Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Прежде чем использовать Базовая мобильность и безопасность для управления устройствами и защиты доступа к компании, необходимо выполнить описанные в этой статье процедуры, чтобы включить и настроить Базовая мобильность и безопасность в организации.
Дополнительные сведения о Базовая мобильность и безопасность см. в статье Обзор Базовая мобильность и безопасность в Microsoft 365 для бизнеса.
Что нужно знать перед началом работы
Откройте страницу Базовая мобильность и безопасность по адресу https://compliance.microsoft.com/basicmobilityandsecurity.
Сведения о подключении к PowerShell по соответствию требованиям безопасности & см. в статье Подключение к PowerShell для обеспечения безопасности & соответствия требованиям.
Перед выполнением процедур, описанных в этой статье, вам необходимо назначить разрешения. Возможны следующие варианты:
разрешения Microsoft Entra. Членство в ролях глобального администратора* или записи каталогов предоставляет пользователям необходимые разрешения и разрешения для других функций Microsoft 365.
Важно!
* Корпорация Майкрософт рекомендует использовать роли с наименьшими разрешениями. Использование учетных записей с более низкими разрешениями помогает повысить безопасность организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.
Для управления Базовая мобильность и безопасность нельзя использовать делегированную учетную запись администратора. Дополнительные сведения о делегировании администрирования см. в статье Партнеры: предложение делегированного администрирования.
Есть вопросы? Ознакомьтесь с разделом вопросы и ответы по Базовая мобильность и безопасность.
Шаг 1. Включение Базовая мобильность и безопасность в организации
Совет
Если Базовая мобильность и безопасность уже включен в организации, функция Включить недоступна на вкладке Обзор на странице Базовая мобильность и безопасность, поэтому этот шаг можно пропустить.
Чтобы включить Базовая мобильность и безопасность в организации, выполните следующие действия.
На странице Базовая мобильность и безопасность убедитесьhttps://compliance.microsoft.com/basicmobilityandsecurity, что выбрана вкладка Обзор.
На вкладке Обзор выберите Включить функцию.
В открывшемся диалоговом окне подтверждения нажмите кнопку ОК. В диалоговом окне отображается следующее сообщение:
Запрос на активацию, отправленный для обработки. Перезагрузите страницу через несколько минут.
Через несколько минут обновите страницу в браузере.
После включения Базовая мобильность и безопасность на вкладке Обзор страницы Базовая мобильность и безопасность происходят следующие изменения:
- Функция включения на вкладке Обзор заменяется управляемыми устройствами и управлением push-сертификатом Apple MDM.
- Доступны вкладки Политики и Параметры организации .
Включение Базовая мобильность и безопасность в организации с помощью PowerShell
Если вы предпочитаете использовать PowerShell для обеспечения безопасности & соответствия требованиям, чтобы включить базовую мобильность и безопасность в организации, сделайте следующее:
Выполните следующие команды в одной строке, чтобы узнать, включена ли в организации Базовая мобильность и безопасность:
Write-Output -InputObject `r`n,"Device tenant policy",("-"*25); Get-DeviceTenantPolicy | Format-Table Name; Write-Output -InputObject "Device tenant rule",("-"*25); Get-DeviceTenantRule | Format-List Name,ExclusionList,BlockUnsupportedDevicesЕсли предыдущая команда не возвращает результатов, выполните следующие команды, чтобы включить Базовая мобильность и безопасность, используя те же значения, что и если вы включили его на вкладке Обзор на странице Базовая мобильность и безопасность:
New-DeviceTenantPolicy New-DeviceTenantRule -ExclusionList 00000000-0000-0000-0000-000000000000Совет
Значение
00000000-0000-0000-0000-000000000000означает, что все пользователи включены в Базовая мобильность и безопасность (никакие группы безопасности не указывают исключения из Базовая мобильность и безопасность). Вы также можете указать значения GUID одной или нескольких групп безопасности, разделенных запятыми, чтобы исключить из Базовая мобильность и безопасность/ Инструкции см. в разделе Использование PowerShell для настройки параметров организации в Базовая мобильность и безопасность далее в этой статье.Аналогичным образом можно задать для параметра BlockUnsupportedDevices значение
$trueпри создании правила клиента устройства, а не задавать его позже.
Подробные сведения о синтаксисе и параметрах см. в разделах New-DeviceTenantPolicy и New-DeviceTenantRule.
Шаг 2. Настройка записей CNAME для пользовательских доменов Microsoft 365 в Базовая мобильность и безопасность
Совет
Этот шаг необходим, если пользователи входят с помощью учетных записей в пользовательском домене Microsoft 365 (например, michelle@contoso.com). Если пользователи входят с помощью учетных записей в домене Microsoft Online Email Routing Address (MOERA) (например, michelle@contoso.onmicrosoft.com), этот шаг можно пропустить.
Необходимо добавить две записи CNAME для Базовая мобильность и безопасность регистратора DNS для пользовательского домена электронной почты Microsoft 365. Базовый синтаксис записей CNAME:
Hostname: EnterpriseEnrollment.company_domain.com
Points to address or value: EnterpriseEnrollment-s.manage.microsoft.us
Hostname: EnterpriseRegistration.company_domain.com
Points to address or value: EnterpriseRegistration.windows.net
Например:
Hostname: EnterpriseEnrollment.contoso.com
Points to address or value: EnterpriseEnrollment-s.manage.microsoft.us
Hostname: EnterpriseRegistration.contoso.com
Points to address or value: EnterpriseRegistration.windows.net
Совет
Нужна помощь с настройкой записей CNAME? Мы предоставляем инструкции по созданию записей CNAME для различных служб Microsoft 365 во многих регистраторах доменов. Эти инструкции можно использовать в качестве отправной точки для создания записей CNAME для Базовая мобильность и безопасность. Дополнительные сведения см. в разделе Добавление записей DNS для подключения к домену.
Если вы не знакомы с конфигурацией DNS, обратитесь к регистратору доменных имен и попросите о помощи.
После добавления записей CNAME пользователи, которые входят на устройства Windows с помощью адресов электронной почты в пользовательском домене Microsoft 365, перенаправляются на регистрацию в Базовая мобильность и безопасность.
Шаг 3. Создание сертификата службы push-уведомлений Apple для устройств Apple
Совет
Если вы не планируете использовать Базовая мобильность и безопасность для управления устройствами iOS/iPadOS, этот шаг можно пропустить.
Базовая мобильность и безопасность требуется сертификат службы push-уведомлений Apple (APNs) для управления устройствами iOS/iPadOS. Чтобы создать сертификат APNs, выполните следующие действия.
Выполните одно из следующих действий.
- На вкладке Обзор на странице Базовая мобильность и безопасность выберите https://compliance.microsoft.com/basicmobilityandsecurityУправление push-сертификатом Apple MDM, чтобы открыть страницу Настройка push-сертификата MDM. Или используйте прямую ссылку https://portal.azure.com/#view/Microsoft_Intune_Enrollment/APNSCertificateUploadBlade.
- Перейдите к iOS/iPadOS | Страница регистрации центра администрирования Intune по адресу https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesIosMenu/~/iosEnrollment. В разделе Предварительные требования выберите Push-сертификат Apple MDM , чтобы открыть всплывающее окно Настройка push-сертификата MDM .
На странице или всплывающем элементе Настройка push-сертификата MDM выполните указанные действия по настройке сертификата APNs. Подробные инструкции см. в разделе Шаг 1. Предоставление корпорации Майкрософт разрешения на отправку сведений о пользователях и устройствах в Apple.
Сертификат Apple MDM Push действителен в течение 365 дней (с 30-дневным льготным периодом для продления после его истечения). Вам необходимо обновлять сертификат каждый год, чтобы поддерживать управление устройствами Apple. Инструкции см. в разделе Продление push-сертификата Apple MDM.
Шаг 4. Настройка параметров организации в Базовая мобильность и безопасность
Вкладка Параметры организации на странице Базовая мобильность и безопасность по адресу https://compliance.microsoft.com/basicmobilityandsecurity содержит следующие параметры, которые необходимо учитывать:
Ограничение доступа для неподдерживаемого устройства MDM. Запрещает пользователям доступ к электронной почте Microsoft 365 на устройствах, которые Базовая мобильность и безопасность не поддерживают. Дополнительные сведения о поддерживаемых устройствах см. в разделе Поддерживаемые платформы устройств в Базовая мобильность и безопасность.
После развертывания этого раздела доступны следующие значения:
Разрешить доступ (требуется регистрация устройства). Это значение является значением по умолчанию.
Блокировать доступ. Мы рекомендуем использовать это значение, чтобы обеспечить безопасность вашей организации. Неподдерживаемые устройства не могут получать доступ к электронной почте Microsoft 365 на устройстве. После выбора этого значения вкладка автоматически обновляется, и оба раздела на странице свернуты. Разверните этот раздел, чтобы увидеть выбранное значение.
Группы безопасности, исключенные из управления доступом. Используйте этот параметр, чтобы исключить членов указанных групп безопасности из Базовая мобильность и безопасность. Например:
- Конкретные временные исключения для известных, несоответствующих требованиям устройств.
- Вы больше не хотите использовать Базовая мобильность и безопасность в организации (укажите одну или несколько групп, содержащих всех пользователей в вашей организации).
Поддерживаются следующие типы групп безопасности:
Группы пользователей. Сведения о создании групп безопасности пользователей в Центр администрирования Microsoft 365 см. в статье Создание, изменение или удаление группы безопасности.
Business Basic и Business Standard включают Microsoft Entra Free, которая поддерживает создание назначенных групп пользователей (а не динамических групп пользователей), хотя доступна встроенная динамическая группа пользователей "Все пользователи". Сведения о создании назначенных групп пользователей в Центр администрирования Microsoft Entra см. в статье Создание базовой группы и добавление участников. Используйте указанные ниже параметры:
- Тип группы: Безопасность (по умолчанию).
- Microsoft Entra роли могут быть назначены группе: Нет (по умолчанию).
- Участники: (шаг 10). Выберите Пункт Не выбраны члены. На открывающейся странице Добавление участников выберите вкладку Пользователи , чтобы выбрать пользователей для добавления в группу.
Назначенные группы устройств. Аналогичным образом Microsoft Entra Free поддерживает создание назначенных групп устройств (а не динамических групп устройств). Сведения о создании назначенных групп устройств в Центр администрирования Microsoft Entra см. в статье Создание базовой группы и добавление участников. Используйте указанные ниже параметры:
- Тип группы: Безопасность (по умолчанию).
- Microsoft Entra роли могут быть назначены группе: Нет (по умолчанию).
- Участники: (шаг 10). Выберите Пункт Не выбраны члены. На открывающейся странице Добавление участников выберите вкладку Устройства , чтобы выбрать устройства для добавления в группу.
После развертывания этого раздела начните вводить имя группы в поле, а затем выберите группу, когда она появится. Вкладка автоматически обновляется, а раздел сворачивается. Разверните раздел, чтобы увидеть группу, выбранную под полем.
Чтобы удалить выбранную группу, выберите
запись. Вкладка автоматически обновляется, а раздел сворачивается. Разверните раздел, чтобы увидеть, что удаленная группа больше не находится под полем.Повторите эти действия необходимое количество раз.
Настройка параметров организации в Базовая мобильность и безопасность с помощью PowerShell
Если вы предпочитаете использовать PowerShell для обеспечения безопасности & соответствия требованиям, чтобы настроить параметр организации в Базовая мобильность и безопасность в организации, выполните следующие действия.
Выполните следующую команду, чтобы просмотреть текущее состояние параметров:
Get-DeviceTenantRule | Format-List BlockUnsupportedDevices,ExclusionListЕсли текущие значения Списка исключений усечены, выполните следующую команду, чтобы просмотреть их все:
Get-DeviceTenantRule | Select-Object -ExpandProperty ExclusionListЧтобы настроить параметры организации, используйте следующий синтаксис:
Set-DeviceTenantPolicy [-BlockUnsupportedDevices <$true | $false>] [-ExclusionList "SecurityGroupGUID1","SecurityGroupGUID2",..."SecurityGroupGUIDN"]BlockUnsupportedDevices: соответствует ограничению доступа для неподдерживаемого устройства MDM .
-
$true= Блокировка доступа -
$false= Разрешить доступ (требуется регистрация устройства) (по умолчанию)
-
ExclusionList: соответствует параметру Группы безопасности, исключенные из управления доступом . Укажите одну или несколько групп безопасности, разделенных запятыми. Вы идентифицируете группы по значению GUID:
- Значение
00000000-0000-0000-0000-000000000000означает, что группы безопасности не исключаются (по умолчанию). - Чтобы найти значения GUID доступных групп безопасности, выполните следующие процедуры:
При необходимости установите модуль Microsoft Graph PowerShell в PowerShell, выполнив следующую команду:
Install-Module -Name Microsoft.Graph -Scope CurrentUserОтветьте да на любые директивы об установке поставщика NuGet или установке из PSGallery.
Подключитесь к PowerShell Microsoft.Graph.Groups, выполнив следующую команду:
Connect-MgGraph -Scopes "Group.ReadWrite.All"Подробные сведения о синтаксисе и параметрах см. в разделе Connect-MgGraph.
Выполните следующую команду:
Get-MgGroupИспользуйте значение DisplayName, чтобы найти и скопировать используемое значение Id.
Совет
Возможно, вам потребуется уменьшить размер шрифта в окне PowerShell и снова выполнить команду, чтобы четко увидеть все значения. Например, щелкните окно и используйте колесико прокрутки мыши, чтобы прокрутить вниз, а затем снова запустите команду.
Нельзя использовать Группы Microsoft 365 (свойство GroupTypes имеет
Unifiedзначение ).Значения, указанные для параметра ExclusionList , перезаписывают существующие значения. Вернитесь к шагу 1, чтобы узнать, как просмотреть полный список групп безопасности.
Подробные сведения о синтаксисе и параметрах см. в разделе Get-MgGroup.
- Значение
В этом примере настраивается следующие параметры организации:
- Блокировать доступ для неподдерживаемых устройств.
- Исключите указанные группы безопасности из Базовая мобильность и безопасность.
Set-DeviceTenantPolicy -BlockUnsupportedDevices $true -ExclusionList "6010e907-3193-4a6f-b94c-a4c24b1398cc","0be37e4a-8f43-4b9f-ab7f-74659816067a"Подробные сведения о синтаксисе и параметрах см. в разделе Set-DeviceTenantPolicy.
Шаг 5. Создание политик безопасности устройств
Инструкции см. в разделе Настройка политик в Базовая мобильность и безопасность.
Дальнейшие действия
После создания по крайней мере одной политики в Базовая мобильность и безопасность пользователи, указанные в политиках, получают сообщения о регистрации при следующем входе на свое устройство с идентификатором Microsoft 365 или попытке получить доступ к данным компании с помощью поддерживаемого приложения.
Пользователи должны выполнить действия по регистрации и активации, прежде чем они смогут получить доступ к электронной почте и документам Microsoft 365. Дополнительные сведения см. в статье Регистрация мобильного устройства с помощью Базовая мобильность и безопасность.
Совет
Если предпочтительный язык пользователя недоступен в процессе регистрации устройства, пользователь может получить уведомление и шаги на другом языке. В настоящее время не все поддерживаемые языки в Microsoft 365 доступны для процесса регистрации на мобильных устройствах.