Сопоставление политик для требований к доступу в Basic Mobility and Security и Intune

Эта статья содержит сведения о сопоставлении Basic Mobility and Security с Intune. В частности, эта страница сопоставляет политики Портал соответствия требованиям Microsoft Purview требований к доступу с эквивалентной политикой в Microsoft Intune. Intune обеспечивает большую гибкость политики. Таким образом, каждая политика Office преобразуется в несколько Intune и Microsoft Entra политик для достижения одного и того же результата.

Если вы выполняете миграцию с Базовая мобильность и безопасность на Intune, вы можете использовать средство оценки миграции для автоматизации большей части этого сопоставления.

Чтобы просмотреть эти параметры в Портал соответствия требованиям Microsoft Purview, войдите на портал соответствия требованиям Purview. Затем перейдите к списку Политики безопасности устройств и выберите имя > политики Изменение требований к доступу к политике>.

Подготовка к работе

Чтобы настроить параметры в политике Intune, войдите в Центр администрирования Microsoft Intune. Управление доступом на основе ролей (RBAC) с Microsoft Intune перечисляет и описывает встроенные роли, которые могут создавать политики.

If a device doesn't meet the requirements above, then... (Если устройство не соответствует приведенным выше требованиям, то...)

Этот параметр определяет, следует ли использовать политики соответствия Intune или профили конфигурации для всех параметров требований к доступу. Предварительно ознакомьтесь с подробными сведениями об этом параметре.

Примечание.

Базовая мобильность и безопасность никогда не поддерживали принудительное применение условного доступа в Windows.

Разрешить доступ и сообщить о нарушении (по-прежнему применяется одноразовая регистрация)

Все требования к доступу развертываются в профиле конфигурации устройства Intune.

Заблокировать доступ и сообщить о нарушении

Все требования к доступу развертываются в политике соответствия Intune. Назначенные группы назначаются классическим политикам условного доступа:

• политика устройства [GraphAggregatorService];
• политика устройства [Office 365 Exchange Online];
• политика устройства [Служба Outlook для Exchange];
• политика устройства [Office 365 SharePoint Online];
• политика устройства [Служба Outlook для OneDrive].

Требование ввести пароль

Примечание.

Все параметры, связанные с паролем, влияют только на локальные учетные записи в Windows. Учетные записи пользователей, полученные из Microsoft Entra ID, не управляются этими политиками.

Если устройство не соответствует приведенным выше требованиям, то для параметра ... устанавливается значение Блокировать доступ и сообщать о нарушении, используйте политики соответствия Intune, как показано ниже. Если для параметра задано значение Разрешить…, используйте профили конфигурации.

Три политики соответствия:

• Приборы>По платформе>Виндоус>Управление устройствами>Согласие> политика name_O365_W >свойства>Параметры соответствия изменение>безопасности> системыТребуется пароль для разблокировки мобильных устройств
• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Согласие> политика name_O365_i >Свойства>Параметры соответствия изменение>системной безопасности>Требуется пароль для разблокировки мобильных устройств
• Приборы>По платформе>Андроид>Управление устройствами>Согласие> политика name_O365_A >свойства>Параметры соответствия изменение>системной безопасности>Требуется пароль для разблокировки мобильных устройств

Разрешить простые пароли

Для устройств Android этот и несколько других параметров Office охватываются одним параметром соответствия требованиям для Android. Таким образом, этот параметр не имеет конкретного сопоставления со значением соответствия требованиям для Android.

Если устройство не соответствует приведенным выше требованиям, то для параметра ... устанавливается значение Блокировать доступ и сообщать о нарушении, используйте политики соответствия Intune, как показано ниже. Если для параметра задано значение Разрешить…, используйте профили конфигурации.

Три политики соответствия:

• Приборы>По платформе>Виндоус>Управление устройствами>Согласие> политика name_O365_W >свойства>Параметры соответствия изменение>простых паролейбезопасности> системы

• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Согласие> политика name_O365_i >свойства>. Изменение>простых паролейбезопасности> системы

• Приборы>По платформе>Андроид>Управление устройствами>Согласие> policy name_O365_A >Свойства>Параметры соответствия Изменить> тип паролябезопасности> системы.

  • Если выбран параметр Запретить простые пароли, выберите вариант Числовые сложные, Буквенные, Буквенно-цифровые или Буквенно-цифровые с символами (с учетом других параметров Office).
  • Если параметр Запретить простые пароли не выбран, выберите Числовой или любой другой тип выше в этом списке (с учетом других параметров Office).

Запрос алфавитно-цифрового пароля

Для устройств Android этот и несколько других параметров Office охватываются одним параметром соответствия требованиям для Android. Таким образом, этот параметр не имеет конкретного сопоставления со значением соответствия требованиям для Android.

Если устройство не соответствует приведенным выше требованиям, то для параметра ... устанавливается значение Блокировать доступ и сообщать о нарушении, используйте политики соответствия Intune, как показано ниже. Если для параметра задано значение Разрешить…, используйте профили конфигурации.

Три политики соответствия:

• Приборы>По платформе>Виндоус>Управление устройствами>Согласие> policy name_O365_W >Properties>Compliance settings Edit>System Security>Required type password type

• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Согласие> политика name_O365_i >свойства>Параметры соответствия изменение>системной безопасности>Обязательный тип пароля

• Приборы>По платформе>Андроид>Управление устройствами>Согласие> policy name_O365_A >Свойства>Параметры соответствия Изменить> тип паролябезопасности> системы.

  • Если выбран параметр Запретить простые пароли, выберите вариант Числовые сложные, Буквенные, Буквенно-цифровые или Буквенно-цифровые с символами (с учетом других параметров Office).
  • Если параметр Запретить простые пароли не выбран, выберите Числовой или любой другой тип выше в этом списке (с учетом других параметров Office).

Пароль должен включать не менее [1–4] наборов символов

Если устройство не соответствует приведенным выше требованиям, то для параметра ... устанавливается значение Блокировать доступ и сообщать о нарушении, используйте политики соответствия Intune, как показано ниже. Если для параметра задано значение Разрешить…, используйте профили конфигурации.

Четыре политики соответствия требованиям:

• Приборы>По платформе>Виндоус>Управление устройствами>Согласие> policy name_O365_W >Свойства>Параметры соответствия изменение>сложности паролябезопасности> системы.

  Значение Office	Значение Intune
  1	Требовать цифры и строчные буквы. Политика соответствия Требованиям Windows не допускает только один набор символов, поэтому параметр Office 1 переводится как Требовать цифры и строчные буквы.
  2	Требовать цифры и строчные буквы.
  3	Требовать цифры, строчные и прописные буквы
  4	Требовать цифры, строчные буквы, прописные буквы и специальные знаки

• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Согласие> policy name_O365_i >Свойства>Параметры соответствия изменить>системный номер безопасности небукенно-цифровых символов в пароле.>

  Политика соответствия iOS не применяет число наборов символов, а только количество символов, не являющихся буквенно-цифровыми. Поэтому значения Office преобразуются в требование такого же количества символов, отличных от буквенно-цифровых.

  Значение Office	Значение Intune
  Отключено (0)	Не настроено
  1	1
  2	2
  3	3
  4	4

• Приборы>По платформе>Андроид>Управление устройствами>Согласие> policy name_O365_A >Свойства>Параметры соответствия Изменить> тип паролябезопасности> системы.

  Android не поддерживает различение строчных и прописных букв в виде разных наборов символов, поэтому нельзя применить значение Office 4. Оно преобразуется по меньшей мере в тип Буквенно-цифровой с символами.

  Значение Office	Значение Intune
  1	По меньшей мере тип Числовой или Числовой сложный (с учетом других параметров Office).
  2	По меньшей мере тип Буквенно-цифровой.
  3	По меньшей мере тип Буквенно-цифровой с символами.
  4	По меньшей мере тип Буквенно-цифровой с символами.

• Предоставление>элементов управления> доступом с name_OfficeMDM > политики. Требуется, чтобы устройство было помечено как соответствующее

Минимальная длина пароля

Если устройство не соответствует приведенным выше требованиям, то для параметра ... устанавливается значение Блокировать доступ и сообщать о нарушении, используйте политики соответствия Intune, как показано ниже. Если для параметра задано значение Разрешить…, используйте профили конфигурации.

Три политики соответствия:

• Приборы>По платформе>Виндоус>Управление устройствами>Согласие> политика name_O365_W >свойства>Параметры соответствия изменение>минимальной длины паролябезопасности> системы

• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Согласие> политика name_O365_i >свойства>Параметры соответствия изменить>минимальную длину паролябезопасности> системы

• Приборы>По платформе>Андроид>Управление устройствами>Согласие> policy name_O365_A >Свойства>Параметры соответствия изменение>системной безопасности>Обязательный тип пароля и Минимальная длина пароля.

  Значение Office для параметра Требовать буквенно-цифровой пароль.	Значение Intune для параметра Требуемый тип пароля.
  Выбрано	По меньшей мере тип Числовой (с учетом других параметров Office)
  Не выбрано	По меньшей мере тип Числовой (с учетом других параметров Office)

Разрешенное число ошибок входа до очистки устройства

Хотя этот параметр указан в разделе Требования к доступу в Базовая мобильность и безопасность, доступ по-прежнему разрешен. Это разрешено, даже если этот параметр еще не включен на устройстве и этот параметр не является критерием соответствия устройства.

Если устройство не соответствует приведенным выше требованиям, то для параметра ... устанавливается значение Блокировать доступ и сообщать о нарушении, используйте политики соответствия Intune, как показано ниже. Если для параметра задано значение Разрешить…, используйте профили конфигурации.

Три профиля конфигурации:

• Приборы>По платформе>Виндоус>Управление устройствами>Конфигурация> политика name_O365_W >свойства>Параметры соответствия изменение>пароля>Число сбоев входа перед очисткой устройства
• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Конфигурация> политика name_O365_i >свойства>Параметры соответствия изменение>пароля>число сбоев входа перед очисткой устройства
• Приборы>По платформе>Андроид>Управление устройствами>Конфигурация> политика name_O365_A >свойства>Параметры соответствия изменение>пароля>число сбоев входа перед очисткой устройства

Блокировать устройства, если они бездействуют в течение определенного числа минут

Политики соответствия требованиям Windows, iOS/iPadOS и Android не обеспечивают одинаковую степень детализации значений, поэтому диапазон параметров Office сопоставляется с меньшим количеством Intune значений.

Три политики соответствия:

• Приборы>По платформе>Виндоус>Управление устройствами>Согласие> политика name_O365_W >свойства>Параметры соответствия изменение>системной безопасности>Максимальное количество минут бездействия, прежде чем требуется пароль

  Значение Office	Значение Intune
  От 1 до 4	1 минута
  От 5 до 14	5 минут
  15 или более	15 минут

• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Согласие> политика name_O365_i >свойства>Параметры соответствия изменение>безопасности> системыМаксимальное количество минут бездействия перед паролем

  Значение Office	Значение Intune
  1	1 минута
  2	2 минуты
  3	3 минуты
  4	4 минуты
  От 5 до 9	5 минут (максимальное значение для iOS)
  От 10 до 14	10 минут (только iPadOS)
  15 или более	15 минут (только iPadOS)

• Приборы>По платформе>Андроид>Управление устройствами>Согласие> policy name_O365_A >Свойства>Параметры соответствия Изменить> тип паролябезопасности> системы.

  Значение Office	Значение Intune
  От 1 до 4	1 минута
  От 5 до 14	5 минут
  От 15 до 29	15 минут
  От 30 до 59	30 минут
  60	60 минут

Срок действия пароля

Если устройство не соответствует приведенным выше требованиям, то для параметра ... устанавливается значение Блокировать доступ и сообщать о нарушении, используйте политики соответствия Intune, как показано ниже. Если для параметра задано значение Разрешить…, используйте профили конфигурации.

Три политики соответствия:

• Приборы>По платформе>Виндоус>Управление устройствами>Согласие> политика name_O365_W >свойства>Параметры соответствия изменение> срока действия паролябезопасности> системы(в днях)
• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Согласие> политика name_O365_i >свойства>Параметры соответствия изменение> срока действия паролябезопасности> системы(в днях)
• Приборы>По платформе>Андроид>Управление устройствами>Согласие> policy name_O365_A >Свойства>Параметры соответствия изменение> системнойбезопасности>число дней до истечения срока действия пароля.

Журнал паролей и предотвращение повторного использования

Если устройство не соответствует приведенным выше требованиям, то для параметра ... устанавливается значение Блокировать доступ и сообщать о нарушении, используйте политики соответствия Intune, как показано ниже. Если для параметра задано значение Разрешить…, используйте профили конфигурации.

Три политики соответствия:

• Приборы>По платформе>Виндоус>Управление устройствами>Согласие> политика name_O365_W >свойства>Параметры соответствия изменить>системный номер безопасности предыдущих паролей, чтобы предотвратить повторное использование>

• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Согласие> политика name_O365_i >свойства>Параметры соответствия изменить>системный номер безопасности>предыдущих паролей, чтобы предотвратить повторное использование

• Приборы>По платформе>Андроид>Управление устройствами>Согласие> политика name_O365_A >Свойства>Параметры соответствия изменить>системный номер безопасности>предыдущих паролей, чтобы предотвратить повторное использование и обязательный тип пароля

  Значение Office для параметра Требовать буквенно-цифровой пароль.	Значение Intune для параметра Требуемый тип пароля.
  Выбрано	По меньшей мере тип Числовой (с учетом других параметров Office)
  Не выбрано	По меньшей мере тип Числовой (с учетом других параметров Office)

Требовать шифрование данных на устройствах

Этот параметр никогда не поддерживался в Basic Mobility and Security для Windows или iOS/iPadOS.

Если устройство не соответствует приведенным выше требованиям, то для параметра ... устанавливается значение Блокировать доступ и сообщать о нарушении, используйте политики соответствия Intune, как показано ниже. Если для параметра задано значение Разрешить…, используйте профили конфигурации.

Одна политика соответствия:

• Приборы>По платформе>Андроид>Управление устройствами>Согласие> политика name_O365_A >свойства>Параметры соответствия изменение>шифрования безопасности системы>хранилища данных на устройстве

Запретить подключение для взломанных или рутованных устройств

Этот параметр никогда не поддерживался в Basic Mobility and Security для Windows.

Для устройств Android в Intune этот параметр поддерживается только для устройств администратора.

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Если устройство не соответствует приведенным выше требованиям, то для параметра ... устанавливается значение Блокировать доступ и сообщать о нарушении, используйте политики соответствия Intune, как показано ниже. Если для параметра задано значение Разрешить…, используйте профили конфигурации.

Две политики соответствия требованиям:

• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Согласие> политика name_O365_i >свойства>параметров соответствия изменение> состоянияработоспособности>устройства со снятой защитой
• Приборы>По платформе>Андроид>Управление устройствами>Согласие> политика name_O365_A >свойства>Параметры соответствия изменение>устройств с корнемработоспособности> устройств

Требовать управление профилем электронной почты (требуется для выборочной очистки в iOS)

Требование этого параметра никогда не поддерживалась в Basic Mobility and Security для Windows или Android. Электронная почта Windows никогда не поддерживалась в Basic Mobility and Security для Windows 10.

Для Android этот параметр поддерживался в Basic Mobility and Security только для устройств Samsung Knox.

Intune требуется настроить дополнительные параметры при развертывании электронной почты, которые не были доступны в политиках безопасности устройств. Дополнительные сведения см. в разделе Дополнительные параметры, необходимые Intune для профилей электронной почты.

Если устройство не соответствует приведенным выше требованиям, то для параметра ... устанавливается значение Блокировать доступ и сообщать о нарушении, используйте политики соответствия Intune, как показано ниже. Если для параметра задано значение Разрешить…, используйте профили конфигурации.

Три профиля конфигурации и одна политика соответствия требованиям:

• Приборы>По платформе>Виндоус>Управление устройствами>Конфигурация> политика name_O365_W_Email >Свойства>Параметры конфигурации Изменить

  Параметр	Значение
  Сервер электронной почты	outlook.office365.com
  Имя учетной записи	Адрес электронной почты Office 365
  Атрибут username из Microsoft Entra ID	"User Principal Name" (Имя участника-пользователя);
  Email атрибут address из Microsoft Entra ID	"User Principal Name" (Имя участника-пользователя);
  SSL	Включение

• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Конфигурация> политика name_O365_i_Email >Свойства>Параметры конфигурации Изменить

  Параметр	Значение
  Сервер электронной почты	outlook.office365.com
  Имя учетной записи	Адрес электронной почты Office 365
  Атрибут username из Microsoft Entra ID	"User Principal Name" (Имя участника-пользователя);
  Email атрибут address из Microsoft Entra ID	"User Principal Name" (Имя участника-пользователя);
  Имя проверки подлинности	Имя пользователя и пароль
  SSL	Включение

• Приборы>По платформе>iOS/iPadOS>Управление устройствами>Согласие> политика name_O365_i >параметры>соответствия требованиям Изменить>Email>Недоступен для настройки электронной почты на устройстве>требовать

• Приборы>Политика профилей конфигурации> Android name_O365_A_Email >>свойства> ** Изменение параметров конфигурации

  Параметр	Значение
  Сервер электронной почты	outlook.office365.com
  Имя учетной записи	Адрес электронной почты Office 365
  Атрибут username из Microsoft Entra ID	"User Principal Name" (Имя участника-пользователя);
  Email атрибут address из Microsoft Entra ID	"User Principal Name" (Имя участника-пользователя);
  Имя проверки подлинности	Имя пользователя и пароль
  SSL	Включение

Дополнительные параметры, необходимые Intune для профилей электронной почты

Следующие параметры не развертываются политиками безопасности устройств. Но при развертывании профилей электронной почты Intune требует, чтобы параметры имели значение.

Платформа	Setting	Значение при миграции
Android	Требовать S/MIME	false
Android	Синхронизировать контакты	true
Android	Синхронизировать календарь	true
Android	Синхронизировать задачи	true
Android	Синхронизировать заметки	false
iOS	Блокировать перемещение сообщений в другие учетные записи электронной почты	false
iOS	Блокировать отправку сообщений электронной почты от сторонних адресов	false
iOS	Блокировать синхронизацию недавно использовавшихся адресов электронной почты	false
iOS	Требовать S/MIME	false
Windows 10	Синхронизировать контакты	true
Windows 10	Синхронизировать календарь	true
Windows 10	Синхронизировать задачи	true

Статьи по теме

Средство оценки миграции