Microsoft 365 的雲端政策服務允許你在使用者裝置上強制執行 Microsoft 365 Apps 企業版的政策設定,即使該裝置未被網域加入或以其他方式管理。 當使用者在裝置上登入 Microsoft 365 應用程式企業版時,其原則設定會漫遊至該裝置。 政策設定適用於運行 Windows、macOS、iOS 和 Android 的裝置,但並非所有作業系統都能使用所有政策設定。 你也可以對 Office 網頁版和 Loop 強制執行一些政策設定,無論是對已登入的訪客,還是匿名存取文件的使用者。
需求
支援的內建系統管理員角色
您可以使用下列內建 Microsoft Entra 角色來存取和管理功能:
重要事項
Microsoft 建議您使用權限最少的角色。 這有助於改善貴組織的安全性。 全域系統管理員是高度特殊權限角色,應僅在無法使用現有角色的緊急案例下使用。
| 角色 | 描述 |
|---|---|
| Office Apps 系統管理員 (建議) | 此角色可以管理 Office 應用程式雲端服務,包括原則和設定管理,以及管理選取、取消選取和發佈「新功能」內容至使用者裝置的能力。 |
| 安全性系統管理員 | 此角色可以讀取安全性資訊和報告,並管理 Microsoft Entra ID 和 Office 365 中的設定。 |
| 全域管理員 | 此角色可以管理使用 Microsoft Entra 身分識別的 Microsoft Entra ID 和 Microsoft 服務的所有層面。 |
注意事項
全域讀取者是 Microsoft 365 Apps 系統管理中心支援的另一個內建角色,但不支援雲端更新或新式應用程式設定頁面等功能。
授權需求
雲端政策支援大多數包含 Microsoft 365 Apps 的 Microsoft 365 訂閱方案。 請檢查你的執照文件是否有具體要求。
重要事項
不支援下列方案:
- 由 21Vianet 營運的 Microsoft 365
注意事項
- 政策設定無法套用於使用點擊執行的磁碟授權版本,例如 Office LTSC 專業增強版 2021 或 Office 標準版 2019。
- 你可以為 Microsoft 365 Apps 商務版建立政策設定,但僅支援與隱私控制相關的政策設定。 如需詳細資訊,請參閱使用原則設定來管理 Microsoft 365 Apps 企業版的隱私權控制。
產品版本需求
您可以使用下列版本需求,來管理 Windows 上的 Microsoft 365 Apps:
注意事項
對於政府客戶 (GCC、GCC High 及 DoD) ,Windows 上執行政策的最低支援版本為 2402 或更新版本,該版本可交付給 Windows Microsoft 365 Apps。
網路要求
執行 Microsoft 365 Apps 的裝置需要下列端點的存取權:
| 環境 | Microsoft 服務 | 允許清單上所需的 URL |
|---|---|---|
| 商業與海灣合作委員會 | Microsoft 365 App 系統管理中心 | *.office.com*.office.net*.config.office.com*.config.office.net |
| GCC High | Microsoft 365 App 系統管理中心 | *.office365.us |
| DoD | Microsoft 365 App 系統管理中心 | *.apps.mil*.office365.us |
來源: Microsoft 365 URL 和 IP 位址範圍
Microsoft Entra 群組需求
Cloud Policy Service 支援使用 Microsoft Entra 群組,並符合以下需求:
- 政策只適用於 使用者物件。
- 使用者對象 必須存在於 Microsoft Entra ID 中,並已獲指派 支援的授權。
- 巢狀群組支援最多三層深度。
- 一個群組可能同時包含 裝置物件 和 使用者物件,但 裝置物件 會被忽略。
建立政策設定的步驟
要建立或編輯政策設定,您必須登入 Microsoft 365 Apps 管理中心。 如果你是第一次使用管理中心,請仔細閱讀條款。 然後,選擇 接受。
- 商業及美國政府用戶可於 config.office.com 或直接在 Microsoft Intune 管理中心>的 Office應用程式政策>中存取 Microsoft 365 Apps 管理中心。
- 美國政府社區 (GCC) High 用戶可於 config.office365.us 存取 Microsoft 365 Apps 管理中心
- 國防部 (國防部) 客戶可於 config.apps.mil 存取Microsoft 365 Apps管理中心
- 在 自訂中,選擇 政策管理。
- 在 政策設定 頁面,選擇 建立。
- 在「 從基礎開始 」頁面,輸入名稱 (所需) 及描述, (可選) ,然後選擇 「下一步」。
- 在「選擇範圍」頁面,判斷該政策設定是否適用於所有使用者、特定群組,或是匿名使用 Office 網頁版存取文件的使用者。
- 如果政策設定適用於特定群組,現在你可以在單一政策設定中新增多個群組,以更靈活地鎖定目標。 要新增群組,請選擇 「新增群組 」並選擇相關群組。 將多個群組加入單一政策配置,允許同一群組同時包含在多個政策配置中,促進更簡化且高效的政策管理流程。
- 做出選擇後,選擇 「下一步」。
- 在 「設定設定 」頁面,選擇你想包含在政策設定中的政策。 你可以依名稱搜尋保單,或建立自訂篩選器。 你可以依平台、應用程式篩選政策是否已設定,以及該政策是否為推薦的安全基準。
- 做出選擇後,選擇 「下一 頁」來檢視你的選擇。 然後選擇 建立 以建立政策設定。
管理政策配置
要更改政策配置:
- 在 自訂中,選擇 政策管理。
- 選擇該政策設定,開啟該設定的設定細節。
- 對政策設定做適當的調整。
- 請前往 「評論與發表 」頁面。
- 選擇 更新 以儲存並套用您的變更。
如果您想建立與現有政策設定相似的新政策設定,請在 政策設定頁面 選擇該現有政策設定,然後選擇 複製。 做了適當的修改,然後選擇 「建立」。
在編輯政策設定時,要查看哪些政策被設定,請前往 「政策 」區塊,並依 照狀態 欄篩選,或選擇政策表頂端的 「已設定 」切片器。 你也可以依應用程式和平台篩選。
若要更改政策組態的優先順序,請在政策組態頁面選擇「重新排序優先權」。
如果你想匯出政策設定,請在 政策設定 頁面選擇現有的政策設定,然後選擇 匯出。 此操作會產生一個 CSV 檔案供下載。
政策配置的應用方式
Microsoft 365 Apps 企業版所使用的點擊執行服務會定期與雲端政策服務聯繫,以確認是否有與登入使用者相關的政策。 如果有,則會套用相應的政策,並在使用者下次開啟 Office 應用程式(如 Word 或 Excel)時生效。
- 當 Office 應用程式啟動或已登入使用者變更時,點擊執行服務會判斷是否該為已登入使用者取得政策。
- 若這是使用者的首次登入,則會進行簽入呼叫以取得登入使用者的政策。
- 若使用者先前已登入,則只有在簽到間隔結束時才會撥打簽到電話。
- 當服務收到簽到呼叫時,會決定使用者的 Microsoft Entra 群組成員資格。
- 如果使用者不是 Microsoft Entra 群組的成員,該群組沒有被指派政策設定,服務會通知 Click-to-Run 在 24 小時內回來查看該使用者。
- 若使用者是 Microsoft Entra 群組成員,該群組被指派政策設定,服務會回傳該使用者的適當政策設定,並通知點擊執行器 90 分鐘後回來查看。
- 如果發生錯誤,下次使用者開啟 Office 應用程式(如 Word 或 Excel)時,會再打一次檢查電話。
- 如果下一次預約打卡時沒有 Office 應用程式在執行,那麼下次使用者開啟 Office 應用程式(如 Word 或 Excel)時,就會進行檢查。
注意事項
雲端政策的政策只會在 Office 應用程式重新啟動時套用。 行為與群組原則相同。 對於 Windows 裝置,政策是根據登入 Microsoft 365 Apps 企業版的主要使用者來執行。 如果有多個帳號登入,則只適用主要帳號的保單。 如果主要帳號被切換,大部分分配給該帳號的政策在重新啟動 Office 應用程式之前不會適用。 部分隱私 控制 相關的政策可在不重啟任何 Office 應用程式的情況下適用。
如果使用者位於巢狀群組中,且父群組是政策的目標,巢狀群組中的使用者會收到政策。 巢狀群組及其內的使用者必須建立或同步於 Microsoft Entra ID。
簽到間隔由雲端政策服務控制,並在每次簽到通話中傳達給 Click-to-Run。
若使用者是多個 Microsoft Entra 群組的成員,且其政策設定相互衝突,則會依優先順序決定適用哪個政策設定。 會套用最高優先權,「0」是你能指派的最高優先權。 你可以在政策設定頁面選擇「重新排序優先權」來設定優先順序。
此外,使用雲端政策實作的政策設定優先於使用 Windows Server 群組原則實作的政策設定,且優先於偏好設定或本地套用的政策設定。
基線
在 Microsoft,我們致力於創新並透過現代管理工具減輕 IT 管理員的負擔。 話雖如此,雲端政策中的基準線也是你在部署組織政策時節省時間的另一種方式。 安全性與無障礙基準提供了獨特的群組原則篩選,保護您的組織並賦能終端使用者創建無障礙內容。
安全性基準
為了方便識別安全基線政策,政策表中新增了一個名為「建議」的欄位。 本欄會觸發建議的安全基線政策。 你也可以使用欄位篩選器,限制檢視只顯示標註為安全基準的政策。
欲了解更多資訊,請參閱 Microsoft 365 Apps 企業版安全基準。
無障礙基準
我們大多數的客戶正努力讓組織更易接觸。 無障礙基準讓 IT 專業人員能設定無障礙政策,授權終端使用者創造無障礙內容,並限制移除無障礙檢查器設定的功能。
Microsoft Purview 支援
雲端政策服務支援 Microsoft Purview 稽核解決方案。 啟用稽核時,會追蹤建立、刪除、修改政策設定、變更及優先順序調整等事件。 你可以使用入口網站或 PowerShell 搜尋 稽核日誌 中的變更。 欲了解更多關於擷取操作與資料格式的資訊,請參閱 活動文件 與 結構參考。
關於雲端政策的更多資訊
- 僅提供使用者基礎的政策設定。 電腦基礎的政策設定無法使用。
- 隨著 Office 新增的使用者基礎政策設定,Cloud Policy 會自動新增這些設定。 不需要下載更新的管理範本檔案 (ADMX/ADML) 。
- 你也可以建立政策設定,套用政策設定給支援的 Project 和 Visio 訂閱方案所附的桌面應用程式版本。
- 健康狀態功能於 2022 年 3 月下半期退休。 未來 (目前尚未確定) 的日期,我們計劃為雲端政策提供先進的健康報告與合規監控功能。
疑難排解提示
如果預期的政策沒有正確套用到使用者的裝置上,請嘗試以下操作:
- 請確保使用者已登入 Microsoft 365 Apps 企業版、啟用並持有有效授權。
- 確保使用者屬於適當的安全群組。
- 確認你沒有使用認證代理。 點擊執行服務負責呼叫雲端政策服務以取得使用者的政策資料。 點擊跑(Click-to-Run)則是在系統上下文下執行。 若點擊執行無法透過系統帳號存取代理伺服器,將以冒充 Windows 登入使用者的方式重新嘗試。
- 檢查政策設定的優先順序。 如果使用者同時屬於多個安全群組,且這些群組都被分配了政策設定,那麼政策設定的優先順序決定哪些政策會生效。
- 在某些情況下,如果兩個不同政策的使用者在同一台 Windows 會話中登入 Office,政策可能無法正確套用。
- 從雲端政策取得的政策設定會儲存在 Windows 登錄檔的 HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0。 每當在檢查過程中從政策服務取得一組新的政策時,此金鑰都會被覆寫。
- 政策服務的檢查活動會儲存在 Windows 登錄檔的 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy 下。 刪除此金鑰並重新啟動 Office 應用程式,下次啟動 Office 應用程式時,政策服務會自動檢查。
- 如果你想知道下一次有執行 Windows 的裝置排程時會用雲端政策檢查,可以參考 HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy 下的 FetchInterval。 該價值以分鐘表示。 例如1440小時,相當於24小時。
- 你可能會遇到 FetchInterval 值為 0。 如果這個值存在,客戶端會等上次登入後 24 小時才會再次嘗試用 Cloud Policy 檢查。