共用方式為


適用於 Microsoft 365 的雲端原則服務概觀

注意事項

「Office 雲端原則服務」已重新命名為「適用於 Microsoft 365 的雲端原則服務」。在大部分情況下,我們只會將它稱為雲端原則。

適用於 Microsoft 365 的雲端原則服務可讓您針對使用者裝置上的 Microsoft 365 Apps 企業版 強制執行原則設定,即使裝置未加入網域或以其他方式管理。 當使用者在裝置上登入 Microsoft 365 應用程式企業版時,其原則設定會漫遊至該裝置。 原則設定適用於執行 Windows、macOS、iOS 和 Android 的裝置,但並非所有原則設定都適用於所有作業系統。 您也可以針對登入的來賓和匿名存取檔的使用者,強制執行 Office 網頁版 和 Loop 的一些原則設定。

雲端原則是 Microsoft 365 Apps 系統管理中心的一部分。 此服務包含許多相同的使用者型原則設定,可在 群組原則 中使用。 您也可以直接在 Microsoft Intune 系統管理中心的 [Office 應用程式>>原則原則] 底下使用雲端原則

需求

支援的內建系統管理員角色

您可以使用下列內建 Microsoft Entra 角色來存取和管理功能:

重要事項

Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。

角色 描述
Office Apps 系統管理員 (建議) 此角色可以管理 Office 應用程式雲端服務,包括原則和設定管理,以及管理選取、取消選取和發佈「新功能」內容至使用者裝置的能力。
安全性系統管理員 此角色可以讀取安全性資訊和報告,並管理 Microsoft Entra ID 和 Office 365 中的設定。
全域管理員 此角色可以管理使用 Microsoft Entra 身分識別的 Microsoft Entra ID 和 Microsoft 服務的所有層面。

注意事項

全域讀取者是 Microsoft 365 Apps 系統管理中心支援的另一個內建角色,但不支援雲端更新或新式應用程式設定頁面等功能。

授權需求

必須將您的使用者指派給下列其中一個訂閱方案:

類型 訂閱方案
Education
  • Microsoft 365 A3
  • Microsoft 365 A5
  • Business
  • Microsoft 365 商務標準版
  • Microsoft 365 商務進階版
  • 大型企業
  • Office 365 E3
  • Office 365 E5
  • Microsoft 365 E3
  • Microsoft 365 E5
  • 政府版
  • Microsoft 365 G3
  • Microsoft 365 G5
  • 重要事項

    不支援下列方案:

    • 由 21Vianet 營運的 Microsoft 365
    • Microsoft 365 GCC High 和 DoD

    注意事項

    • 原則設定無法套用至使用隨選即用的大量授權 Office 版本,例如 Office LTSC 專業增強版 2021 或 Office 標準版 2019。
    • 您可以建立 Microsoft 365 Apps 商務版 的原則設定,但只支援與隱私權控制相關的原則設定。 如需詳細資訊,請參閱使用原則設定來管理 Microsoft 365 Apps 企業版的隱私權控制

    產品版本需求

    您可以使用下列版本需求,來管理 Windows 上的 Microsoft 365 Apps:

    注意事項

    針對 GCC 客戶,要傳遞給在 Windows 上執行之 Microsoft 365 Apps 之原則的最低支援 Office 用戶端版本是 2410 版或更新版本。

    網路要求

    執行 Microsoft 365 Apps 的裝置需要下列端點的存取權:

    Microsoft 服務 允許清單上所需的 URL
    Microsoft 365 App 系統管理中心
  • login.live.com
  • *.office.com
  • *.office.net
  • Office 內容傳遞網路 (CDN)
  • officecdn.microsoft.com
  • officecdn.microsoft.com.edgesuite.net
  • otelrules.azureedge.net
  • 來源: Microsoft 365 URL 和 IP 位址範圍

    Microsoft Entra 群組需求

    雲端原則服務支援使用具有下列需求的 Microsoft Entra 群組

    • 原則僅適用於 用戶物件
    • 使用者對象 必須存在於 Microsoft Entra ID 中,並已獲指派 支援的授權
    • 巢狀群組支援最多三層深度。
    • 群組可能同時包含 裝置對象用戶物件,但 會忽略裝置物件

    建立原則設定的步驟

    以下是建立原則設定的基本步驟。

    1. 登入 Microsoft 365 Apps 系統管理中心。 如果您是第一次使用系統管理中心,請檢閱條款。 然後,選取 [ 接受]
    2. 在 [ 自定義] 底下,選取 [ 原則管理]
    3. 在 [ 原則設定] 頁面上,選取 [ 建立]
    4. 在 [ 開始使用基本概念 ] 頁面上,輸入) 所需的名稱 (,以及選擇性) (描述,然後選取 [ 下一步]
    5. 在 [選擇範圍] 頁面上,判斷原則設定是否適用於所有使用者、特定群組,或使用 Office 網頁版 匿名存取文件的使用者。
    6. 如果原則設定適用於特定群組,您現在可以將多個群組新增至單一原則設定,以獲得更有彈性的目標。 若要新增群組,請選取 [新增 群組],然後選擇相關的群組。 將多個群組新增至單一原則設定,可讓相同的群組包含在多個原則設定中,以促進更簡化且更有效率的原則管理程式。
    7. 選取之後,選擇 [ 下一步]
    8. 在 [ 設定設定 ] 頁面上,選取您要包含在原則設定中的原則。 您可以依名稱搜尋原則,也可以建立自定義篩選。 您可以依應用程式篩選平臺、是否設定原則,以及原則是否為建議的安全性基準。
    9. 進行選取之後,選取 [ 下一步 ] 以檢閱您的選取專案。 然後選 取 [建立 ] 以建立原則設定。

    管理原則設定

    若要變更原則設定:

    1. 移至 [ 原則設定] 頁面。
    2. 選取您想要變更的原則,以開啟其設定詳細數據。
    3. 對原則設定進行適當的變更。
    4. 流覽至 [ 檢閱併發佈] 頁面。
    5. 取 [更新 ] 以儲存並套用您的變更。

    如果您想要建立與現有原則設定類似的新原則設定,請在 [原則設定 ] 頁面上 選取現有的原則設定,然後選取 [ 複製]。 進行適當的變更,然後選取 [ 建立]

    若要查看編輯原則設定時設定的原則,請流覽至 [原則] 區段並[狀態 ] 數據行篩選,或選取原則數據表頂端的 [已設定 的交叉分析 篩選器]。 您也可以依應用程式和平台進行篩選。

    若要變更原則設定的優先順序順序,請選取 [原則設定] 頁面上的 [重新排序優先順序]。

    如果您想要匯出原則設定,請在 [原則設定] 頁面上選取現有的原則設定,然後選取 [匯出]。 此動作會產生 CSV 檔案以供下載。

    如何套用原則設定

    Microsoft 365 Apps 企業版 使用的隨選即用服務會定期簽入雲端原則服務,以查看是否有任何與登入使用者相關的原則。 如果有,則會套用適當的原則,並在使用者下次開啟 Office 應用程式時生效,例如 Word 或 Excel。

    • 當 Office 應用程式啟動或登入的用戶變更時,隨選即用服務會判斷是否該擷取已登入用戶的原則。
      • 如果這是使用者第一次登入,則會進行簽入呼叫來擷取已登入用戶的原則。
      • 如果使用者先前已登入,則只有在簽入間隔已失效時,才會進行簽入呼叫。
    • 當服務收到簽入呼叫時,會為用戶決定 Microsoft Entra 群組成員資格。
      • 如果使用者不是獲指派原則設定的 Microsoft Entra 群組成員,服務會通知隨選即用,以便在24小時內回來檢查此使用者。
      • 如果使用者是獲指派原則設定的 Microsoft Entra 群組成員,服務會傳回使用者的適當原則設定,並通知隨選即用以在 90 分鐘內回來檢查。
      • 如果發生錯誤,下次用戶開啟 Office 應用程式時會進行另一個簽入呼叫,例如 Word 或 Excel。
      • 如果排程下一次簽入通話時沒有任何 Office 應用程式正在執行,則會在使用者下次開啟 Office 應用程式時進行檢查,例如 Word 或 Excel。

    注意事項

    • 只有當 Office 應用程式重新啟動時,才會套用來自雲端原則的原則。 此行為與 群組原則 相同。 針對 Windows 裝置,原則會根據登入 Microsoft 365 Apps 企業版 的主要用戶來強制執行。 如果有多個帳戶登入,則只會套用主要帳戶的原則。 如果切換主要帳戶,則在 Office 應用程式重新啟動之前,將不會套用指派給該帳戶的大部分原則。 某些與 隱私權控制 相關的原則會在不重新啟動任何 Office 應用程式的情況下套用。

    • 如果用戶位於巢狀群組中,且父群組是以原則為目標,巢狀群組中的使用者將會收到原則。 巢狀群組和這些巢狀群組中的用戶必須在 中建立,或同步處理為 Microsoft Entra ID。

    • 簽入間隔由雲端原則服務控制,並在每次簽入呼叫期間傳達給隨選即用。

    如果使用者是具有衝突原則設定的多個 Microsoft Entra 群組的成員,則會使用優先順序來判斷要套用哪一個原則設定。 套用最高優先順序,其中 「0」 是您可以指派的最高優先順序。 您可以在 [原則設定] 頁面上選擇 [重新排序優先順序],以設定優先順序。

    此外,使用雲端原則實作的原則設定優先於在 Windows Server 上使用 群組原則 實作的原則設定,並優先於喜好設定或本機套用的原則設定。

    基線

    在Microsoft,我們致力於創新,並透過建立新式管理工具來降低IT系統管理員的負擔。 也就是說,雲端原則中的基準是另一種方式,您可以在為組織部署原則時節省時間。 安全性和輔助功能基準會針對保護組織所需的 群組原則 提供唯一的篩選,並讓終端用戶能夠建立可存取的內容。

    安全性基準

    為了輕鬆識別安全性基準原則,原則數據表中新增了名為 Recommendation 的新數據行。 建議用於安全性基準的原則會在此數據行中觸發。 您也可以使用數據行篩選條件,將檢視限制為僅標記為安全性基準的原則。

    如需詳細資訊,請參閱 Microsoft 365 Apps 企業版 的安全性基準

    輔助功能基準

    我們大部分的客戶都會大步前進,讓組織更容易存取。 輔助功能基準可讓 IT 專業人員設定輔助功能原則,使其終端用戶能夠建立無障礙內容,並限制移除輔助功能檢查程式設定的功能,使其無法停用。

    Microsoft Purview 支援

    雲端原則服務支援 Microsoft Purview 稽核解決方案。 啟用稽核時,會追蹤建立、刪除、修改原則組態、變更已設定的原則設定,以及調整優先順序順序等事件。 您可以使用入口網站或 PowerShell 來 搜尋稽核記錄以 取得這類變更。 如需擷取作業和數據格式的詳細資訊,請參閱 活動文件架構參考

    雲端原則的其他相關信息

    • 只能使用以用戶為基礎的原則設定。 無法使用以計算機為基礎的原則設定。
    • 當新的使用者型原則設定可供 Office 使用時,雲端原則會自動新增這些設定。 不需要 (ADMX/ADML) 下載更新的系統管理範本檔案。
    • 您也可以建立原則設定,針對 Project 和 Visio 訂閱方案隨附的傳統型應用程式版本套用原則設定。
    • 健康狀態功能已於 2022 年 3 月後半部淘汰。 在未來 (目前沒有已知日期) ,我們計劃提供雲端原則的進階健康情況報告和合規性監視功能。

    疑難排解提示

    如果預期的原則未正確套用至使用者的裝置,請嘗試下列動作:

    • 請確定使用者已登入 Microsoft 365 Apps 企業版、啟用它,並具有有效的授權。
    • 請確定用戶是適當安全組的一部分。
    • 確認您未使用已驗證的 Proxy。
    • 檢查原則設定的優先順序。 如果用戶位於指派原則設定的多個安全組中,則原則設定的優先順序會決定哪些原則會生效。
    • 在某些情況下,如果兩個具有不同原則的使用者在相同的 Windows 會話期間登入相同裝置上的 Office,則可能無法正確套用原則。
    • 從雲端原則擷取的原則設定會儲存在 HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 下的 Windows 登錄中。 每次在簽入程式期間從原則服務擷取一組新的原則時,都會覆寫此密鑰。
    • 原則服務簽入活動會儲存在 Windows 登錄中的 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy。 刪除此金鑰並重新啟動 Office 應用程式將會觸發原則服務,以便在下次啟動 Office 應用程式時簽入。
    • 如果您想要在下次排程執行 Windows 的裝置檢查雲端原則時看到,請查看 [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy] 底下的 FetchInterval。 此值以分鐘為單位表示。 例如,1440,相當於24小時。
    • 您可能會遇到 FetchInterval 值 0。 如果此值存在,用戶端會在上次簽入后等候 24 小時,再嘗試再次使用雲端原則進行檢查。