Возможности Basic Mobility + Security
Базовая мобильность и безопасность помогают защитить и управлять мобильными устройствами, такими как iPhone, iPad, Android и Windows Phone, которые используются лицензированными пользователями Microsoft 365 в вашей организации. Вы можете создать политики управления мобильными устройствами с параметрами, которые помогут управлять доступом к электронной почте и документам Microsoft 365 вашей организации для поддерживаемых мобильных устройств и приложений. Если устройство потеряли или украли, можно удаленно очистить устройство, чтобы уничтожить конфиденциальную корпоративную информацию.
Поддерживаемые операционные системы
Следуйте инструкциям в руководстве по операционным системам Microsoft Intune для минимальных поддерживаемых операционных систем для устройств по базовой мобильности и безопасности. Дополнительные сведения см. в статье Поддерживаемые операционные системы Intune.
Вы можете использовать базовую мобильность и безопасность для защиты следующих устройств и управления ими.
- iOS
- Android (включая Samsung Knox)1
- Windows2, 3
1После июня 2020 г. версии Android старше 9 не смогут управлять параметрами пароля, за исключением устройств Samsung Knox.
2Управление доступом для устройств Windows 8.1 RT ограничено Exchange ActiveSync.
3Для управления доступом для Windows 10 требуется подписка, включающая Microsoft Entra ID P1 или P2, и устройство должно быть присоединено к Идентификатору Microsoft Entra.
Примечание.
Устройства, уже зарегистрированные в более ранних версиях ОС, продолжают работать, хотя возможности могут измениться без уведомления.
Если пользователи в вашей организации используют мобильные устройства, которые не поддерживаются basic mobility and security, вы можете заблокировать доступ приложения Exchange ActiveSync к электронной почте Microsoft 365 для этих устройств, чтобы сделать данные вашей организации более безопасными. Инструкции по блокировке Exchange ActiveSync см. в статье Управление параметрами доступа к устройствам в basic Mobility and Security.
Управление доступом к электронной почте и документам Microsoft 365
Поддерживаемые приложения для различных типов мобильных устройств, приведенные в следующей таблице, побуждают пользователей зарегистрироваться в basic Mobility and Security, где есть новая политика управления мобильными устройствами, которая применяется к устройству пользователя, и пользователь ранее не зарегистрировал устройство. Если устройство пользователя не соответствует политике, в зависимости от того, как вы настроили политику, пользователю может быть запрещен доступ к ресурсам Microsoft 365 в этих приложениях или у него может быть доступ, но Microsoft 365 сообщит о нарушении политики.
| Продукт | iOS | Android |
|---|---|---|
| Exchange Exchange ActiveSync включает встроенные приложения электронной почты и сторонние приложения, например TouchDown, которые используют Exchange ActiveSync версии 14.1 или более поздней. | Почта | Электронная почта |
| Приложения в Microsoft 365 и OneDrive для бизнеса | Outlook OneDrive Word Excel PowerPoint |
На телефонах и планшетах: Outlook OneDrive Word Excel PowerPoint Только на телефонах Microsoft 365 mobile |
Примечание.
- Поддержка iOS 10.0 и более поздних версий включает устройства iPhone и iPad.
- Управление устройствами ОС BlackBerry не поддерживается базовой безопасностью и мобильностью. Используйте облачные службы BlackBerry Business (BBCS) от BlackBerry для управления устройствами с ОС BlackBerry. Устройства Blackberry под управлением ОС Android поддерживаются как стандартные устройства Android
- Пользователям не будет предложено зарегистрироваться, и они не будут блокироваться или сообщать о нарушении политики, если они используют мобильный браузер для доступа к сайтам Microsoft 365 SharePoint, документам в Microsoft 365 в Интернете или электронной почте в Outlook Web App.
На следующей схеме показано, что происходит, когда пользователь с новым устройством входит в приложение, которое поддерживает управление доступом с помощью Basic Mobility and Security. Пользователю запрещен доступ к ресурсам Microsoft 365 в приложении, пока он не зарегистрировал свое устройство.
Примечание.
Политики и правила доступа, созданные в basic Mobility and Security for Microsoft 365 Business Standard, переопределяют политики почтовых ящиков мобильных устройств Exchange ActiveSync и правила доступа к устройствам, созданные в Центре администрирования Exchange. После регистрации устройства в службе "Базовый уровень мобильности и безопасности" для Microsoft 365 бизнес стандартный любая политика почтового ящика мобильного устройства Exchange ActiveSync или правило доступа к устройству будут игнорироваться. Дополнительные сведения об Exchange ActiveSync см. в статье Exchange ActiveSync в Exchange Online.
Параметры политики для мобильных устройств
Если вы создаете политику для блокировки доступа с включенными параметрами, пользователям будет запрещен доступ к ресурсам Microsoft 365 при использовании поддерживаемого приложения, указанного в разделе Управление доступом к электронной почте и документам Microsoft 365.
Параметры, которые могут блокировать доступ пользователей к ресурсам Microsoft 365, приведены в следующих разделах:
Безопасность
Шифрование
Взлом устройства
Управляемый профиль электронной почты
Например, на следующей схеме показано, что происходит, когда пользователь с зарегистрированным устройством не соответствует параметрам безопасности в политике управления мобильным устройством, применяемой к его устройству. Пользователь входит в приложение, которое поддерживает управление доступом с помощью basic Mobility and Security. Им запрещен доступ к ресурсам Microsoft 365 в приложении до тех пор, пока их устройство не будет соответствовать параметрам безопасности.
В следующих разделах перечислены параметры политики, которые можно использовать для защиты мобильных устройств, которые подключаются к ресурсам организации Microsoft 365 и управления ими.
Параметры безопасности
| Имя параметра | iOS | Android | Samsung Knox |
|---|---|---|---|
| Требование ввести пароль | Да | Нет | Нет |
| Запретить простой пароль | Да | Нет | Нет |
| Запрос алфавитно-цифрового пароля | Да | Нет | Нет |
| Минимальная длина пароля | Да | Да | Да |
| Количество неудачных попыток входа перед очисткой устройства | Да | Да | Да |
| Минут простоя до блокировки устройства | Да | Нет | Нет |
| Срок действия пароля (дней) | Да | Да | Да |
| Журнал паролей и предотвращение повторного использования | Да | Да | Да |
Важно!
Блокировка устройств, если они неактивны в течение этого количества минут , больше не поддерживается для Android и Samsung Knox.
Параметры шифрования.
| Имя параметра | iOS | Android | Samsung Knox |
|---|---|---|---|
| Требовать шифрование данных на устройствах1 | Нет | Да | Да |
1С помощью Samsung Knox вы также можете требовать шифрование на картах памяти.
Установка параметров для взломанного устройства
| Имя параметра | iOS | Android | Samsung Knox |
|---|---|---|---|
| Устройство невозможно взломать или получить на нем доступ к корневому каталогу | Да | Да | Да |
Управляемый параметр профиля электронной почты
Следующий параметр позволяет запретить пользователям доступ к электронной почте Microsoft 365, если они используют созданный вручную профиль электронной почты. Пользователи устройств с iOS должны удалить профиль электронной почты, созданный вручную, прежде чем получить доступ к своей электронной почте. После удаления профиля на устройстве автоматически создается новый профиль. Инструкции о том, как конечные пользователи могут соответствовать требованиям, см. в статье Обнаружена существующая учетная запись электронной почты.
| Имя параметра | iOS | Android | Samsung Knox |
|---|---|---|---|
| Управление профилем электронной почты | Да | Нет | Нет |
Параметры облака
| Имя параметра | iOS | Android | Samsung Knox |
|---|---|---|---|
| Требовать шифрование резервных копий | Да | Нет | Нет |
| Блокировать облачное резервное копирование1 | Да | Нет | Нет |
| Блокировка синхронизации документов1 | Да | Нет | Нет |
| Блокировать синхронизацию фотографий | Да | Нет | Нет |
| Разрешить резервное копирование Google | Недоступно | Нет | Да |
| Разрешить автоматическую синхронизацию учетной записи Google | Недоступно | Нет | Да |
1Для работы этих параметров требуются защищенные устройства iOS.
Параметры системы
| Имя параметра | iOS | Android | Samsung Knox |
|---|---|---|---|
| Блокировать снимки экрана | Да | Нет | Да |
| Запрет отправки диагностических данных с устройства | Да | Нет | Да |
Параметры приложений.
| Имя параметра | iOS | Android | Samsung Knox |
|---|---|---|---|
| Блокировка видеоконферений на устройстве1 | Да | Нет | Нет |
| Блокировка доступа к хранилищу приложений1 | Да | Нет | Да |
| Требовать пароль при доступе к магазину приложений | Да | Нет | Нет |
1Для работы этих параметров требуются защищенные устройства iOS.
Параметры возможностей устройства
| Имя параметра | iOS | Android | Samsung Knox |
|---|---|---|---|
| Блокировать соединение со съемными носителями | Нет | Нет | Да |
| Блокировать подключение Bluetooth | Нет | Нет | Да |
Дополнительные параметры
Следующие дополнительные параметры политики можно задать с помощью командлетов PowerShell для обеспечения безопасности & соответствия требованиям. Дополнительные сведения см. в статье PowerShell безопасности и соответствия требованиям.
| Имя параметра | iOS | Android |
|---|---|---|
| CameraEnabled | Да | Да |
| RegionRatings | Да | Нет |
| MoviesRatings | Да | Нет |
| TVShowsRating | Да | Нет |
| AppsRatings | Да | Нет |
| AllowVoiceDialing | Да | Нет |
| AllowVoiceAssistant | Да | Нет |
| AllowAssistantTimeLocked | Да | Нет |
| AllowPassbookTimeLocked | Да | Нет |
| MaxPasswordGracePeriod | Да | Нет |
| PasswordQuality | Нет | Да |
| SystemSecurityTLS | Да | Нет |
| WLANEnabled | Нет | Нет |
Параметры, поддерживаемые Windows
Вы можете управлять устройствами с Windows 10, зарегистрировав их в качестве мобильных устройств. После развертывания применимой политики пользователям с устройствами с Windows 10 потребуется зарегистрироваться в basic Mobility and Security при первом использовании встроенного почтового приложения для доступа к электронной почте Microsoft 365 (требуется подписка Microsoft Entra ID P1 или P2).
Следующие параметры поддерживаются для устройств с Windows 10, зарегистрированных в качестве мобильных устройств. Этот параметр не блокирует доступ пользователей к ресурсам Microsoft 365.
Параметры безопасности
Запрос алфавитно-цифрового пароля
Минимальная длина пароля
Количество неудачных попыток входа перед очисткой устройства
Минут простоя до блокировки устройства
Срок действия пароля (дней)
Журнал паролей и предотвращение повторного использования
Примечание.
Следующие параметры, регулирующие пароли, управляют только локальными учетными записями Windows. Учетные записи Windows, предоставляемые путем присоединения к домену или идентификатору Microsoft Entra, не затрагиваются этими параметрами.
Параметры системы
Блокировать отправку диагностических данных с устройства.
Дополнительные параметры
Эти дополнительные параметры политики можно задать с помощью командлетов PowerShell:
AllowConvenienceLogon
UserAccountControlStatus
FirewallStatus
AutoUpdateStatus
AntiVirusStatus
AntiVirusSignatureStatus
SmartScreenEnabled
WorkFoldersSyncUrl
Удаленная очистка мобильного устройства
Если устройство потеряно или украдено, вы можете удалить конфиденциальные данные организации и предотвратить доступ к ресурсам организации Microsoft 365, выполнив очистку с портала >соответствия требованиям Microsoft PurviewЗащита от потери> данныхУправление устройствами. Можно выполнить выборочную очистку, удалив только данные организации, или полную очистку для удаления всей информации с устройства и возврата устройства к заводским установкам.
Дополнительные сведения см . в разделе Очистка мобильного устройства в basic Mobility and Security.
Связанные материалы
Обзор базовой мобильности и безопасности для Microsoft 365 (статья)
Создание политик безопасности устройств в basic Mobility and Security (статья)