適用於 Microsoft 365 的雲端原則服務概觀
注意事項
「Office 雲端原則服務」已重新命名為「適用於 Microsoft 365 的雲端原則服務」。在大部分情況下,我們只會將它稱為雲端原則。
適用於 Microsoft 365 的雲端原則服務可讓您針對使用者裝置上的 Microsoft 365 Apps 企業版 強制執行原則設定,即使裝置未加入網域或以其他方式管理。 當使用者在裝置上登入 Microsoft 365 應用程式企業版時,其原則設定會漫遊至該裝置。 原則設定適用於執行 Windows、macOS、iOS 和 Android 的裝置,但並非所有原則設定都適用於所有作業系統。 您也可以針對登入的來賓和匿名存取檔的使用者,強制執行 Office 網頁版 和 Loop 的一些原則設定。
雲端原則是 Microsoft 365 Apps 系統管理中心的一部分。 此服務包含許多相同的使用者型原則設定,可在 群組原則 中使用。 您也可以直接在 Microsoft Intune 系統管理中心的 [Office 應用程式>>原則原則] 底下使用雲端原則。
需求
支援的內建系統管理員角色
您可以使用下列內建 Microsoft Entra 角色來存取和管理功能:
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
角色 | 描述 |
---|---|
Office Apps 系統管理員 (建議) | 此角色可以管理 Office 應用程式雲端服務,包括原則和設定管理,以及管理選取、取消選取和發佈「新功能」內容至使用者裝置的能力。 |
安全性系統管理員 | 此角色可以讀取安全性資訊和報告,並管理 Microsoft Entra ID 和 Office 365 中的設定。 |
全域管理員 | 此角色可以管理使用 Microsoft Entra 身分識別的 Microsoft Entra ID 和 Microsoft 服務的所有層面。 |
注意事項
全域讀取者是 Microsoft 365 Apps 系統管理中心支援的另一個內建角色,但不支援雲端更新或新式應用程式設定頁面等功能。
授權需求
必須將您的使用者指派給下列其中一個訂閱方案:
類型 | 訂閱方案 |
---|---|
Education | |
Business | |
大型企業 | |
政府版 |
重要事項
不支援下列方案:
- 由 21Vianet 營運的 Microsoft 365
- Microsoft 365 GCC High 和 DoD
注意事項
- 原則設定無法套用至使用隨選即用的大量授權 Office 版本,例如 Office LTSC 專業增強版 2021 或 Office 標準版 2019。
- 您可以建立 Microsoft 365 Apps 商務版 的原則設定,但只支援與隱私權控制相關的原則設定。 如需詳細資訊,請參閱使用原則設定來管理 Microsoft 365 Apps 企業版的隱私權控制。
產品版本需求
您可以使用下列版本需求,來管理 Windows 上的 Microsoft 365 Apps:
注意事項
針對 GCC 客戶,要傳遞給在 Windows 上執行之 Microsoft 365 Apps 之原則的最低支援 Office 用戶端版本是 2410 版或更新版本。
網路要求
執行 Microsoft 365 Apps 的裝置需要下列端點的存取權:
Microsoft 服務 | 允許清單上所需的 URL |
---|---|
Microsoft 365 App 系統管理中心 | |
Office 內容傳遞網路 (CDN) |
來源: Microsoft 365 URL 和 IP 位址範圍
Microsoft Entra 群組需求
雲端原則服務支援使用具有下列需求的 Microsoft Entra 群組:
- 原則僅適用於 用戶物件。
- 使用者對象 必須存在於 Microsoft Entra ID 中,並已獲指派 支援的授權。
- 巢狀群組支援最多三層深度。
- 群組可能同時包含 裝置對象 和 用戶物件,但 會忽略裝置物件 。
建立原則設定的步驟
以下是建立原則設定的基本步驟。
- 登入 Microsoft 365 Apps 系統管理中心。 如果您是第一次使用系統管理中心,請檢閱條款。 然後,選取 [ 接受]。
- 在 [ 自定義] 底下,選取 [ 原則管理]。
- 在 [ 原則設定] 頁面上,選取 [ 建立]。
- 在 [ 開始使用基本概念 ] 頁面上,輸入) 所需的名稱 (,以及選擇性) (描述,然後選取 [ 下一步]。
- 在 [選擇範圍] 頁面上,判斷原則設定是否適用於所有使用者、特定群組,或使用 Office 網頁版 匿名存取文件的使用者。
- 如果原則設定適用於特定群組,您現在可以將多個群組新增至單一原則設定,以獲得更有彈性的目標。 若要新增群組,請選取 [新增 群組],然後選擇相關的群組。 將多個群組新增至單一原則設定,可讓相同的群組包含在多個原則設定中,以促進更簡化且更有效率的原則管理程式。
- 選取之後,選擇 [ 下一步]。
- 在 [ 設定設定 ] 頁面上,選取您要包含在原則設定中的原則。 您可以依名稱搜尋原則,也可以建立自定義篩選。 您可以依應用程式篩選平臺、是否設定原則,以及原則是否為建議的安全性基準。
- 進行選取之後,選取 [ 下一步 ] 以檢閱您的選取專案。 然後選 取 [建立 ] 以建立原則設定。
管理原則設定
若要變更原則設定:
- 移至 [ 原則設定] 頁面。
- 選取您想要變更的原則,以開啟其設定詳細數據。
- 對原則設定進行適當的變更。
- 流覽至 [ 檢閱併發佈] 頁面。
- 選 取 [更新 ] 以儲存並套用您的變更。
如果您想要建立與現有原則設定類似的新原則設定,請在 [原則設定 ] 頁面上 選取現有的原則設定,然後選取 [ 複製]。 進行適當的變更,然後選取 [ 建立]。
若要查看編輯原則設定時設定的原則,請流覽至 [原則] 區段並 依 [狀態 ] 數據行篩選,或選取原則數據表頂端的 [已設定 的交叉分析 篩選器]。 您也可以依應用程式和平台進行篩選。
若要變更原則設定的優先順序順序,請選取 [原則設定] 頁面上的 [重新排序優先順序]。
如果您想要匯出原則設定,請在 [原則設定] 頁面上選取現有的原則設定,然後選取 [匯出]。 此動作會產生 CSV 檔案以供下載。
如何套用原則設定
Microsoft 365 Apps 企業版 使用的隨選即用服務會定期簽入雲端原則服務,以查看是否有任何與登入使用者相關的原則。 如果有,則會套用適當的原則,並在使用者下次開啟 Office 應用程式時生效,例如 Word 或 Excel。
- 當 Office 應用程式啟動或登入的用戶變更時,隨選即用服務會判斷是否該擷取已登入用戶的原則。
- 如果這是使用者第一次登入,則會進行簽入呼叫來擷取已登入用戶的原則。
- 如果使用者先前已登入,則只有在簽入間隔已失效時,才會進行簽入呼叫。
- 當服務收到簽入呼叫時,會為用戶決定 Microsoft Entra 群組成員資格。
- 如果使用者不是獲指派原則設定的 Microsoft Entra 群組成員,服務會通知隨選即用,以便在24小時內回來檢查此使用者。
- 如果使用者是獲指派原則設定的 Microsoft Entra 群組成員,服務會傳回使用者的適當原則設定,並通知隨選即用以在 90 分鐘內回來檢查。
- 如果發生錯誤,下次用戶開啟 Office 應用程式時會進行另一個簽入呼叫,例如 Word 或 Excel。
- 如果排程下一次簽入通話時沒有任何 Office 應用程式正在執行,則會在使用者下次開啟 Office 應用程式時進行檢查,例如 Word 或 Excel。
注意事項
只有當 Office 應用程式重新啟動時,才會套用來自雲端原則的原則。 此行為與 群組原則 相同。 針對 Windows 裝置,原則會根據登入 Microsoft 365 Apps 企業版 的主要用戶來強制執行。 如果有多個帳戶登入,則只會套用主要帳戶的原則。 如果切換主要帳戶,則在 Office 應用程式重新啟動之前,將不會套用指派給該帳戶的大部分原則。 某些與 隱私權控制 相關的原則會在不重新啟動任何 Office 應用程式的情況下套用。
如果用戶位於巢狀群組中,且父群組是以原則為目標,巢狀群組中的使用者將會收到原則。 巢狀群組和這些巢狀群組中的用戶必須在 中建立,或同步處理為 Microsoft Entra ID。
簽入間隔由雲端原則服務控制,並在每次簽入呼叫期間傳達給隨選即用。
如果使用者是具有衝突原則設定的多個 Microsoft Entra 群組的成員,則會使用優先順序來判斷要套用哪一個原則設定。 套用最高優先順序,其中 「0」 是您可以指派的最高優先順序。 您可以在 [原則設定] 頁面上選擇 [重新排序優先順序],以設定優先順序。
此外,使用雲端原則實作的原則設定優先於在 Windows Server 上使用 群組原則 實作的原則設定,並優先於喜好設定或本機套用的原則設定。
基線
在Microsoft,我們致力於創新,並透過建立新式管理工具來降低IT系統管理員的負擔。 也就是說,雲端原則中的基準是另一種方式,您可以在為組織部署原則時節省時間。 安全性和輔助功能基準會針對保護組織所需的 群組原則 提供唯一的篩選,並讓終端用戶能夠建立可存取的內容。
安全性基準
為了輕鬆識別安全性基準原則,原則數據表中新增了名為 Recommendation 的新數據行。 建議用於安全性基準的原則會在此數據行中觸發。 您也可以使用數據行篩選條件,將檢視限制為僅標記為安全性基準的原則。
如需詳細資訊,請參閱 Microsoft 365 Apps 企業版 的安全性基準。
輔助功能基準
我們大部分的客戶都會大步前進,讓組織更容易存取。 輔助功能基準可讓 IT 專業人員設定輔助功能原則,使其終端用戶能夠建立無障礙內容,並限制移除輔助功能檢查程式設定的功能,使其無法停用。
Microsoft Purview 支援
雲端原則服務支援 Microsoft Purview 稽核解決方案。 啟用稽核時,會追蹤建立、刪除、修改原則組態、變更已設定的原則設定,以及調整優先順序順序等事件。 您可以使用入口網站或 PowerShell 來 搜尋稽核記錄以 取得這類變更。 如需擷取作業和數據格式的詳細資訊,請參閱 活動文件 和 架構參考。
雲端原則的其他相關信息
- 只能使用以用戶為基礎的原則設定。 無法使用以計算機為基礎的原則設定。
- 當新的使用者型原則設定可供 Office 使用時,雲端原則會自動新增這些設定。 不需要 (ADMX/ADML) 下載更新的系統管理範本檔案。
- 您也可以建立原則設定,針對 Project 和 Visio 訂閱方案隨附的傳統型應用程式版本套用原則設定。
- 健康狀態功能已於 2022 年 3 月後半部淘汰。 在未來 (目前沒有已知日期) ,我們計劃提供雲端原則的進階健康情況報告和合規性監視功能。
疑難排解提示
如果預期的原則未正確套用至使用者的裝置,請嘗試下列動作:
- 請確定使用者已登入 Microsoft 365 Apps 企業版、啟用它,並具有有效的授權。
- 請確定用戶是適當安全組的一部分。
- 確認您未使用已驗證的 Proxy。
- 檢查原則設定的優先順序。 如果用戶位於指派原則設定的多個安全組中,則原則設定的優先順序會決定哪些原則會生效。
- 在某些情況下,如果兩個具有不同原則的使用者在相同的 Windows 會話期間登入相同裝置上的 Office,則可能無法正確套用原則。
- 從雲端原則擷取的原則設定會儲存在 HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0 下的 Windows 登錄中。 每次在簽入程式期間從原則服務擷取一組新的原則時,都會覆寫此密鑰。
- 原則服務簽入活動會儲存在 Windows 登錄中的 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy。 刪除此金鑰並重新啟動 Office 應用程式將會觸發原則服務,以便在下次啟動 Office 應用程式時簽入。
- 如果您想要在下次排程執行 Windows 的裝置檢查雲端原則時看到,請查看 [HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy] 底下的 FetchInterval。 此值以分鐘為單位表示。 例如,1440,相當於24小時。
- 您可能會遇到 FetchInterval 值 0。 如果此值存在,用戶端會在上次簽入后等候 24 小時,再嘗試再次使用雲端原則進行檢查。