适用于 Microsoft 365 的云策略服务概述

注意

“Office 云策略服务”已重命名为“适用于 Microsoft 365 的云策略服务”。在大多数情况下,我们将它称为云策略。

Microsoft 365 的云策略服务允许在用户设备上强制实施Microsoft 365 企业应用版策略设置,即使设备未加入域或未进行其他管理也是如此。 用户在设备上登录 Microsoft 365 企业应用版时,策略设置将漫游到该设备。 策略设置适用于运行 Windows、macOS、iOS 和 Android 的设备,但并非所有策略设置都适用于所有操作系统。 对于登录的来宾和匿名访问文档的用户,还可以对Office 网页版和Loop强制实施一些策略设置。

云策略是Microsoft 365 应用版管理中心的一部分。 该服务包括许多在 组策略 中提供的基于用户的相同策略设置。 还可以直接在 Microsoft Intune 管理中心的 Office 应用>策略策略下使用云策略>。

要求

支持的内置管理员角色

可以使用以下内置 Microsoft Entra 角色来访问和管理该功能:

重要

Microsoft 建议使用权限最少的角色。 这有助于提高组织的安全性。 全局管理员是一个权限很高的角色,应仅限于在无法使用现有角色的紧急情况下使用。

Role 说明
Office 应用管理员(推荐 该角色可以管理 Office 应用云服务,包括策略和设置管理,以及管理选择、取消选择和向最终用户设备发布“新增功能”功能内容的能力。
安全管理员 该角色可以读取安全信息和报告,并在 Microsoft Entra ID 和 Office 365 中管理配置。
全局管理员 该角色可以管理 Microsoft Entra ID 和使用 Microsoft Entra 标识的 Microsoft 服务的所有方面。

注意

全局读取者是 Microsoft 365 应用版管理中心支持的另一个内置角色,但它不支持云更新或“新式应用设置”页面等功能。

许可要求

必须将用户分配到以下订阅计划之一:

类型 订阅计划
教育版
  • Microsoft 365 A3
  • Microsoft 365 A5
  • 商业版
  • Microsoft 365 商业标准版
  • Microsoft 365 商业高级版
  • 企业版
  • Office 365 E3
  • Office 365 E5
  • Microsoft 365 E3
  • Microsoft 365 E5
  • 政府版
  • Microsoft 365 G3
  • Microsoft 365 G5
  • 重要

    不支持以下计划:

    • 由世纪互联运营的 Microsoft 365
    • Microsoft 365 GCC High 和 DoD

    注意

    • 策略配置不能应用于使用即点即用的 Office 批量许可版本,例如Office LTSC 专业增强版 2021或 2019 Office Standard。
    • 可以为Microsoft 365 商业应用版创建策略配置,但仅支持与隐私控制相关的策略设置。 有关详细信息,请参阅使用策略设置来管理 Microsoft 365 企业应用版的隐私控制

    产品版本要求

    可以在 Windows 上管理 Microsoft 365 应用版,但具有以下版本要求:

    注意

    对于 GCC 客户,要传递到 Windows 上运行Microsoft 365 应用版的策略的最低受支持 Office 客户端版本为 2410 或更高版本。

    网络要求

    运行 Microsoft 365 应用版的设备需要访问以下终结点:

    Microsoft 服务 允许列表中所需的 URL
    Microsoft 365 应用版管理中心
  • login.live.com
  • *.office.com
  • *.office.net
  • Office 内容传递网络 (CDN)
  • officecdn.microsoft.com
  • officecdn.microsoft.com.edgesuite.net
  • otelrules.azureedge.net
  • 源:Microsoft 365 URL 和 IP 地址范围

    Microsoft Entra 组要求

    云策略服务支持使用以下要求Microsoft Entra组

    • 策略仅适用于 用户对象
    • 用户对象必须存在于 Microsoft Entra ID 中,并分配有支持的许可证
    • 嵌套组最多支持三个深度级别。
    • 组可能包含 设备对象用户对象,但 设备对象 将被忽略。

    创建策略配置的步骤

    下面是创建策略配置的基本步骤。

    1. 登录到 Microsoft 365 应用版 管理中心。 如果是首次使用管理中心,请查看条款。 然后,选择“ 接受”。
    2. “自定义”下,选择“ 策略管理”。
    3. “策略配置 ”页上,选择“ 创建”。
    4. “从基本信息开始 ”页上,输入所需的) 名称 (,并输入可选) (说明,然后选择“ 下一步”。
    5. “选择范围”页上,确定策略配置是适用于所有用户、特定组,还是适用于使用 Office 网页版匿名访问文档的用户。
    6. 如果策略配置应用于特定组,则现在可以将多个组添加到单个策略配置,以便更灵活的目标。 若要添加组,请选择“添加组并选择相关组。 将多个组添加到单个策略配置允许将同一组包含在多个策略配置中,从而促进更简化和高效的策略管理过程。
    7. 做出选择后,选择“ 下一步”。
    8. “配置设置” 页上,选择要包含在策略配置中的策略。 可以按名称搜索策略,也可以创建自定义筛选器。 可以按应用程序筛选平台、是否配置策略以及策略是否是建议的安全基线。
    9. 做出选择后,选择“ 下一步 ”查看所选内容。 然后选择“ 创建 ”以创建策略配置。

    管理策略配置

    若要更改策略配置,请执行以下操作:

    1. 转到 “策略配置 ”页。
    2. 通过选中要更改的策略,打开该策略的配置详细信息。
    3. 对策略配置进行适当的更改。
    4. 导航到“ 查看和发布 ”页。
    5. 选择“ 更新 ”以保存并应用更改。

    如果要创建与现有策略配置类似的新策略配置,请在“策略配置”页上选择现有策略 配置 ,然后选择“ 复制”。 进行适当的更改,然后选择“ 创建”。

    若要查看在编辑策略配置时配置了哪些策略,请导航到 “策略 ”部分并按 “状态” 列进行筛选,或选择策略表顶部的“ 已配置 切片器”。 还可以按应用程序和平台进行筛选。

    若要更改策略配置的优先级顺序,请在“策略配置”页上选择“重新排序优先级”。

    如果要导出策略配置,请在“策略配置”页上选择现有 策略配置 ,然后选择“ 导出”。 此操作将生成 CSV 文件以供下载。

    如何应用策略配置

    Microsoft 365 企业应用版使用的即点即用服务定期签入云策略服务,以查看是否存在与已登录用户相关的任何策略。 如果有,则会应用相应的策略,并在用户下次打开 Office 应用(如 Word 或 Excel)时生效。

    • 当 Office 应用启动或登录用户发生更改时,即点即用服务确定是否需要检索已登录用户的策略。
      • 如果这是用户首次登录,则进行检查调用以检索已登录用户的策略。
      • 如果用户以前已登录,则仅当检查间隔已过时,才会发出检查调用。
    • 当服务收到检查呼叫时,Microsoft Entra用户确定组成员身份。
      • 如果用户不是分配有策略配置的Microsoft Entra组的成员,则服务会通知即点即用在 24 小时内为该用户重新检查。
      • 如果用户是分配有策略配置的Microsoft Entra组的成员,则服务将返回用户的相应策略设置,并通知即点即用在 90 分钟内检查。
      • 如果发生错误,当用户下次打开 Office 应用(如 Word 或 Excel)时,将进行另一个检查调用。
      • 如果在计划下一次检查呼叫时未运行任何 Office 应用,则在用户下次打开 Office 应用(如 Word 或 Excel)时,将进行检查。

    注意

    • 仅当 Office 应用重启时,才会应用来自云策略的策略。 该行为与 组策略 相同。 对于 Windows 设备,根据登录到 Microsoft 365 企业应用版 的主要用户强制实施策略。 如果有多个帐户登录,则仅应用主帐户的策略。 如果主帐户已切换,则分配给该帐户的大多数策略在 Office 应用重启之前将不适用。 某些与 隐私控制 相关的策略将适用,而无需重启任何 Office 应用。

    • 如果用户位于嵌套组中,并且父组针对策略,则嵌套组中的用户将收到策略。 嵌套组和这些嵌套组中的用户必须在 Microsoft Entra ID中创建或同步。

    • 检查间隔由云策略服务控制,并在每次检查调用期间与即点即用通信。

    如果用户是具有冲突策略设置的多个Microsoft Entra组的成员,则优先级用于确定应用的策略设置。 应用最高优先级,“0”是可以分配的最高优先级。 可以通过在“策略配置”页上选择“重新排序优先级”来设置优先级。

    此外,使用云策略实现的策略设置优先于在 Windows Server 上使用 组策略 实现的策略设置,优先于首选项设置或本地应用的策略设置。

    基线

    在 Microsoft,我们努力通过创建现代管理工具进行创新并减轻 IT 管理员的负担。 话虽然如此,云策略中的基线是为组织部署策略时节省时间的另一种方式。 安全性和辅助功能基线针对保护组织并使最终用户能够创建可访问内容所需的组策略提供唯一的筛选器。

    安全基线

    为了轻松识别安全基线策略,策略表中添加了一个名为“建议”的新列。 建议用于安全基线的策略将在此列中触发。 还可以使用列筛选器将视图限制为仅标记为安全基线的策略。

    有关详细信息,请参阅Microsoft 365 企业应用版的安全基线

    辅助功能基线

    我们的大多数客户都在大步努力,使组织更易于访问。 辅助功能基线使 IT 专业人员能够配置辅助功能策略,使最终用户能够创建可访问的内容,并限制禁用辅助功能检查器设置的能力。

    Microsoft Purview 支持

    云策略服务支持 Microsoft Purview 审核解决方案。 启用审核后,会跟踪创建、删除、修改策略配置、更改配置策略设置以及优先级顺序调整等事件。 可以使用门户或 PowerShell 在审核日志中搜索 此类更改。 有关捕获的操作和数据格式的详细信息,请参阅 活动文档架构参考

    有关云策略的其他信息

    • 仅基于用户的策略设置可用。 基于计算机的策略设置不可用。
    • 随着新的基于用户的策略设置可用于 Office,云策略会自动添加这些设置。 无需 (ADMX/ADML) 下载更新的管理模板文件。
    • 还可以创建策略配置,为 Project 和 Visio 订阅计划随附的受支持桌面应用版本应用策略设置。
    • 运行状况功能已于 2022 年 3 月下半年停用。 将来 (目前没有已知日期) ,我们计划为云策略提供高级运行状况报告和合规性监视功能。

    疑难解答提示

    如果预期的策略未正确应用于用户的设备,请尝试执行以下操作:

    • 确保用户已登录到Microsoft 365 企业应用版,已激活该用户,并且具有有效的许可证。

    • 确保用户是相应安全组的一部分。

    • 验证是否未使用经过身份验证的代理。

    • 检查策略配置的优先级。 如果用户位于分配有策略配置的多个安全组中,则策略配置的优先级将确定哪些策略生效。

    • 在某些情况下,如果两个策略不同的用户在同一 Windows 会话期间在同一设备上登录 Office,则策略可能无法正确应用。

    • 从云策略检索到的策略设置存储在 Windows 注册表 HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 下。 每次在检查过程中从策略服务检索新策略集时,都会覆盖此密钥。

    • 策略服务检查活动存储在 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy 下的 Windows 注册表中。 删除此密钥并重启 Office 应用将在下次启动 Office 应用时触发策略服务检查。

    • 如果想要查看下次计划运行 Windows 的设备使用云策略检查时,请查看 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy 下的 FetchInterval。 该值以分钟为单位表示。 例如,1440,相当于 24 小时。

    • 可能会遇到 FetchInterval 值 0。 如果此值存在,则客户端从上次检查开始等待 24 小时,然后再次尝试使用云策略检查。