Возможности Basic Mobility + Security
Базовая мобильность и безопасность поможет вам защитить и управлять мобильными устройствами, такими как iPhone, iPad, Android и Windows Phone, которые используются лицензированными пользователями Microsoft 365 в вашей организации. Вы можете создать политики управления мобильными устройствами с параметрами, которые помогут управлять доступом к электронной почте и документам Microsoft 365 вашей организации для поддерживаемых мобильных устройств и приложений. Если устройство потеряли или украли, можно удаленно очистить устройство, чтобы уничтожить конфиденциальную корпоративную информацию.
Поддерживаемые операционные системы
Следуйте инструкциям в руководстве по Microsoft Intune операционным системам для минимальных поддерживаемых операционных систем для устройств по Базовая мобильность и безопасность. Дополнительные сведения см. в разделе Intune поддерживаемых операционных систем.
Вы можете использовать Базовая мобильность и безопасность для защиты следующих устройств и управления ими.
- iOS
- Android (включая Samsung Knox)1
- Windows2, 3
1После июня 2020 г. версии Android старше 9 не смогут управлять параметрами пароля, за исключением устройств Samsung Knox.
2Управление доступом для устройств WINDOWS 8.1 RT ограничено Exchange ActiveSync.
3Для управления доступом для Windows 10 требуется подписка, включающая Microsoft Entra ID P1 или P2, и устройство должно быть присоединено к Microsoft Entra ID.
Примечание.
Устройства, уже зарегистрированные в более ранних версиях ОС, продолжают работать, хотя возможности могут измениться без уведомления.
Если пользователи в вашей организации используют мобильные устройства, которые не поддерживаются Базовая мобильность и безопасность, вам может потребоваться заблокировать доступ Exchange ActiveSync приложений к электронной почте Microsoft 365 для этих устройств, чтобы сделать данные организации более безопасными. Инструкции по блокировке Exchange ActiveSync см. в разделе Управление параметрами доступа к устройству в Базовая мобильность и безопасность.
Управление доступом к электронной почте и документам Microsoft 365
Поддерживаемые приложения для различных типов мобильных устройств, приведенные в следующей таблице, побуждают пользователей зарегистрироваться в Базовая мобильность и безопасность, где существует новая политика управления мобильными устройствами, которая применяется к устройству пользователя, и пользователь ранее не зарегистрировал устройство. Если устройство пользователя не соответствует политике, в зависимости от того, как вы настроили политику, пользователю может быть запрещен доступ к ресурсам Microsoft 365 в этих приложениях или у него может быть доступ, но Microsoft 365 сообщит о нарушении политики.
Продукт | iOS | Android |
---|---|---|
Exchange Exchange ActiveSync включает встроенные приложения электронной почты и сторонние приложения, такие как TouchDown, которые используют Exchange ActiveSync версии 14.1 или более поздней. | Почта | Электронная почта |
Приложения в Microsoft 365 и OneDrive для бизнеса | Outlook OneDrive Word Excel PowerPoint |
На телефонах и планшетах: Outlook OneDrive Word Excel PowerPoint Только на телефонах Microsoft 365 mobile |
Примечание.
- Поддержка iOS 10.0 и более поздних версий включает устройства iPhone и iPad.
- Управление устройствами ОС BlackBerry не поддерживается базовой безопасностью и мобильностью. Используйте BlackBerry Business Облачные службы (BBCS) от BlackBerry для управления устройствами ОС BlackBerry. Устройства Blackberry под управлением ОС Android поддерживаются как стандартные устройства Android
- Пользователям не будет предложено зарегистрироваться и они не будут заблокированы или сообщать о нарушении политики, если они используют мобильный браузер для доступа к сайтам Microsoft 365 SharePoint, документам в Microsoft 365 в Интернете или электронной почте в Outlook Web App.
На следующей схеме показано, что происходит, когда пользователь с новым устройством входит в приложение, которое поддерживает управление доступом с помощью Базовая мобильность и безопасность. Пользователю запрещен доступ к ресурсам Microsoft 365 в приложении, пока он не зарегистрировал свое устройство.
Примечание.
Политики и правила доступа, созданные в Базовая мобильность и безопасность для Microsoft 365 бизнес стандарт, переопределяют Exchange ActiveSync политики почтовых ящиков мобильных устройств и правила доступа к устройствам, созданные в Центре администрирования Exchange. После регистрации устройства в Базовая мобильность и безопасность для Microsoft 365 бизнес стандарт любая политика Exchange ActiveSync почтовых ящиков мобильного устройства или правило доступа к устройству будут игнорироваться. Дополнительные сведения о Exchange ActiveSync см. в разделе Exchange ActiveSync в Exchange Online.
Параметры политики для мобильных устройств
Если вы создаете политику для блокировки доступа с включенными параметрами, пользователям будет запрещен доступ к ресурсам Microsoft 365 при использовании поддерживаемого приложения, указанного в разделе Управление доступом к электронной почте и документам Microsoft 365.
Параметры, которые могут блокировать доступ пользователей к ресурсам Microsoft 365, приведены в следующих разделах:
Безопасность
Шифрование
Взлом устройства
Управляемый профиль электронной почты
Например, на следующей схеме показано, что происходит, когда пользователь с зарегистрированным устройством не соответствует параметрам безопасности в политике управления мобильным устройством, применяемой к его устройству. Пользователь входит в приложение, которое поддерживает управление доступом с помощью Базовая мобильность и безопасность. Им запрещен доступ к ресурсам Microsoft 365 в приложении до тех пор, пока их устройство не будет соответствовать параметрам безопасности.
В следующих разделах перечислены параметры политики, которые можно использовать для защиты мобильных устройств, которые подключаются к ресурсам организации Microsoft 365 и управления ими.
Параметры безопасности
Имя параметра | iOS | Android | Samsung Knox |
---|---|---|---|
Требование ввести пароль | Да | Нет | Нет |
Запретить простой пароль | Да | Нет | Нет |
Запрос алфавитно-цифрового пароля | Да | Нет | Нет |
Минимальная длина пароля | Да | Да | Да |
Количество неудачных попыток входа перед очисткой устройства | Да | Да | Да |
Минут простоя до блокировки устройства | Да | Нет | Нет |
Срок действия пароля (дней) | Да | Да | Да |
Журнал паролей и предотвращение повторного использования | Да | Да | Да |
Важно!
Блокировка устройств, если они неактивны в течение этого количества минут , больше не поддерживается для Android и Samsung Knox.
Параметры шифрования.
Имя параметра | iOS | Android | Samsung Knox |
---|---|---|---|
Требовать шифрование данных на устройствах1 | Нет | Да | Да |
1С помощью Samsung Knox вы также можете требовать шифрование на картах памяти.
Установка параметров для взломанного устройства
Имя параметра | iOS | Android | Samsung Knox |
---|---|---|---|
Устройство невозможно взломать или получить на нем доступ к корневому каталогу | Да | Да | Да |
Управляемый параметр профиля электронной почты
Следующий параметр позволяет запретить пользователям доступ к электронной почте Microsoft 365, если они используют созданный вручную профиль электронной почты. Пользователи устройств с iOS должны удалить профиль электронной почты, созданный вручную, прежде чем получить доступ к своей электронной почте. После удаления профиля на устройстве автоматически создается новый профиль. Инструкции о том, как конечные пользователи могут получить соответствие требованиям, см. в разделе На устройстве уже установлен профиль электронной почты.
Имя параметра | iOS | Android | Samsung Knox |
---|---|---|---|
Управление профилем электронной почты | Да | Нет | Нет |
Параметры облака
Имя параметра | iOS | Android | Samsung Knox |
---|---|---|---|
Требовать шифрование резервных копий | Да | Нет | Нет |
Блокировать облачное резервное копирование1 | Да | Нет | Нет |
Блокировка синхронизации документов1 | Да | Нет | Нет |
Блокировать синхронизацию фотографий | Да | Нет | Нет |
Разрешить резервное копирование Google | Недоступно | Нет | Да |
Разрешить автоматическую синхронизацию учетной записи Google | Недоступно | Нет | Да |
1Для работы этих параметров требуются защищенные устройства iOS.
Параметры системы
Имя параметра | iOS | Android | Samsung Knox |
---|---|---|---|
Блокировать снимки экрана | Да | Нет | Да |
Запрет отправки диагностических данных с устройства | Да | Нет | Да |
Параметры приложений.
Имя параметра | iOS | Android | Samsung Knox |
---|---|---|---|
Блокировка видеоконферений на устройстве1 | Да | Нет | Нет |
Блокировка доступа к хранилищу приложений1 | Да | Нет | Да |
Требовать пароль при доступе к магазину приложений | Да | Нет | Нет |
1Для работы этих параметров требуются защищенные устройства iOS.
Параметры возможностей устройства
Имя параметра | iOS | Android | Samsung Knox |
---|---|---|---|
Блокировать соединение со съемными носителями | Нет | Нет | Да |
Блокировать подключение Bluetooth | Нет | Нет | Да |
Дополнительные параметры
Следующие дополнительные параметры политики можно задать с помощью командлетов PowerShell для обеспечения безопасности & соответствия требованиям. Дополнительные сведения см. в статье PowerShell безопасности и соответствия требованиям.
Имя параметра | iOS | Android |
---|---|---|
CameraEnabled | Да | Да |
RegionRatings | Да | Нет |
MoviesRatings | Да | Нет |
TVShowsRating | Да | Нет |
AppsRatings | Да | Нет |
AllowVoiceDialing | Да | Нет |
AllowVoiceAssistant | Да | Нет |
AllowAssistantTimeLocked | Да | Нет |
AllowPassbookTimeLocked | Да | Нет |
MaxPasswordGracePeriod | Да | Нет |
PasswordQuality | Нет | Да |
SystemSecurityTLS | Да | Нет |
WLANEnabled | Нет | Нет |
Параметры, поддерживаемые Windows
Вы можете управлять Windows 10 устройствами, регистрируя их как мобильные устройства. После развертывания применимой политики пользователи с Windows 10 устройствами должны будут зарегистрироваться в Базовая мобильность и безопасность первый раз, когда они используют встроенное почтовое приложение для доступа к электронной почте Microsoft 365 (требуется подписка Microsoft Entra ID P1 или P2).
Следующие параметры поддерживаются для Windows 10 устройств, зарегистрированных в качестве мобильных устройств. Этот параметр не блокирует доступ пользователей к ресурсам Microsoft 365.
Параметры безопасности
Запрос алфавитно-цифрового пароля
Минимальная длина пароля
Количество неудачных попыток входа перед очисткой устройства
Минут простоя до блокировки устройства
Срок действия пароля (дней)
Журнал паролей и предотвращение повторного использования
Примечание.
Следующие параметры, регулирующие пароли, управляют только локальными учетными записями Windows. Учетные записи Windows, предоставляемые путем присоединения к домену или Microsoft Entra ID, не зависят от этих параметров.
Параметры системы
Блокировать отправку диагностических данных с устройства.
Дополнительные параметры
Эти дополнительные параметры политики можно задать с помощью командлетов PowerShell:
AllowConvenienceLogon
UserAccountControlStatus
FirewallStatus
AutoUpdateStatus
AntiVirusStatus
AntiVirusSignatureStatus
SmartScreenEnabled
WorkFoldersSyncUrl
Удаленная очистка мобильного устройства
Если устройство потеряно или украдено, вы можете удалить конфиденциальные данные организации и помочь предотвратить доступ к ресурсам организации Microsoft 365, выполнив очистку от Портал соответствия требованиям Microsoft Purview>Управление>устройствами. Можно выполнить выборочную очистку, удалив только данные организации, или полную очистку для удаления всей информации с устройства и возврата устройства к заводским установкам.
Дополнительные сведения см. в статье Очистка мобильного устройства в Базовая мобильность и безопасность.
Связанные материалы
Обзор Базовая мобильность и безопасность для Microsoft 365 (статья)
Создание политик безопасности устройств в Базовая мобильность и безопасность (статья)