Обзор службы облачной политики для Microsoft 365

  • Статья

Примечание.

"Служба облачной политики Office" переименована в "Служба облачной политики для Microsoft 365". В большинстве случаев мы просто будем называть его облачной политикой.

Служба облачной политики для Microsoft 365 позволяет применять параметры политики для приложений Microsoft 365 для предприятий на устройстве пользователя, даже если устройство не присоединено к домену или не управляется иным образом. Когда пользователь входит в приложения Microsoft 365 для предприятий на устройстве, параметры политики перемещаются на это устройство. Параметры политики доступны для устройств под управлением Windows, macOS, iOS и Android, хотя не все параметры политики доступны для всех операционных систем. Вы также можете применить некоторые параметры политики для Office для Интернета и Цикла, как для гостевых пользователей, которые вошли в систему, так и для пользователей, которые получают анонимный доступ к документам.

Облачная политика является частью Центра администрирования приложений Microsoft 365. Служба включает в себя множество параметров политики на основе пользователей, доступных в групповой политике. Вы также можете использовать облачную политику непосредственно в Центре администрирования Microsoft Intune в разделе Политики приложений>>для приложений Office.

Требования

Поддерживаемые встроенные роли администратора

Для доступа к этой функции и управления ею можно использовать следующие встроенные роли Microsoft Entra:

Важно!

Microsoft рекомендует использовать роли с наименьшим количеством разрешений. Это помогает повысить безопасность вашей организации. Глобальный администратор — это роль с высокими привилегиями, которую следует ограничивать экстренными сценариями, когда вы не можете использовать существующую роль.

Role Описание
Администратор приложений Office (рекомендуется) Эта роль может управлять облачными службами приложений Office, включая управление политиками и параметрами, а также управлять возможностью выбора, отмены выбора и публикации содержимого функций "новые возможности" на устройствах конечных пользователей.
Администратор безопасности Эта роль может считывать сведения о безопасности и отчеты, а также управлять конфигурацией в Microsoft Entra ID и Office 365.
Глобальный администратор Эта роль может управлять всеми аспектами Идентификатора Microsoft Entra и служб Майкрософт, использующих удостоверения Microsoft Entra.

Примечание.

Global Reader — это еще одна встроенная роль, поддерживаемая Центром администрирования приложений Microsoft 365, но она не поддерживает некоторые функции, такие как обновление облака или страница "Параметры современных приложений".

Требования к лицензированию

Пользователю необходимо назначить один из следующих планов подписки:

Тип План подписки
Образование
  • Microsoft 365 A3
  • Microsoft 365 A5
    		•
    Для бизнеса
  • Microsoft 365 бизнес стандарт
  • Microsoft 365 бизнес премиум
    		•
    Корпоративная
  • Office 365 E3
  • Office 365 E5
  • Microsoft 365 E3
  • Microsoft 365 E5
    		•

    Важно!

    Следующие планы не поддерживаются:

    • Microsoft 365 под управлением 21Vianet
    • Microsoft 365 GCC
    • Microsoft 365 GCC High и DoD

    Примечание.

    Требования к версии продукта

    Вы можете управлять приложениями Microsoft 365 в Windows со следующими требованиями к версии:

    Требования к сети

    Устройствам с приложениями Microsoft 365 требуется доступ к следующим конечным точкам:

    Служба Майкрософт URL-адреса, которые должны находиться в списке разрешенных
    Центр администрирования Приложений Microsoft 365
  • login.live.com
  • *.config.office.com
  • *.config.office.net
    		•
    Сеть доставки содержимого (CDN) Office
  • officecdn.microsoft.com;
  • officecdn.microsoft.com.edgesuite.net
  • otelrules.azureedge.net
    		•

    Источник: URL-адреса и диапазоны IP-адресов Microsoft 365

    Требования к группам Microsoft Entra

    Служба облачной политики поддерживает использование групп Microsoft Entra со следующими требованиями:

    • Политики применяются только к объектам пользователей.
    • Объекты пользователя должны присутствовать в идентификаторе Microsoft Entra и иметь назначенную поддерживаемую лицензию .
    • Вложенные группы поддерживают до трех уровней глубины.
    • Группа может содержать как объекты устройства , так и объекты пользователя, но объекты устройства будут игнорироваться.

    Действия по созданию конфигурации политики

    Ниже приведены основные шаги по созданию конфигурации политики.

    1. Войдите в Центр администрирования приложений Microsoft 365. Если вы используете Центр администрирования в первый раз, ознакомьтесь с условиями. Затем выберите Принять.
    2. В разделе Настройка выберите Управление политиками.
    3. На странице Конфигурации политик выберите Создать.
    4. На странице Начать с основных сведений введите имя (обязательно) и описание (необязательно), а затем нажмите кнопку Далее.
    5. На странице Выбор области определите, применяется ли конфигурация политики ко всем пользователям, определенным группам или к пользователям, которые анонимно получают доступ к документам с помощью Office для Интернета.
    6. Если конфигурация политики применяется к определенным группам, теперь можно добавить несколько групп в одну конфигурацию политики для более гибкого нацеливания. Чтобы добавить группы, выберите Добавить группы и выберите соответствующие группы. Добавление нескольких групп в одну конфигурацию политики позволяет включить одну группу в несколько конфигураций политик, что упрощает процесс управления политиками.
    7. Выбрав нужный вариант, нажмите кнопку Далее.
    8. На странице Настройка параметров выберите политики, которые нужно включить в конфигурацию политики. Вы можете выполнить поиск политики по имени или создать пользовательский фильтр. Вы можете фильтровать по платформе, по приложениям, по настройке политики и по тому, является ли политика рекомендуемой базовой базой безопасности.
    9. После выбора нажмите кнопку Далее , чтобы просмотреть выбранные варианты. Затем нажмите кнопку Создать , чтобы создать конфигурацию политики.

    Управление конфигурациями политик

    Чтобы изменить конфигурацию политики, выполните следующие действия.

    1. Перейдите на страницу Конфигурации политик .
    2. Откройте сведения о конфигурации политики, которую нужно изменить, выбрав ее.
    3. Внесите соответствующие изменения в конфигурацию политики.
    4. Перейдите на страницу Рецензирование и публикация .
    5. Выберите Обновить , чтобы сохранить и применить изменения.

    Если вы хотите создать новую конфигурацию политики, аналогичную существующей конфигурации политики, выберите существующую конфигурацию политики на странице Конфигурации политик и нажмите кнопку Копировать. Внесите соответствующие изменения и нажмите кнопку Создать.

    Чтобы узнать, какие политики настраиваются при изменении конфигурации политики, перейдите в раздел Политики и отфильтруйте по столбцу Состояние или выберите срез Настроено в верхней части таблицы политик. Вы также можете выполнять фильтрацию по приложениям и платформам.

    Чтобы изменить порядок приоритетов для конфигураций политик, выберите Изменить порядок приоритета на странице Конфигурации политики .

    Если вы хотите экспортировать конфигурацию политики, выберите существующую конфигурацию политики на странице Конфигурации политики , а затем выберите Экспорт. Это действие создает CSV-файл для скачивания.

    Применение конфигурации политики

    Служба "нажми и запускай", используемая приложениями Microsoft 365 для предприятий, регулярно проверяет наличие политик, относящихся к вошедшего пользователя. Если они есть, то соответствующие политики применяются и вступают в силу при следующем открытии пользователем приложения Office, например Word или Excel.

    • При запуске приложения Office или изменении пользователя, выполнившего вход, служба "нажми и работу" определяет, пора ли получить политики для вошедшего пользователя.
      • Если это первый вход пользователя, вызов регистрации выполняется для получения политик для вошедшего пользователя.
      • Если пользователь ранее вошел в систему, вызов при регистрации выполняется только в том случае, если интервал проверки истек.
    • Когда служба получает вызов регистрации, членство в группе Microsoft Entra определяется для пользователя.
      • Если пользователь не является членом группы Microsoft Entra, назначенной конфигурацией политики, служба сообщает о необходимости вернуться в течение 24 часов для этого пользователя.
      • Если пользователь является членом группы Microsoft Entra, назначенной конфигурацией политики, служба возвращает соответствующие параметры политики для пользователя и сообщает о необходимости выполнить проверку в течение 90 минут.
      • Если возникает ошибка, при следующем открытии пользователем приложения Office, например Word или Excel, выполняется еще один вызов возврата.
      • Если при следующем вызове возврата не запущены приложения Office, проверка будет выполнена при следующем открытии пользователем приложения Office, например Word или Excel.

    Примечание.

    • Политики из облачной политики применяются только при перезапуске приложения Office. Поведение аналогично групповой политике. Для устройств Windows политики применяются в зависимости от основного пользователя, вошедшего в Microsoft 365 Apps for Enterprise. Если в систему вошли несколько учетных записей, применяются только политики для основной учетной записи. При переключении основной учетной записи большинство политик, назначенных этой учетной записи, не будут применяться до перезапуска приложений Office. Некоторые политики, связанные с элементами управления конфиденциальностью , будут применяться без перезапуска приложений Office.

    • Если пользователи находятся во вложенных группах, а родительская группа ориентирована на политики, пользователи во вложенных группах получат политики. Вложенные группы и пользователи в этих вложенных группах должны быть созданы или синхронизированы с Идентификатором Microsoft Entra.

    • Интервал регистрации контролируется службой облачной политики и передается в службу "нажми и запускай" во время каждого вызова.

    Если пользователь является членом нескольких групп Microsoft Entra с конфликтующими параметрами политики, приоритет используется для определения примененного параметра политики. Применяется самый высокий приоритет, при этом "0" является наивысшим приоритетом, который можно назначить. Вы можете задать приоритет, выбрав Изменить порядок приоритета на странице Конфигурации политики .

    Кроме того, параметры политики, реализованные с помощью облачной политики, имеют приоритет над параметрами политики, реализованными с помощью групповой политики в Windows Server, и имеют приоритет над параметрами предпочтения или локально примененными параметрами политики.

    Базовые показатели

    Корпорация Майкрософт стремится к инновациям и снижению нагрузки ИТ-администраторов с помощью создания современных средств управления. При этом базовые показатели в облачной политике — это еще один способ сэкономить время при развертывании политики для организации. Базовые показатели безопасности и специальных возможностей предоставляют уникальный фильтр по групповой политике, необходимой для защиты организации и предоставления конечным пользователям возможностей для создания содержимого со специальными возможностями.

    Базовая конфигурация безопасности

    Чтобы легко определить базовые политики безопасности, в таблицу политик был добавлен новый столбец с именем Рекомендация. Политики, рекомендуемые для базовых показателей безопасности, активируются в этом столбце. Вы также можете использовать фильтр столбцов, чтобы ограничить представление только политиками, помеченными как базовые показатели безопасности.

    Дополнительные сведения см. в статье Базовые показатели безопасности для приложений Microsoft 365 для предприятий.

    Базовый уровень специальных возможностей

    Большинство наших клиентов делают шаги, чтобы стать более доступными как организация. Базовые возможности специальных возможностей позволяют ИТ-специалистам настраивать политики специальных возможностей, чтобы пользователи могли создавать содержимое со специальными возможностями и ограничивать возможность удаления отключенных параметров средства проверки читаемости.

    Дополнительные сведения об облачной политике

    • Доступны только параметры политики на основе пользователя. Параметры политики на основе компьютера недоступны.
    • По мере того как новые параметры политики на основе пользователей становятся доступными для Office, облачная политика автоматически добавляет их. Скачивание обновленных файлов административных шаблонов (ADMX/ADML) не требуется.
    • Вы также можете создать конфигурации политик для применения параметров политики для поддерживаемых версий классических приложений, которые поставляются с планами подписки Project и Visio.
    • Функция состояния работоспособности была прекращена во второй половине марта 2022 года. В будущем (пока неизвестная дата) мы планируем предоставить расширенные функции создания отчетов о работоспособности и мониторинга соответствия требованиям для облачной политики.

    Советы по устранению неполадок

    Если ожидаемые политики неправильно применяются к устройству пользователя, попробуйте выполнить следующие действия:

    • Убедитесь, что пользователь вошел в Приложение Microsoft 365 для предприятий, активировал его и имеет действительную лицензию.

    • Убедитесь, что пользователь входит в соответствующую группу безопасности.

    • Убедитесь, что вы не используете прокси-сервер с проверкой подлинности.

    • Проверьте приоритет конфигураций политики. Если пользователь входит в несколько групп безопасности, которым назначены конфигурации политик, приоритет конфигураций политики определяет, какие политики вступают в силу.

    • В некоторых случаях политики могут применяться неправильно, если два пользователя с разными политиками входят в Office на одном устройстве во время одного сеанса Windows.

    • Параметры политики, полученные из облачной политики, хранятся в реестре Windows в HKEY_CURRENT_USER\Software\Policies\Microsoft\Cloud\Office\16.0. Этот ключ перезаписывается каждый раз, когда новый набор политик извлекается из службы политик в процессе возврата.

    • Действие возврата службы политик хранится в реестре Windows в HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. При удалении этого ключа и перезапуске приложений Office служба политики будет возвращена при следующем запуске приложения Office.

    • Если вы хотите увидеть, когда устройство под управлением Windows будет проверяться с помощью облачной политики, просмотрите FetchInterval в разделе HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\CloudPolicy. Значение выражается в минутах. Например, 1440, что соответствует 24 часам.

    • Вы можете столкнуться со значением FetchInterval, равным 0. Если это значение существует, клиент ожидает 24 часа с момента последней регистрации, прежде чем снова попытаться проверить облачную политику.