通过

从基本移动性和安全性到 Intune 的访问要求策略映射

  • 项目

本文介绍基本移动性和安全性与 Intune 之间的映射详细信息。 具体而言,本页将Microsoft Purview 合规门户访问要求策略映射到 Microsoft Intune 中的等效策略。 Intune提供了更大的策略灵活性。 因此,每个 Office 策略将转换为多个Intune,并Microsoft Entra策略来实现相同的结果。

如果要从 基本移动性和安全性 迁移到 Intune,可以使用迁移评估工具来自动执行大部分此映射。

若要在Microsoft Purview 合规门户中查看这些设置,请登录到 Purview 合规性门户。 然后,转到 “设备安全策略 ”列表,选择策略名称 >“编辑策略>访问要求”。

开始之前

若要在Intune策略中配置设置,请登录到Microsoft Intune管理中心基于角色的访问控制 (包含Microsoft Intune列表的 RBAC) ,并介绍了可以创建策略的内置角色。

如果设备不满足上述要求,则...

此设置确定是否应对所有访问要求设置使用Intune符合性策略或配置文件。 请确保先查看此设置的详细信息。

注意

基本移动性和安全性从不支持在 Windows 上强制实施条件访问。

仍强制实施一次性注册 (允许访问和报告冲突)

所有访问要求都部署在Intune设备配置文件中。

阻止访问并报告冲突

所有访问要求都部署在Intune合规性策略中。 分配的组将分配到经典条件访问策略:

  • [GraphAggregatorService] 设备策略
  • [Office 365 Exchange Online] 设备策略
  • [Outlook Service for Exchange] 设备策略
  • [Office 365 SharePoint Online] 设备策略
  • [Outlook Service for OneDrive] 设备策略

要求使用密码

注意

所有与密码相关的设置仅影响 Windows 上的本地帐户。 源自 Microsoft Entra ID 的用户帐户不受这些策略管理。

如果设备不符合上述要求,则... 设置为“阻止访问并报告违规”,请使用Intune合规性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。

三个合规性策略:

  • 设备>按平台>窗户>管理设备>合规> 策略 name_O365_W >属性>符合性设置 编辑>系统安全性>需要密码才能解锁移动设备
  • 设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>系统安全性>需要密码才能解锁移动设备
  • 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>需要密码才能解锁移动设备

禁止使用简单密码

对于 Android 设备,此设置和其他多个 Office 设置由一个 Android 合规性设置覆盖。 因此,仅凭此设置并不能确定具体的 Android 合规性值。

如果设备不符合上述要求,则... 设置为“阻止访问并报告违规”,请使用Intune合规性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。

三个合规性策略:

  • 设备>按平台>窗户>管理设备>合规> 策略name_O365_W >属性>符合性设置 编辑>系统安全性>简单密码

  • 设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>系统安全性>简单密码

  • 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>必需密码类型

    • 如果选择了“禁止使用简单密码”,请选择“数字复杂度”、“字母”、“字母数字”或“包含符号的字母数字”(基于其他 Office 设置)。
    • 如果未选择“禁止使用简单密码”,请在列表中选择“数字”或更高类型(基于其他 Office 设置)。

需要字母数字密码

对于 Android 设备,此设置和其他多个 Office 设置由一个 Android 合规性设置覆盖。 因此,仅凭此设置并不能确定具体的 Android 合规性值。

如果设备不符合上述要求,则... 设置为“阻止访问并报告违规”,请使用Intune合规性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。

三个合规性策略:

  • 设备>按平台>窗户>管理设备>合规> 策略name_O365_W >属性>符合性设置编辑>系统安全性>要求密码类型

  • 设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>系统安全性>要求密码类型

  • 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>必需密码类型

    • 如果选择了“禁止使用简单密码”,请选择“数字复杂度”、“字母”、“字母数字”或“包含符号的字母数字”(基于其他 Office 设置)。
    • 如果未选择“禁止使用简单密码”,请在列表中选择“数字”或更高类型(基于其他 Office 设置)。

密码的长度必须至少为 [1-4] 个字符集

如果设备不符合上述要求,则... 设置为“阻止访问并报告违规”,请使用Intune合规性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。

四个合规性策略:

  • 设备>按平台>窗户>管理设备>合规> 策略name_O365_W >属性>符合性设置编辑>系统安全性>密码复杂性

    Office 值 Intune 值
    1 需要数字和小写字母。 Windows 符合性策略不允许只设置一个字符,因此 Office 设置为 1 将转换为 “需要数字和小写字母”。
    2 需要数字和小写字母
    3 需要数字、小写字母和大写字母
    4 需要数字、小写字母、大写字母和特殊字符

  • 设备>按平台>iOS/iPadOS>管理设备>合规>策略name_O365_i>属性>符合性设置编辑>密码中非字母数字字符的系统安全性>数。

    iOS 符合性策略不会强制实施字符集的数量,而只会强制执行必须使用的非字母数字字符数。 因此,Office 值会转换为与所需的非字母数字字符相同的数。

    Office 值 Intune 值
    已禁用 (0) 未配置
    1 1
    2 2
    3 3
    4 4

  • 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>必需密码类型

    Android 不支持将小写和大写区分为不同的字符集,因此无法强制实施 Office 值 4。 相反,它将转换为至少“包含符号的字母数字”

    Office 值 Intune 值
    1 至少为“数字”或“数字复杂度”(基于其他 Office 设置)
    2 至少为“字母数字”
    3 至少为“包含符号的字母数字”
    4 至少为“包含符号的字母数字”

  • 策略name_OfficeMDM >访问控制>授予>要求设备标记为合规

最短密码长度

如果设备不符合上述要求,则... 设置为“阻止访问并报告违规”,请使用Intune合规性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。

三个合规性策略:

  • 设备>按平台>窗户>管理设备>合规> 策略 name_O365_W >属性>符合性设置 编辑>系统安全性>最短密码长度

  • 设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>系统安全性>最短密码长度

  • 设备>按平台>人造人>管理设备>合规>策略name_O365_A>属性>符合性设置编辑>系统安全性>所需的密码类型和最短密码长度

    “需要字母数字密码”的 Office 值 “所需的密码类型”的 Intune 值
    已选中 至少为“数字”(基于其他 Office 设置)
    未选定 至少为“数字”(基于其他 Office 设置)

擦除设备前允许登录失败的次数

尽管此设置在 基本移动性和安全性 的访问要求下列出,但仍允许访问。 即使尚未在设备上启用此设置,也允许此设置,并且此设置不是设备符合性标准。

如果设备不符合上述要求,则... 设置为“阻止访问并报告违规”,请使用Intune合规性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。

三个配置文件:

  • 设备>按平台>窗户>管理设备>配置> 策略 name_O365_W >属性>符合性设置 编辑>密码>擦除设备前登录失败次数
  • 设备>按平台>iOS/iPadOS>管理设备>配置> 策略 name_O365_i >属性>符合性设置 编辑>密码>擦除设备前登录失败次数
  • 设备>按平台>人造人>管理设备>配置> 策略name_O365_A >属性>符合性设置编辑>密码>擦除设备前的登录失败次数

如果设备在以下分钟数内处于非活动状态,则将其锁定

Windows、iOS/iPadOS 和 Android 合规性策略不提供相同的值粒度,因此 Office 设置范围映射到较少的Intune值。

三个合规性策略:

  • 设备>按平台>窗户>管理设备>合规> 策略name_O365_W >属性>符合性设置编辑>系统安全性>需要密码之前的最大非活动分钟数

    Office 值 Intune 值
    1 到 4 1 分钟
    5 到 14 5 分钟
    15 或者更多 15 分钟

  • 设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>系统安全性>需要密码之前的最大非活动分钟数

    Office 值 Intune 值
    1 1 分钟
    2 2 分钟
    3 3 分钟
    4 4 分钟
    5 到 9 5 分钟(iOS 的最大值)
    10 到 14 10 分钟(仅适用于 iPadOS)
    15 或者更多 15 分钟(仅适用于 iPadOS)

  • 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>必需密码类型

    Office 值 Intune 值
    1 到 4 1 分钟
    5 到 14 5 分钟
    15 到 29 15 分钟
    30 到 59 30 分钟
    60 60 分钟

密码有效期

如果设备不符合上述要求,则... 设置为“阻止访问并报告违规”,请使用Intune合规性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。

三个合规性策略:

  • 设备>按平台>窗户>管理设备>合规> 策略name_O365_W >属性>符合性设置编辑>系统安全性>密码过期 (天)
  • 设备>按平台>iOS/iPadOS>管理设备>合规> 策略 name_O365_i >属性>符合性设置 编辑>系统安全性>密码过期 (天)
  • 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>密码过期之前的天数

记住密码历史记录并禁止重复使用

如果设备不符合上述要求,则... 设置为“阻止访问并报告违规”,请使用Intune合规性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。

三个合规性策略:

  • 设备>按平台>窗户>管理设备>合规>策略name_O365_W>属性>符合性设置 编辑>以前密码的“系统安全性>”编号以防止重复使用

  • 设备>按平台>iOS/iPadOS>管理设备>合规>策略name_O365_i>属性>符合性设置编辑>以前密码的系统安全>编号以防止重复使用

  • 设备>按平台>人造人>管理设备>合规>策略name_O365_A>属性>符合性设置编辑>以前密码的“系统安全性>”编号,以防止重复使用“必需密码类型”

    “需要字母数字密码”的 Office 值 “所需的密码类型”的 Intune 值
    已选中 至少为“数字”(基于其他 Office 设置)
    未选定 至少为“数字”(基于其他 Office 设置)

需要对设备进行数据加密

在基本移动性和安全性方面,此设置从不支持配置 Windows 或 iOS/iPadOS。

如果设备不符合上述要求,则... 设置为“阻止访问并报告违规”,请使用Intune合规性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。

一个合规性策略:

  • 设备>按平台>人造人>管理设备>合规>策略name_O365_A>属性>符合性设置编辑>设备上数据存储的系统安全>加密

阻止已越狱或取得 root 权限的设备进行连接

在基本移动性和安全性方面,此设置从不支持配置 Windows。

对于 Android 设备,Intune 仅支持 Android 设备管理员设备的此设置。

重要

Android 设备管理员管理已弃用,不再可用于有权访问 Google 移动服务 (GMS) 的设备。 如果当前使用设备管理员管理,建议切换到另一个 Android 管理选项。 对于运行 Android 15 及更早版本的某些没有 GMS 的设备,支持和帮助文档仍然可用。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

如果设备不符合上述要求,则... 设置为“阻止访问并报告违规”,请使用Intune合规性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。

两个合规性策略:

  • 设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>设备运行状况>越狱设备
  • 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>设备运行状况>根设备

需要管理电子邮件配置文件(iOS 上的选择性擦除需要此设置)

在基本移动性和安全性方面,需要此设置从不支持 Windows 或 Android 合规性。 在基本移动性和安全性方面,Windows 电子邮件从不支持 Windows 10。

对于 Android,在基本移动性和安全性方面,此设置仅支持 Samsung Knox 设备。

Intune要求在部署设备安全策略中不可用的电子邮件时配置更多设置。 有关详细信息,请参阅电子邮件配置文件Intune所需的更多设置

如果设备不符合上述要求,则... 设置为“阻止访问并报告违规”,请使用Intune合规性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。

三个配置文件和一个符合性策略:

  • 设备>按平台>窗户>管理设备>配置> 策略name_O365_W_Email >属性>配置设置编辑

    设置
    电子邮件服务器 Outlook.office365.com
    帐户名 Office 365电子邮件
    Microsoft Entra ID的用户名属性 用户主体名称
    从Microsoft Entra ID Email地址属性 用户主体名称
    SSL 启用

  • 设备>按平台>iOS/iPadOS>管理设备>配置> 策略name_O365_i_Email >属性>配置设置编辑

    设置
    电子邮件服务器 Outlook.office365.com
    帐户名 Office 365电子邮件
    Microsoft Entra ID的用户名属性 用户主体名称
    从Microsoft Entra ID Email地址属性 用户主体名称
    身份验证名称 用户名和密码
    SSL 启用

  • 设备>按平台>iOS/iPadOS>管理设备>合规>策略name_O365_i>属性>符合性设置编辑>Email>无法在设备上>设置电子邮件需要

  • 设备>Android ** >配置文件> 策略name_O365_A_Email >属性> ** 配置设置编辑

    设置
    电子邮件服务器 Outlook.office365.com
    帐户名 Office 365电子邮件
    Microsoft Entra ID的用户名属性 用户主体名称
    从Microsoft Entra ID Email地址属性 用户主体名称
    身份验证名称 用户名和密码
    SSL 启用

电子邮件配置文件Intune所需的更多设置

以下设置不是由设备安全策略部署的。 但在部署电子邮件配置文件时,Intune要求设置具有值。

平台 Setting 迁移中的值
Android 需要 S/mime false
Android 同步联系人 true
Android 同步日历 true
Android 同步任务 true
Android 同步说明 false
iOS 阻止将邮件转移到其他电子邮件帐户 false
iOS 阻止从第三方地址发送电子邮件 false
iOS 阻止同步最近使用的电子邮件地址 false
iOS 需要 S/mime false
Windows 10 同步联系人 true
Windows 10 同步日历 true
Windows 10 同步任务 true

迁移评估工具