在基本行動性與安全性中建立裝置安全策略
您可以使用基本行動性與安全性來建立裝置原則,以協助保護貴組織在 Microsoft 365 上的資訊,避免未經授權的存取。 您可以將原則套用至組織中任何行動裝置,其中裝置的使用者具有適用的 Microsoft 365 授權,並且已在基本行動性與安全性中註冊裝置。
開始之前
重要事項
您必須先啟用並設定基本行動性與安全性,才能建立行動裝置原則。 如需詳細資訊,請參閱 Microsoft 365 的基本行動性與安全性概觀。
- 瞭解基本行動性與安全性支援的裝置、行動裝置應用程式和安全性設定。 請參閱 基本行動性和安全性的功能。
- 建立安全組,其中包含您想要將原則部署至的Microsoft 365 個使用者,以及您可能想要排除不被封鎖存取 Microsoft 365 的使用者。 建議您在將新原則部署到組織之前,先將原則部署至少數用戶來測試原則。 您可以建立並使用只包含您自己的安全組,或是可為您測試原則的少數Microsoft 365 使用者。 若要深入瞭解安全組,請參閱 建立、編輯或刪除安全組。
- 若要在 Microsoft 365 中建立及部署基本行動和安全策略,您必須是合規性系統管理員。 如需詳細資訊, 請參閱 Microsoft Entra 內建角色。
- 部署原則之前,請先讓組織知道在基本行動性與安全性中註冊裝置的潛在影響。 根據您設定原則的方式,可能會封鎖不符合規範的裝置存取Microsoft 365 和數據,包括已註冊裝置上已安裝的應用程式、相片和個人資訊,而且可以刪除數據。
注意事項
在 Microsoft 365 商務標準版基本行動性與安全性中建立的原則和存取規則會覆寫 Exchange ActiveSync 行動裝置信箱原則和 在 Exchange 系統管理中心建立的裝置存取規則。 在 Microsoft 365 商務標準版的基本行動性與安全性中註冊裝置之後,會忽略套用至裝置的任何 Exchange ActiveSync 行動裝置信箱原則或裝置存取規則。 若要深入瞭解 Exchange ActiveSync,請參閱 Exchange Online 中的 Exchange ActiveSync。
步驟 1:建立裝置原則並部署至測試群組
開始之前,請確定您已啟用並設定基本行動性與安全性。 如需指示,請參閱 基本行動和安全性概觀。
從您的瀏覽器移至 https://compliance.microsoft.com/basicmobilityandsecurity。
在 [ 原則] 索引 標籤上,選取 [ 建立]。
在 [ 原則名稱] 頁面上,新增 和 名稱和描述,然後選取 [ 下一步]。
在 [ 存取需求 ] 頁面上,指定您想要套用至組織中行動裝置的需求,然後選取 [ 下一步]。
在 [ 設定] 頁面上,選取您組織的設定需求,然後選取 [ 下一步]。
在 [ 部署] 頁面上,選擇要套用此原則的安全組。
在 [ 檢閱] 頁面上,確認您的選擇,然後選擇 [ 提交]。
原則會推送至每位使用者的裝置,該原則會在下次使用其行動裝置登入 Microsoft 365 時套用到。 如果使用者之前尚未將原則套用至其行動裝置,則在您部署原則之後,他們會在其裝置上收到通知,其中包含註冊和啟用基本行動性與安全性的步驟。 如需詳細資訊,請 參閱使用基本行動和安全性註冊行動裝置。 在 Intune 服務所裝載的基本行動性與安全性中完成註冊之前,電子郵件、OneDrive 和其他服務的存取權會受到限制。 使用 Intune 公司入口網站應用程式完成註冊之後,他們可以使用服務,並將原則套用至其裝置。
步驟 2:確認您的原則可運作
建立裝置原則之後,請先檢查原則是否如預期般運作,再將其部署至您的組織。
- 從您的瀏覽器移至 https://compliance.microsoft.com/basicmobilityandsecurity。
- 選 取 [檢視受控裝置的清單]。
- 檢查已套用原則的使用者裝置狀態。 您想要管理裝置的狀態。
- 您也可以在選取裝置之後,按兩下 [恢復出廠預設值] 或 [從管理] 按鈕移除公司數據,以在裝置上執行完整或選擇性抹除。 如需指示,請參閱 在基本行動和安全性中抹除行動裝置。
步驟 3:將原則部署到您的組織
在您建立裝置原則並確認其如預期般運作之後,請將它部署到您的組織。
- 從您的瀏覽器類型: https://compliance.microsoft.com/basicmobilityandsecurity。
- 選取您想要部署的原則,然後選擇 [套用的群組] 旁的 [編輯]。
- 搜尋要新增的群組,然後按兩下 [ 選取]。
- 選 取 [關閉 ] 和 [變更設定]。
- 選取 [關閉 ] 和 [編輯原則]。
原則會推送至每個使用者的行動裝置,該原則會在下次從其行動裝置登入 Microsoft 365 時套用至。 如果使用者尚未將原則套用至其行動裝置,他們會在裝置上收到通知,其中包含註冊並啟用基本行動性與安全性的步驟。 完成註冊之後,原則會套用至其裝置。 如需詳細資訊,請 參閱使用基本行動和安全性註冊行動裝置。
步驟 4:封鎖不支援裝置的電子郵件存取
若要協助保護組織資訊,您應該封鎖應用程式存取基本行動性與安全性不支援的行動裝置Microsoft 365 電子郵件。 如需支援的裝置清單,請參閱 支援的裝置。
若要封鎖應用程式存取:
從瀏覽器中,輸入 https://compliance.microsoft.com/basicmobilityandsecurity。
選取 [組織設定] 索引 標籤。
若要封鎖不支持的裝置,請在 [如果適用於 Microsoft 365 的基本行動性與安全性不支援裝置] 下選擇 [存取],然後選取 [儲存]。
步驟 5:選擇要從條件式存取檢查中排除的安全組
如果您想要將某些人員排除在其行動裝置上的條件式存取檢查之外,而且您已為這些人員建立一或多個安全組,請在這裡新增安全組。 這些群組中的人員不會針對其支援的行動裝置強制執行任何原則。 如果您不想再在組織中使用基本行動性與安全性,這是建議的選項。
從瀏覽器中,輸入 https://compliance.microsoft.com/basicmobilityandsecurity。
選取 [組織設定] 索引 標籤。
選取 [新增 ] 以新增安全組,讓您想要排除的用戶無法封鎖對 Microsoft 365 的存取。 當使用者新增至此清單時,他們可以在使用不支援的裝置時存取Microsoft 365 電子郵件。
在 [選取群組] 面板中選取您想要使用的安全 組 。
選取名稱,然後 選取 [新增>儲存]。
在 [ 組織設定] 面板上,選擇 [ 儲存]。
安全策略對不同裝置類型的影響為何?
當您將原則套用至使用者裝置時,對每個裝置的影響會因裝置類型而有所不同。 如需原則對不同裝置的影響範例,請參閱下表。
| 安全策略 | Android | Samsung KNOX | iOS | 附註 |
|---|---|---|---|---|
| 需要加密備份 | 否 | 是 | 是 | 需要 iOS 加密備份。 |
| 封鎖雲端備份 | 是 | 是 | 是 | 在受監督的 iOS 上封鎖 Android 上的 Google 備份 (呈現灰色) 雲端備份。 |
| 封鎖檔案同步處理 | 否 | 否 | 是 | iOS:在受監督的 iOS 裝置上封鎖雲端中的檔。 |
| 封鎖相片同步處理 | 否 | 否 | 是 | iOS (原生) :封鎖相片串流。 |
| 封鎖螢幕擷取 | 否 | 是 | 是 | 嘗試時封鎖。 |
| 封鎖視訊會議 | 否 | 否 | 是 | FaceTime 在受監督的 iOS 裝置上遭到封鎖,而不是在Skype或其他裝置上封鎖。 |
| 封鎖傳送診斷數據 | 否 | 是 | 是 | 封鎖在 Android 上傳送 Google 當機報告。 |
| 封鎖對 App Store 的存取 | 否 | 是 | 是 | Android 首頁上遺漏應用程式市集圖示,已在 Windows 和受監督的 iOS 裝置上停用。 |
| 需要應用程式市集的密碼 | 否 | 否 | 是 | iOS:iTunes 購買所需的密碼。 |
| 封鎖卸除式記憶體的連線 | 否 | 是 | 不適用 | Android:SD 記憶卡在設定中呈現灰色,Windows 通知使用者,安裝的應用程式無法使用 |
| 封鎖藍牙連線 | 請參閱附注 | 請參閱附注 | 是 | 我們無法在Android上停用BlueTooth作為設定。 相反地,我們會停用所有需要BlueTooth的交易:進階音訊散佈、音訊/視訊遠端控制、免持手裝置、頭戴式裝置、電話簿存取和串行埠。 使用任何快顯通知訊息時,頁面底部會出現一則小型快顯通知訊息。 |
當您刪除原則或從原則中移除使用者時,會發生什麼事?
當您刪除原則或從已部署原則的群組中移除使用者時,可能會從使用者的裝置中移除原則設定、Microsoft 365 電子郵件設置檔和快取的電子郵件。 請參閱下表,以查看針對不同裝置類型移除的專案。
| 拿掉的專案 | iOS | Android (包括 Samsung KNOX) |
|---|---|---|
| Managed 電子郵件設置檔1 | 是 | 否 |
| 封鎖雲端備份 | 是 | 否 |
1 如果已使用 [已管理 電子郵件設置檔 ] 選項來部署原則,則會從使用者裝置刪除該配置檔中的受管理電子郵件設置檔和快取的電子郵件。
該原則會從行動裝置中移除,讓每個使用者在下次使用基本行動性與安全性簽入時套用原則。 如果您部署適用於這些使用者裝置的新原則,系統會提示他們重新註冊基本行動性與安全性。
您也可以完全抹除裝置,或選擇性地從裝置抹除組織資訊。 如需詳細資訊,請參閱 在基本行動性與安全性中抹除行動裝置。