基本行動與安全性的功能
基本行動性和安全性 可協助您保護及管理行動裝置,例如組織中授權Microsoft 365 使用者所使用的iPhone、iPad、Android和Windows Phone。 您可以使用設定來建立行動裝置管理原則,以協助控制對貴組織Microsoft 365 電子郵件和支援行動裝置和應用程式之檔的存取。 如果裝置遺失或遭竊,您可以從遠端抹除裝置以移除敏感性組織資訊。
支援的作業系統
請遵循 Microsoft Intune 操作系統指南,以取得 基本行動性和安全性 裝置的最低支援操作系統。 如需詳細資訊,請參閱 Intune 支援的操作系統。
您可以使用 基本行動性和安全性 來保護和管理下列裝置。
- iOS
- 包含 Samsung Knox) 1 的 Android (
- Windows2、3
1在 2020 年 6 月之後,9 以外的 Android 版本無法管理 Samsung Knox 裝置上的密碼設定。
阿拉伯數位Windows 8.1 RT 裝置的訪問控制僅限於 Exchange ActiveSync。
3Windows 10 的訪問控制需要包含 Microsoft Entra ID P1 或 P2 的訂用帳戶,且裝置必須加入 Microsoft Entra ID。
注意事項
已向舊版操作系統註冊的裝置會繼續運作,不過功能可能會在未通知的情況下變更。
如果您組織中的人員使用 基本行動性和安全性 不支援的行動裝置,您可能會想要封鎖 Exchange ActiveSync 應用程式存取這些裝置Microsoft 365 電子郵件,以協助讓組織的數據更安全。 如需封鎖 Exchange ActiveSync的步驟,請參閱管理 基本行動性和安全性 中的裝置存取設定。
Microsoft 365 電子郵件和文件的訪問控制
下表中不同行動裝置類型的支援應用程式會提示用戶註冊 基本行動性和安全性,其中有新的行動裝置管理原則適用於使用者的裝置,且使用者先前尚未註冊裝置。 如果使用者的裝置不符合原則,根據您設定原則的方式而定,使用者可能會遭到封鎖,無法存取這些應用程式中的Microsoft 365 個資源,或他們可能有存取權,但Microsoft 365 回報原則違規。
| 產品 | iOS | Android |
|---|---|---|
| Exchange Exchange ActiveSync 包含內建的電子郵件和第三方應用程式,例如使用 Exchange ActiveSync 14.1 版或更新版本的第三方應用程式。 | 郵件 | 電子郵件 |
| Microsoft 365 和 商務用 OneDrive 中的應用程式 | Outlook OneDrive Word Excel PowerPoint |
在手機和平板電腦上: Outlook OneDrive Word Excel PowerPoint 僅限手機: Microsoft 365 行動裝置版 |
注意事項
- iOS 10.0 和更新版本的支援包括 iPhone 和 iPad 裝置。
- 基本安全性和行動性不支援 BlackBerry OS 裝置的管理。 從 BlackBerry 使用 BlackBerry Business 雲端服務 () 來管理 BlackBerry OS 裝置。 執行 Android OS 的 Blackberry 裝置支援為標準 Android 裝置
- 如果使用者使用行動瀏覽器存取 Microsoft 365 SharePoint 網站、Microsoft 365 網頁版中的檔,或是 Outlook Web App 中的電子郵件,則不會提示用戶註冊,也不會遭到封鎖或回報原則違規。
下圖顯示當具有新裝置的使用者登入支援使用 基本行動性和安全性 訪問控制之應用程式時,會發生什麼情況。 在用戶註冊其裝置之前,系統會封鎖使用者存取應用程式中Microsoft 365 個資源。
注意事項
針對 Microsoft 365 商務標準版 在 基本行動性和安全性 中建立的原則和存取規則,將會覆寫 Exchange ActiveSync 在 Exchange 系統管理中心建立的行動裝置信箱原則和裝置存取規則。 在 基本行動性和安全性 註冊裝置以進行 Microsoft 365 商務標準版 之後,將會忽略套用至裝置的任何 Exchange ActiveSync 行動裝置信箱原則或裝置存取規則。 若要深入瞭解 Exchange ActiveSync,請參閱 Exchange Online 中的 Exchange ActiveSync。
行動裝置的原則設定
如果您建立原則來封鎖已開啟特定設定的存取,當使用者使用Microsoft 365 電子郵件和文件的訪問控制中所列的支援應用程式時,會封鎖使用者存取 Microsoft 365 資源。
可封鎖使用者存取Microsoft 365 資源的設定位於下列各節:
安全性
加密
越獄
Managed 電子郵件設置檔
例如,下圖顯示當已註冊裝置的使用者不符合適用於其裝置的行動裝置管理原則中的安全性設定時,會發生什麼情況。 使用者使用 基本行動性和安全性 登入支援訪問控制的應用程式。 在裝置符合安全性設定之前,系統會封鎖他們存取應用程式中Microsoft 365 個資源。
下列各節列出您可以用來協助保護及管理連線到您Microsoft 365 組織資源的行動裝置的原則設定。
安全性設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 需要密碼 | 是 | 否 | 否 |
| 防止簡單密碼 | 是 | 否 | 否 |
| 需要英數位元密碼 | 是 | 否 | 否 |
| 密碼最小長度 | 是 | 是 | 是 |
| 抹除裝置之前的登入失敗次數 | 是 | 是 | 是 |
| 裝置鎖定前的閑置分鐘數 | 是 | 否 | 否 |
| 密碼到期 (天) | 是 | 是 | 是 |
| 記住密碼歷程記錄並防止重複使用 | 是 | 是 | 是 |
重要事項
如果 Android 和 Samsung Knox 不再支援這些裝置處於非使用中狀態,則鎖定裝置數分鐘。
加密設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 裝置1上需要數據加密 | 否 | 是 | 是 |
1使用 Samsung Knox,您也可以在記憶體卡片上要求加密。
越獄設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 裝置無法進行越獄或 Root 破解 | 是 | 是 | 是 |
Managed 電子郵件設置檔選項
如果使用者使用手動建立的電子郵件設置檔,下列選項可能會封鎖使用者存取其Microsoft 365 電子郵件。 iOS 裝置上的用戶必須先刪除手動建立的電子郵件設置檔,才能存取其電子郵件。 刪除設定檔之後,系統會在裝置上自動建立新的配置檔。 如需終端使用者如何符合規範的指示,請參閱 裝置已安裝電子郵件設置檔。
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| Email 管理配置檔 | 是 | 否 | 否 |
雲端設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 需要加密備份 | 是 | 否 | 否 |
| 封鎖雲端備份1 | 是 | 否 | 否 |
| 封鎖檔案同步處理 1 | 是 | 否 | 否 |
| 封鎖相片同步處理 | 是 | 否 | 否 |
| 允許Google備份 | 不適用 | 否 | 是 |
| 允許Google帳戶自動同步處理 | 不適用 | 否 | 是 |
1若要運作,這些設定需要受監督的 iOS 裝置。
系統設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 封鎖螢幕擷取 | 是 | 否 | 是 |
| 封鎖從裝置傳送診斷數據 | 是 | 否 | 是 |
應用程式設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 封鎖裝置1上的視訊會議 | 是 | 否 | 否 |
| 封鎖對應用程式存放區1的存取 | 是 | 否 | 是 |
| 存取應用程式存放區時需要密碼 | 是 | 否 | 否 |
1若要運作,這些設定需要受監督的 iOS 裝置。
裝置功能設定
| 設定名稱 | iOS | Android | Samsung Knox |
|---|---|---|---|
| 封鎖與抽取式記憶體的連線 | 否 | 否 | 是 |
| 封鎖藍牙連線 | 否 | 否 | 是 |
其他設定
您可以使用安全性 & 合規性 PowerShell Cmdlet 來設定下列其他原則設定。 如需詳細資訊,請參閱 安全性與合規性 PowerShell。
| 設定名稱 | iOS | Android |
|---|---|---|
| CameraEnabled | 是 | 是 |
| RegionRatings | 是 | 否 |
| MoviesRatings | 是 | 否 |
| TVShowsRating | 是 | 否 |
| AppsRatings | 是 | 否 |
| AllowVoiceDialing | 是 | 否 |
| AllowVoiceAssistant | 是 | 否 |
| AllowAssistantWhileLocked | 是 | 否 |
| AllowPassbookWhileLocked | 是 | 否 |
| MaxPasswordGracePeriod | 是 | 否 |
| PasswordQuality | 否 | 是 |
| SystemSecurityTLS | 是 | 否 |
| WLANEnabled | 否 | 否 |
Windows 支持的設定
您可以將 Windows 10 裝置註冊為行動裝置來管理裝置。 部署適用的原則之後,具有 Windows 10 裝置的使用者在第一次使用內建電子郵件應用程式來存取其Microsoft 365 電子郵件時,必須 基本行動性和安全性 註冊, (需要 Microsoft Entra ID P1 或 P2 訂閱) 。
註冊為行動裝置的 Windows 10 裝置支援下列設定。 這些設定不會封鎖使用者存取Microsoft 365 資源。
安全性設定
需要英數位元密碼
密碼最小長度
抹除裝置之前的登入失敗次數
裝置鎖定前的閑置分鐘數
密碼到期 (天)
記住密碼歷程記錄並防止重複使用
注意事項
下列設定只會控制本機 Windows 帳戶。 透過加入網域或 Microsoft Entra ID 提供的 Windows 帳戶不受這些設定影響。
系統設定
封鎖從裝置傳送診斷數據。
其他設定
您可以使用 PowerShell Cmdlet 來設定這些額外的原則設定:
AllowConvenienceLogon
UserAccountControlStatus
FirewallStatus
AutoUpdateStatus
AntiVirusStatus
AntiVirusSignatureStatus
SmartScreenEnabled
WorkFoldersSyncUrl
從遠端抹除行動裝置
如果裝置遺失或遭竊,您可以從 Microsoft Purview 合規性入口網站 數據外洩防護>裝置管理進行抹除,以移除敏感性組織數據,並協助防止存取Microsoft> 365 組織資源。 您可以進行選擇性抹除,只移除組織數據或完整抹除,以刪除裝置中的所有資訊,並將其還原至其原廠設定。
如需詳細資訊,請參閱在 基本行動性和安全性 中抹除行動裝置。
相關內容
Microsoft 365 (文章 基本行動性和安全性 概觀)
在 基本行動性和安全性 (文章中建立裝置安全策略)