共用方式為

從 基本行動性和安全性 到 Intune 的存取需求原則對應

  • 發行項

本文提供 基本行動性和安全性 與 Intune 之間的對應詳細數據。 具體而言,此頁面會將 Microsoft Purview 合規性入口網站 存取需求原則對應至 Microsoft Intune 中的對等原則。 Intune 提供更多原則彈性。 因此,每個 Office 原則都會轉譯成多個 Intune 和 Microsoft Entra 原則,以達到相同的結果。

如果您要從 基本行動性和安全性 移轉至 Intune,您可以使用移轉評估工具將大部分的對應自動化。

若要在 Microsoft Purview 合規性入口網站 中查看這些設定,請登入 Purview 合規性入口網站。 然後,移至 [ 裝置安全策略 ] 清單,選取您的原則名稱 >[編輯原則>存取需求]

開始之前

若要在 Intune 原則中設定設定,請登入 Microsoft Intune 系統管理中心角色型訪問控制 (具有 Microsoft Intune 清單的 RBAC) ,並描述可建立原則的內建角色。

如果裝置不符合上述需求,則...

此設定會決定您是否應該針對所有存取需求設定使用 Intune 合規性原則或組態配置檔。 請務必先檢閱此設定的詳細數據。

注意事項

基本行動性和安全性 一律不支援在 Windows 上強制執行條件式存取。

一次性註冊仍會強制執行, (允許存取和報告違規)

所有存取需求都會部署在 Intune 裝置組態配置檔中。

封鎖存取和報告違規

所有存取需求都會部署在 Intune 合規性政策中。 指派的群組會指派給傳統條件式存取原則:

  • [GraphAggregatorService]裝置原則
  • [Office 365 Exchange Online] 裝置原則
  • [Outlook Service for Exchange]裝置原則
  • [Office 365 SharePoint Online] 裝置原則
  • [Outlook Service for OneDrive]裝置原則

需要密碼

注意事項

所有密碼相關設定只會影響 Windows 上的本機帳戶。 來自 Microsoft Entra ID的用戶帳戶不受這些原則管理。

如果裝置不符合上述需求,則... 設定為 [封鎖存取和報告違規],請使用 Intune 合規性政策,如下所示。 如果設定設為 [允許...],請改用組態配置檔。

三個合規性原則:

  • 設備>依平臺>窗戶>管理裝置>合規> 原則name_O365_W >屬性>合規性設定 編輯>系統安全性>需要密碼才能解除鎖定行動裝置
  • 設備>依平臺>iOS/iPadOS>管理裝置>合規> 原則name_O365_i >屬性>合規性設定 編輯>系統安全性>需要密碼才能解除鎖定行動裝置
  • 設備>依平臺>人造人>管理裝置>合規> 原則name_O365_A >屬性>合規性設定 編輯>系統安全性>需要密碼才能解除鎖定行動裝置

防止簡單的密碼

針對 Android 裝置,此設定和多個其他 Office 設定都涵蓋在一個 Android 合規性設定中。 因此,此設定本身並不會決定特定的Android合規性值。

如果裝置不符合上述需求,則... 設定為 [封鎖存取和報告違規],請使用 Intune 合規性政策,如下所示。 如果設定設為 [允許...],請改用組態配置檔。

三個合規性原則:

  • 設備>依平臺>窗戶>管理裝置>合規> 原則name_O365_W >屬性>合規性設定 編輯>系統安全>性簡單密碼

  • 設備>依平臺>iOS/iPadOS>管理裝置>合規> 原則name_O365_i >屬性>合規性設定 編輯>系統安全>性簡單密碼

  • 設備>依平臺>人造人>管理裝置>合規> 原則name_O365_A >屬性>合規性設定 編輯>系統安全>性所需的密碼類型

    • 如果選取 [ 防止簡單密碼 ],請根據其他 Office 設定 ,選擇 [複雜數位 ]、[字母]、[ 英數位元] 或 [ 英數位 元],並根據其他 Office 設定 () 。
    • 如果未選取 [防止簡單密碼 ],請根據其他 Office 設定) ,在清單 (中選擇 [ 值] 或 [更高類型]。

需要英數位元密碼

針對 Android 裝置,此設定和多個其他 Office 設定都涵蓋在一個 Android 合規性設定中。 因此,此設定本身並不會決定特定的Android合規性值。

如果裝置不符合上述需求,則... 設定為 [封鎖存取和報告違規],請使用 Intune 合規性政策,如下所示。 如果設定設為 [允許...],請改用組態配置檔。

三個合規性原則:

  • 設備>依平臺>窗戶>管理裝置>合規> 原則name_O365_W >屬性>合規性設定 編輯>系統安全>性所需的密碼類型

  • 設備>依平臺>iOS/iPadOS>管理裝置>合規> 原則name_O365_i >屬性>合規性設定 編輯>系統安全>性所需的密碼類型

  • 設備>依平臺>人造人>管理裝置>合規> 原則name_O365_A >屬性>合規性設定 編輯>系統安全>性所需的密碼類型

    • 如果選取 [ 防止簡單密碼 ],請根據其他 Office 設定 ,選擇 [複雜數位 ]、[字母]、[ 英數位元] 或 [ 英數位 元],並根據其他 Office 設定 () 。
    • 如果未選取 [防止簡單密碼 ],請根據其他 Office 設定) ,在清單 (中選擇 [ 值] 或 [更高類型]。

密碼至少必須包含 [1-4] 個字元集

如果裝置不符合上述需求,則... 設定為 [封鎖存取和報告違規],請使用 Intune 合規性政策,如下所示。 如果設定設為 [允許...],請改用組態配置檔。

四個合規性原則:

  • 設備>依平臺>窗戶>管理裝置>合規> 原則name_O365_W >屬性>合規性設定 編輯>系統安全>性密碼複雜度

    Office 值 Intune 值
    1 需要數位和小寫字母。 Windows 合規性政策不允許只設定一個字元,因此 Office 設定 為 1 會轉譯為 [需要數位和小寫字母]
    2 需要數位和小寫字母
    3 需要數位、小寫和大寫字母
    4 需要數位、小寫、大寫和特殊字元

  • 設備>依平臺>iOS/iPadOS>管理裝置>合規>原則name_O365_i>屬性>合規性設定 編輯>密碼中非英數位元字元的系統安全>性編號。

    iOS 合規性政策不會強制執行字元集的數目,而只會強制執行必須使用的非英數位元數目。 因此,Office 值會轉譯成所需的相同非英數位元數目。

    Office 值 Intune 值
    停用 (0) 尚未設定
    1 1
    2 2
    3 3
    4 4

  • 設備>依平臺>人造人>管理裝置>合規> 原則name_O365_A >屬性>合規性設定 編輯>系統安全>性所需的密碼類型

    Android 不支援將小寫和大寫區分為不同的字元集,因此無法強制執行 Office 值 4。 相反地,它會轉譯為至少 具有符號的英數位元。

    Office 值 Intune 值
    1 至少以其他 Office 設定為基礎的數值或數值複雜 ()
    2 至少 是英數位元
    3 至少有 具有符號的英數位元
    4 至少有 具有符號的英數位元

  • 原則name_OfficeMDM >訪問控制>授與>需要將裝置標示為符合規範

密碼最小長度

如果裝置不符合上述需求,則... 設定為 [封鎖存取和報告違規],請使用 Intune 合規性政策,如下所示。 如果設定設為 [允許...],請改用組態配置檔。

三個合規性原則:

  • 設備>依平臺>窗戶>管理裝置>合規>原則name_O365_W>屬性>合規性設定 編輯>系統安全>性最低密碼長度

  • 設備>依平臺>iOS/iPadOS>管理裝置>合規>原則name_O365_i>屬性>合規性設定 編輯>系統安全>性最低密碼長度

  • 設備>依平臺>人造人>管理裝置>合規> 原則name_O365_A >屬性>合規性設定 編輯>系統安全>性所需的密碼類型密碼長度下限

    需要英數位元密碼的 Office 值 Intune 必要密碼類型的
    已選取 至少根據其他 Office 設定 (數值)
    未選取 至少根據其他 Office 設定 (數值)

抹除裝置之前的登入失敗次數

雖然此設定列在 基本行動性和安全性 中的存需求之下,但仍允許存取。 即使裝置上尚未啟用此設定,也允許此設定,而且此設定不是裝置合規性準則。

如果裝置不符合上述需求,則... 設定為 [封鎖存取和報告違規],請使用 Intune 合規性政策,如下所示。 如果設定設為 [允許...],請改用組態配置檔。

三個組態設定檔:

  • 設備>依平臺>窗戶>管理裝置>配置>原則name_O365_W>屬性>合規性設定 在抹除裝置之前編輯>密碼>登入失敗次數
  • 設備>依平臺>iOS/iPadOS>管理裝置>配置>原則name_O365_i>屬性>合規性設定 在抹除裝置之前編輯>登入失敗的密碼>編號
  • 設備>依平臺>人造人>管理裝置>配置>原則name_O365_A>屬性>合規性設定 在抹除裝置之前編輯>密碼>登入失敗次數

如果裝置在這段幾分鐘內處於非使用中狀態,請鎖定裝置

Windows、iOS/iPadOS 和 Android 合規性原則不提供相同的值粒度,因此 Office 設定範圍會對應至較少的 Intune 值。

三個合規性原則:

  • 設備>依平臺>窗戶>管理裝置>合規> 原則name_O365_W >屬性>相容性設定 編輯>系統安全>性 需要密碼之前閑置的分鐘數上限

    Office 值 Intune 值
    1 到 4 1 分鐘
    5 到 14 5 分鐘
    15 或以上 15 分鐘

  • 設備>依平臺>iOS/iPadOS>管理裝置>合規>原則name_O365_i>屬性>相容性設定 編輯>系統安全>性 需要密碼之前閑置的最長分鐘

    Office 值 Intune 值
    1 1 分鐘
    2 2 分鐘
    3 3 分鐘
    4 4 分鐘
    5 到 9 iOS) 的最大 (5 分鐘
    10 到 14 僅限 iPadOS (10 分鐘)
    15 或以上 僅 (iPadOS 15 分鐘)

  • 設備>依平臺>人造人>管理裝置>合規> 原則name_O365_A >屬性>合規性設定 編輯>系統安全>性所需的密碼類型

    Office 值 Intune 值
    1 到 4 1 分鐘
    5 到 14 5 分鐘
    15 到 29 15 分鐘
    30 到 59 30 分鐘
    60 60 分鐘

密碼過期

如果裝置不符合上述需求,則... 設定為 [封鎖存取和報告違規],請使用 Intune 合規性政策,如下所示。 如果設定設為 [允許...],請改用組態配置檔。

三個合規性原則:

  • 設備>依平臺>窗戶>管理裝置>合規> 原則name_O365_W >屬性>合規性設定 編輯>系統安全>性密碼到期日 (天)
  • 設備>依平臺>iOS/iPadOS>管理裝置>合規> 原則name_O365_i >屬性>合規性設定 編輯>系統安全>性密碼到期日 (天)
  • 設備>依平臺>人造人>管理裝置>合規> 原則name_O365_A >屬性>合規性設定 編輯>系統安全>性密碼到期前的天數

記住密碼歷程記錄並防止重複使用

如果裝置不符合上述需求,則... 設定為 [封鎖存取和報告違規],請使用 Intune 合規性政策,如下所示。 如果設定設為 [允許...],請改用組態配置檔。

三個合規性原則:

  • 設備>依平臺>窗戶>管理裝置>合規>原則name_O365_W>屬性>相容性設定 編輯>先前密碼的系統安全>性編號以防止重複使用

  • 設備>依平臺>iOS/iPadOS>管理裝置>合規>原則name_O365_i>屬性>合規性設定 編輯>先前密碼的系統安全>性編號以防止重複使用

  • 設備>依平臺>人造人>管理裝置>合規>原則name_O365_A>屬性>合規性設定 編輯>先前密碼的系統安全>性編號,以防止重複使用必要的密碼類型

    需要英數位元密碼的 Office 值 Intune 必要密碼類型的
    已選取 至少根據其他 Office 設定 (數值)
    未選取 至少根據其他 Office 設定 (數值)

裝置上需要數據加密

此設定一律無法在 基本行動性和安全性 中針對 Windows 或 iOS/iPadOS 進行設定。

如果裝置不符合上述需求,則... 設定為 [封鎖存取和報告違規],請使用 Intune 合規性政策,如下所示。 如果設定設為 [允許...],請改用組態配置檔。

一個合規性政策:

  • 設備>依平臺>人造人>管理裝置>合規>原則name_O365_A>屬性>合規性設定 編輯>裝置上數據記憶體的系統安全>性加密

防止已越獄或 Root 破解的裝置連線

此設定在 基本行動性和安全性 中一律無法針對 Windows 進行設定。

針對 Android 裝置,Intune 僅支援 Android 裝置系統管理員裝置的這項設定。

重要事項

Microsoft Intune 於 2024 年 12 月 31 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援

如果裝置不符合上述需求,則... 設定為 [封鎖存取和報告違規],請使用 Intune 合規性政策,如下所示。 如果設定設為 [允許...],請改用組態配置檔。

兩個合規性原則:

  • 設備>依平臺>iOS/iPadOS>管理裝置>合規>原則name_O365_i>屬性>合規性設定 編輯>裝置健全>狀況已越獄裝置
  • 設備>依平臺>人造人>管理裝置>合規> 原則name_O365_A >屬性>相容性設定 編輯>裝置健全>狀況 Root 裝置

需要管理 iOS) 上的選擇性抹除所需的電子郵件設置檔 (

基本行動性和安全性 中的 Windows 或 Android 合規性一律不支援要求此設定。 基本行動性和安全性 中從未支援 Windows 10 Windows 電子郵件。

針對 Android,只有 基本行動性和安全性 中的 Samsung Knox 裝置才支援此設定。

Intune 在部署裝置安全策略中無法使用的電子郵件時,需要設定更多設定。 如需詳細資訊,請參閱電子郵件設置檔 Intune 所需的更多設定

如果裝置不符合上述需求,則... 設定為 [封鎖存取和報告違規],請使用 Intune 合規性政策,如下所示。 如果設定設為 [允許...],請改用組態配置檔。

三個組態配置檔和一個合規性政策:

  • 設備>依平臺>窗戶>管理裝置>配置> 原則name_O365_W_Email >屬性>組態設定 編輯

    設定
    Email 伺服器 outlook.office365.com
    帳戶名稱 Office 365 電子郵件
    來自 Microsoft Entra ID的用戶名稱屬性 使用者主體名稱
    從 Microsoft Entra ID Email 位址屬性 使用者主體名稱
    SSL 啟用

  • 設備>依平臺>iOS/iPadOS>管理裝置>配置> 原則name_O365_i_Email >屬性>組態設定 編輯

    設定
    Email 伺服器 outlook.office365.com
    帳戶名稱 Office 365 電子郵件
    來自 Microsoft Entra ID的用戶名稱屬性 使用者主體名稱
    從 Microsoft Entra ID Email 位址屬性 使用者主體名稱
    驗證名稱 使用者名稱及密碼
    SSL 啟用

  • 設備>依平臺>iOS/iPadOS>管理裝置>合規>原則name_O365_i>屬性>合規性設定 編輯>Email>無法在裝置>上設定電子郵件需要

  • 設備>Android ** >組態配置文件> 原則 name_O365_A_Email >屬性> ** 組態設定 編輯

    設定
    Email 伺服器 outlook.office365.com
    帳戶名稱 Office 365 電子郵件
    來自 Microsoft Entra ID的用戶名稱屬性 使用者主體名稱
    從 Microsoft Entra ID Email 位址屬性 使用者主體名稱
    驗證名稱 使用者名稱及密碼
    SSL 啟用

Intune 電子郵件設置檔所需的更多設定

裝置安全策略不會部署下列設定。 但是在部署電子郵件設置檔時,Intune 需要有值的設定。

平台 設定 移轉中的值
Android 需要 S/mime
Android 同步連絡人
Android 同步行事曆
Android 同步工作
Android 同步附註
iOS 封鎖將郵件移至其他電子郵件帳戶
iOS 封鎖從第三方位址傳送 Email
iOS 封鎖同步處理最近使用的電子郵件位址
iOS 需要 S/mime
Windows 10 同步連絡人
Windows 10 同步行事曆
Windows 10 同步工作

移轉評估工具