji, zobacz Rejestrowanie urządzenia przenośnego przy użyciu pakietu Basic Mobility and Security.

Krok 4. Blokowanie dostępu do poczty e-mail dla nieobsługiwanych urządzeń

Aby zabezpieczyć informacje o organizacji, należy zablokować dostęp aplikacji do poczty e-mail platformy Microsoft 365 dla urządzeń przenośnych, które nie są obsługiwane przez usługi Basic Mobility and Security. Aby uzyskać listę obsługiwanych urządzeń, zobacz Obsługiwane urządzenia.

Aby zablokować dostęp do aplikacji:

  1. W przeglądarce wpisz .https://compliance.microsoft.com/basicmobilityandsecurity

  2. Wybierz kartę Ustawienia organizacji .

  3. Aby zablokować nieobsługiwane urządzenia, wybierz pozycję Dostęp w obszarze Jeśli urządzenie nie jest obsługiwane przez usługę Basic Mobility and Security dla platformy Microsoft 365, a następnie wybierz pozycję Zapisz.

    Opcja podstawowej mobilności i zabezpieczeń blokuje dostęp.

Krok 5. Wybieranie grup zabezpieczeń, które mają zostać wykluczone z kontroli dostępu warunkowego

Jeśli chcesz wykluczyć niektóre osoby z kontroli dostępu warunkowego na swoich urządzeniach przenośnych i utworzono co najmniej jedną grupę zabezpieczeń dla tych osób, dodaj grupy zabezpieczeń tutaj. Osoby w tych grupach nie będą miały żadnych zasad wymuszanych dla obsługiwanych urządzeń przenośnych. Jest to zalecana opcja, jeśli nie chcesz już używać pakietu Basic Mobility and Security w organizacji.

  1. W przeglądarce wpisz .https://compliance.microsoft.com/basicmobilityandsecurity

  2. Wybierz kartę Ustawienia organizacji .

    Usługa Basic Mobility and Security umożliwia utworzenie opcji zasad.

  3. Wybierz pozycję Dodaj , aby dodać grupę zabezpieczeń zawierającą użytkowników, których chcesz wykluczyć z blokowania dostępu do platformy Microsoft 365. Po dodaniu użytkownika do tej listy może uzyskać dostęp do poczty e-mail platformy Microsoft 365, gdy korzysta z nieobsługiwanego urządzenia.

  4. Wybierz grupę zabezpieczeń, która ma być używana w panelu Wybierz grupę .

  5. Wybierz nazwę, a następnie dodaj pozycję>Zapisz.

  6. Na panelu Ustawienia organizacji wybierz pozycję Zapisz.

    Opcja Podstawowa mobilność i zabezpieczenia zezwala na dostęp.

Jaki jest wpływ zasad zabezpieczeń na różne typy urządzeń?

Po zastosowaniu zasad do urządzeń użytkowników wpływ na każde urządzenie różni się nieco w zależności od typów urządzeń. W poniższej tabeli przedstawiono przykłady wpływu zasad na różne urządzenia.

Zasady zabezpieczeń Android Samsung KNOX iOS Uwagi
Wymagaj zaszyfrowanej kopii zapasowej Nie Tak Tak Wymagana jest zaszyfrowana kopia zapasowa systemu iOS.
Blokuj tworzenie kopii zapasowych w chmurze Tak Tak Tak Blokuj tworzenie kopii zapasowej Google w systemie Android (wyszarzone), tworzenie kopii zapasowej w chmurze w nadzorowanym systemie iOS.
Blokuj synchronizację dokumentów Nie Nie Tak iOS: blokuj dokumenty w chmurze na nadzorowanych urządzeniach z systemem iOS.
Blokuj synchronizację zdjęć Nie Nie Tak iOS (natywny): Blokuj strumień zdjęć.
Blokuj przechwytywanie ekranu Nie Tak Tak Zablokowane podczas próby.
Blokuj konferencję wideo Nie Nie Tak Środowisko FaceTime jest zablokowane na nadzorowanych urządzeniach z systemem iOS, a nie w programie Skype lub innych.
Blokuj wysyłanie danych diagnostycznych Nie Tak Tak Blokuj wysyłanie raportu o awarii google w systemie Android.
Blokowanie dostępu do sklepu z aplikacjami Nie Tak Tak Brak ikony sklepu z aplikacjami na stronie głównej systemu Android, wyłączona na urządzeniach z systemem Windows i nadzorowanych urządzeniach z systemem iOS.
Wymagaj hasła dla sklepu z aplikacjami Nie Nie Tak iOS: hasło wymagane w przypadku zakupów w programie iTunes.
Blokuj połączenie z magazynem wymiennym Nie Tak nd. Android: karta SD jest wyszarzona w ustawieniach, system Windows powiadamia użytkownika, zainstalowane aplikacje nie są dostępne
Blokuj połączenie Bluetooth Zobacz notatki Zobacz notatki Tak Nie można wyłączyć funkcji BlueTooth jako ustawienia w systemie Android. Zamiast tego wyłączamy wszystkie transakcje, które wymagają funkcji BlueTooth: zaawansowana dystrybucja dźwięku, zdalne sterowanie audio/wideo, urządzenia bez użycia rąk, zestaw słuchawkowy, dostęp do książki telefonicznej i port szeregowy. W dolnej części strony zostanie wyświetlony mały wyskakujące komunikat, gdy zostanie użyty dowolny z nich.

Co się stanie po usunięciu zasad lub usunięciu użytkownika z zasad?

Po usunięciu zasad lub usunięciu użytkownika z grupy, do której zostały wdrożone zasady, ustawienia zasad, profil poczty e-mail platformy Microsoft 365 i buforowane wiadomości e-mail mogą zostać usunięte z urządzenia użytkownika. Zobacz poniższą tabelę, aby zobaczyć, co zostało usunięte dla różnych typów urządzeń.

Co zostało usunięte iOS Android (w tym Samsung KNOX)
Zarządzane profile poczty e-mail1 Tak Nie
Blokuj tworzenie kopii zapasowych w chmurze Tak Nie

1 Jeśli zasady zostały wdrożone z wybraną opcją Profil poczty e-mail jest zarządzany , zarządzany profil poczty e-mail i buforowane wiadomości e-mail w tym profilu zostaną usunięte z urządzenia użytkownika.

Zasady są usuwane z urządzenia przenośnego dla każdego użytkownika, do których zasady mają zastosowanie podczas następnego zaewidencjonowania urządzenia przy użyciu pakietu Basic Mobility and Security. W przypadku wdrożenia nowych zasad, które mają zastosowanie do tych urządzeń użytkowników, zostanie wyświetlony monit o ponowne zarejestrowanie się w usłudze Basic Mobility and Security.

Możesz również całkowicie wyczyścić urządzenie lub selektywnie wyczyścić informacje organizacyjne z urządzenia. Aby uzyskać więcej informacji, zobacz Wipe a mobile device in Basic Mobility and Security (Czyszczenie urządzenia przenośnego w usłudze Basic Mobility and Security).

Zawartość pokrewna

Omówienie usługi Basic Mobility and Security (artykuł)
Możliwości usługi Basic Mobility and Security (artykuł)