Обзор службы облачной политики для Microsoft 365
Примечание.
"Служба облачной политики Office" переименована в "Служба облачной политики для Microsoft 365". В большинстве случаев мы просто будем называть его облачной политикой.
Облачная служба политики для Microsoft 365 позволяет применять параметры политики для Приложения Microsoft 365 для предприятий на устройстве пользователя, даже если устройство не присоединено к домену или не управляется иным образом. Когда пользователь входит в приложения Microsoft 365 для предприятий на устройстве, параметры политики перемещаются на это устройство. Параметры политики доступны для устройств под управлением Windows, macOS, iOS и Android, хотя не все параметры политики доступны для всех операционных систем. Вы также можете применить некоторые параметры политики для Office для Интернета и Loop, как для гостей, которые вошли в систему, так и для пользователей, которые получают анонимный доступ к документам.
Облачная политика является частью Центра администрирования Приложения Microsoft 365. Служба включает в себя множество параметров политики на основе пользователей, доступных в групповая политика. Вы также можете использовать облачную политику непосредственно в Центре администрирования Microsoft Intune в разделе Политики приложений>>для приложений Office.
Требования
Поддерживаемые встроенные роли администратора
Для доступа к функции и управления ею можно использовать следующие встроенные роли Microsoft Entra:
Важно!
Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Role | Описание |
---|---|
Администратор приложений Office (рекомендуется) | Эта роль может управлять облачными службами приложений Office, включая управление политиками и параметрами, а также управлять возможностью выбора, отмены выбора и публикации содержимого функций "новые возможности" на устройствах конечных пользователей. |
Администратор безопасности | Эта роль может считывать сведения о безопасности и отчеты, а также управлять конфигурацией в Microsoft Entra ID и Office 365. |
Глобальный администратор | Эта роль может управлять всеми аспектами Microsoft Entra ID и служб Майкрософт, которые используют Microsoft Entra удостоверения. |
Примечание.
Global Reader — это еще одна встроенная роль, поддерживаемая Центром администрирования Приложения Microsoft 365, но она не поддерживает некоторые функции, такие как обновление облака или страница "Параметры современных приложений".
Требования к лицензированию
Пользователю необходимо назначить один из следующих планов подписки:
Тип | План подписки |
---|---|
Образование | |
Для бизнеса | |
Корпоративная | |
для государственных организаций |
Важно!
Следующие планы не поддерживаются:
- Microsoft 365 под управлением 21Vianet
- Microsoft 365 GCC High и DoD
Примечание.
- Конфигурацию политики нельзя применить к версиям Office с корпоративной лицензией, которые используют функцию "нажми и запускай", например Office LTSC профессиональный плюс 2021 или Office стандартный 2019.
- Вы можете создать конфигурацию политики для Приложения Microsoft 365 для бизнеса, но поддерживаются только параметры политики, связанные с элементами управления конфиденциальностью. Дополнительные сведения см. статье Использование параметров политики для управления средствами управления конфиденциальностью в Microsoft 365 профессиональный плюс.
Требования к версии продукта
Вы можете управлять Приложения Microsoft 365 в Windows с помощью следующих требований к версии:
- Поддерживаемая версия Приложения Microsoft 365
- Поддерживаемая версия Microsoft Windows 10/11
- Поддерживаемая версия Windows Server, поддерживающая Приложения Microsoft 365
Примечание.
Для клиентов GCC минимальная поддерживаемая версия клиента Office для политик, доставляемых в Приложения Microsoft 365, работающих в Windows, — версия 2410 или более поздняя.
Требования к сети
Устройствам под управлением Приложения Microsoft 365 требуется доступ к следующим конечным точкам:
Служба Майкрософт | URL-адреса, которые должны находиться в списке разрешенных |
---|---|
Центр администрирования Приложений Microsoft 365 | |
Сеть доставки содержимого (CDN) Office |
Источник: URL-адреса и диапазоны IP-адресов Microsoft 365
требования к группам Microsoft Entra
Служба облачной политики поддерживает использование групп Microsoft Entra со следующими требованиями:
- Политики применяются только к объектам пользователей.
- Объекты пользователя должны присутствовать в Microsoft Entra ID и иметь назначенную поддерживаемую лицензию.
- Вложенные группы поддерживают до трех уровней глубины.
- Группа может содержать как объекты устройства , так и объекты пользователя, но объекты устройства игнорируются.
Действия по созданию конфигурации политики
Ниже приведены основные шаги по созданию конфигурации политики.
- Войдите в Центр администрирования Приложения Microsoft 365. Если вы используете Центр администрирования в первый раз, ознакомьтесь с условиями. Затем выберите Принять.
- В разделе Настройка выберите Управление политиками.
- На странице Конфигурации политик выберите Создать.
- На странице Начать с основных сведений введите имя (обязательно) и описание (необязательно), а затем нажмите кнопку Далее.
- На странице Выбор область определите, применяется ли конфигурация политики ко всем пользователям, определенным группам или к пользователям, которые анонимно получают доступ к документам с помощью Office для Интернета.
- Если конфигурация политики применяется к определенным группам, теперь можно добавить несколько групп в одну конфигурацию политики для более гибкого нацеливания. Чтобы добавить группы, выберите Добавить Группы и выберите соответствующие группы. Добавление нескольких групп в одну конфигурацию политики позволяет включить одну группу в несколько конфигураций политик, что упрощает процесс управления политиками.
- Выбрав нужный вариант, нажмите кнопку Далее.
- На странице Настройка параметров выберите политики, которые нужно включить в конфигурацию политики. Вы можете выполнить поиск политики по имени или создать пользовательский фильтр. Вы можете фильтровать по платформе, по приложениям, по настройке политики и по тому, является ли политика рекомендуемой базовой базой безопасности.
- После выбора нажмите кнопку Далее , чтобы просмотреть выбранные варианты. Затем нажмите кнопку Создать , чтобы создать конфигурацию политики.
Управление конфигурациями политик
Чтобы изменить конфигурацию политики, выполните следующие действия.
- Перейдите на страницу Конфигурации политик .
- Откройте сведения о конфигурации политики, которую нужно изменить, выбрав ее.
- Внесите соответствующие изменения в конфигурацию политики.
- Перейдите на страницу Рецензирование и публикация .
- Выберите Обновить , чтобы сохранить и применить изменения.
Если вы хотите создать новую конфигурацию политики, аналогичную существующей конфигурации политики, выберите существующую конфигурацию политики на странице Конфигурации политик и нажмите кнопку Копировать. Внесите соответствующие изменения и нажмите кнопку Создать.
Чтобы узнать, какие политики настраиваются при изменении конфигурации политики, перейдите в раздел Политики и отфильтруйте по столбцу Состояние или выберите срез Настроено в верхней части таблицы политик. Вы также можете выполнять фильтрацию по приложениям и платформам.
Чтобы изменить порядок приоритетов для конфигураций политик, выберите Изменить порядок приоритета на странице Конфигурации политики .
Если вы хотите экспортировать конфигурацию политики, выберите существующую конфигурацию политики на странице Конфигурации политики , а затем выберите Экспорт. Это действие создает CSV-файл для скачивания.
Применение конфигурации политики
Служба "нажми и запускай", используемая Приложения Microsoft 365 для предприятий регулярно регистрируется в службе облачной политики, чтобы узнать, есть ли какие-либо политики, относящиеся к вошедшего пользователя. Если они есть, то соответствующие политики применяются и вступают в силу при следующем открытии пользователем приложения Office, например Word или Excel.
- При запуске приложения Office или изменении пользователя, выполнившего вход, служба "нажми и работу" определяет, пришло ли время получить политики для вошедшего пользователя.
- Если это первый вход пользователя, вызов проверка выполняется для получения политик для вошедшего пользователя.
- Если пользователь ранее вошел в систему, вызов проверка выполняется только в том случае, если интервал проверка истек.
- Когда служба получает вызов проверка, для пользователя определяется Microsoft Entra членство в группе.
- Если пользователь не является членом Microsoft Entra группы, которому назначена конфигурация политики, служба уведомляет пользователя о проверка в течение 24 часов.
- Если пользователь является членом Microsoft Entra группы, назначенной конфигурацией политики, служба возвращает соответствующие параметры политики для пользователя и сообщает о необходимости проверка в течение 90 минут.
- Если возникает ошибка, при следующем открытии пользователем приложения Office, например Word или Excel, выполняется еще один вызов проверка.
- Если при следующем вызове проверка в ней не запущено никаких приложений Office, проверка будет выполнено при следующем открытии пользователем приложения Office, например Word или Excel.
Примечание.
Политики из облачной политики применяются только при перезапуске приложения Office. Поведение аналогично групповая политика. Для устройств Windows политики применяются в зависимости от основного пользователя, вошедшего в Приложения Microsoft 365 для предприятий. Если в систему вошли несколько учетных записей, применяются только политики для основной учетной записи. При переключении основной учетной записи большинство политик, назначенных этой учетной записи, не будут применяться до перезапуска приложений Office. Некоторые политики, связанные с элементами управления конфиденциальностью , будут применяться без перезапуска приложений Office.
Если пользователи находятся во вложенных группах, а родительская группа ориентирована на политики, пользователи во вложенных группах получат политики. Вложенные группы и пользователи в этих вложенных группах должны быть созданы или синхронизированы с Microsoft Entra ID.
Интервал проверка контролируется службой облачной политики и передается в службу "нажми и запуск" во время каждого вызова проверка.
Если пользователь является членом нескольких Microsoft Entra групп с конфликтующими параметрами политики, приоритет используется для определения примененного параметра политики. Применяется самый высокий приоритет, при этом "0" является наивысшим приоритетом, который можно назначить. Вы можете задать приоритет, выбрав Изменить порядок приоритета на странице Конфигурации политики .
Кроме того, параметры политики, реализованные с помощью облачной политики, имеют приоритет над параметрами политики, реализованными с помощью групповая политика в Windows Server, и имеют приоритет над параметрами предпочтения или локально примененными параметрами политики.
Базовые показатели
Корпорация Майкрософт стремится к инновациям и снижению нагрузки ИТ-администраторов с помощью создания современных средств управления. При этом базовые показатели в облачной политике — это еще один способ сэкономить время при развертывании политики для организации. Базовые показатели безопасности и специальных возможностей предоставляют уникальный фильтр по групповая политика, необходимых для защиты организации и предоставления конечным пользователям возможностей для создания содержимого со специальными возможностями.
Базовая конфигурация безопасности
Чтобы легко определить базовые политики безопасности, в таблицу политик был добавлен новый столбец с именем Рекомендация. Политики, рекомендуемые для базовых показателей безопасности, активируются в этом столбце. Вы также можете использовать фильтр столбцов, чтобы ограничить представление только политиками, помеченными как базовые показатели безопасности.
Дополнительные сведения см. в разделе Базовые показатели безопасности для Приложения Microsoft 365 для предприятий.
Базовый уровень специальных возможностей
Большинство наших клиентов делают шаги, чтобы стать более доступными как организация. Базовые возможности специальных возможностей позволяют ИТ-специалистам настраивать политики специальных возможностей, чтобы пользователи могли создавать содержимое со специальными возможностями и ограничивать возможность удаления отключенных параметров средства проверки читаемости.
Поддержка Microsoft Purview
Служба облачной политики поддерживает решения аудита Microsoft Purview. Если аудит включен, отслеживаются такие события, как создание, удаление, изменение конфигураций политик, изменение настроенных параметров политики и корректировка порядка приоритетов. Вы можете использовать портал или PowerShell для поиска таких изменений в журнале аудита . Дополнительные сведения о захваченных операциях и формате данных см. в документации по действиям и справочнике по схеме.
Дополнительные сведения об облачной политике
- Доступны только параметры политики на основе пользователя. Параметры политики на основе компьютера недоступны.
- По мере того как новые параметры политики на основе пользователей становятся доступными для Office, облачная политика автоматически добавляет их. Скачивание обновленных файлов административных шаблонов (ADMX/ADML) не требуется.
- Вы также можете создать конфигурации политик для применения параметров политики для поддерживаемых версий классических приложений, которые поставляются с планами подписки Project и Visio.
- Функция состояния работоспособности была прекращена во второй половине марта 2022 года. В будущем (пока неизвестная дата) мы планируем предоставить расширенные функции создания отчетов о работоспособности и мониторинга соответствия требованиям для облачной политики.
Советы по устранению неполадок
Если ожидаемые политики неправильно применяются к устройству пользователя, попробуйте выполнить следующие действия:
Убедитесь, что пользователь вошел в Приложения Microsoft 365 для предприятий, активировал его и имеет действительную лицензию.
Убедитесь, что пользователь входит в соответствующую группу безопасности.
Убедитесь, что вы не используете прокси-сервер с проверкой подлинности.
Проверьте приоритет конфигураций политики. Если пользователь входит в несколько групп безопасности, которым назначены конфигурации политик, приоритет конфигураций политики определяет, какие политики вступают в силу.
В некоторых случаях политики могут применяться неправильно, если два пользователя с разными политиками входят в Office на одном устройстве во время одного сеанса Windows.
Параметры политики, полученные из облачной политики, хранятся в реестре Windows в HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0. Этот ключ перезаписывается каждый раз, когда новый набор политик извлекается из службы политик в процессе проверка.
Действие проверка службы политик хранится в реестре Windows в HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. При удалении этого ключа и перезапуске приложений Office служба политики будет проверка при следующем запуске приложения Office.
Если вы хотите увидеть, когда устройство под управлением Windows планируется проверка с помощью облачной политики, просмотрите раздел FetchInterval в разделе HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. Значение выражается в минутах. Например, 1440, что соответствует 24 часам.
Вы можете столкнуться со значением FetchInterval, равным 0. Если это значение существует, клиент ожидает 24 часа с момента последнего проверка, прежде чем снова попытаться проверка с помощью облачной политики.