將Office 365服務限制為雲端電腦
系統管理員可以拒絕存取雲端電腦以外的任何裝置上Office 365服務。 若要這樣做,您可以設定Microsoft Entra條件式存取原則和裝置篩選器,如本文所述。 遵循這些步驟,您可以確定使用者使用其雲端電腦作為其主要裝置。 如此一來,您可以改善公司資源和服務的安全性。
本文說明如何限制存取Office 365服務。 您可以使用相同的策略搭配任何使用Microsoft Entra識別碼作為驗證來源的雲端服務。
建立Microsoft Entra安全性群組,以管理哪些使用者是由新原則所控制。 將所有將受限於新原則的雲端電腦使用者新增至此群組。 存取Office 365服務時,只有此群組中的使用者只能使用雲端電腦。 如果您想要變更使用者的存取權,您可以直接從此群組中移除使用者的存取權。
登入Microsoft Intune系統管理中心,選取[端點安全>性條件式存取>][建立新原則]。
輸入新條件式存取原則的 [名稱 ]。 例如,「限制Office 365 CCP 的存取權」。
選取 [0 個使用者和群組] 選取 [>包含>選取使用者和群組>][使用者和群組> ] 選取您建立 > 的Microsoft Entra安全性群組選取 [選取]。
選取 [選取 [選取) 搜尋並選取 [選取Office 365][選取>> ]底下的> [包含選取應用程式無 (選取的雲端應用程式> 、動作或>驗證內容] 。
選取 [選取排除的雲端應用程式] 底下的 [排除>無 () > 搜尋並選取[Azure 虛擬桌面和Windows 365應用程式 >][選取]。
選取 [> 篩選裝置) ] 底下的 [未設定 (0 個條件]。
在 [ 裝置篩選] 窗格中:
- 將 [設定] 設定為 [是]。
- 選 取 [從原則排除篩選的裝置]。
- 選取 [屬性> 模型] 底下的下拉式選項。
- 選取 [運算子>開頭] 下的下拉式選項。
- 在 [ 值]底下的文字方塊中,將值輸入為 [雲端電腦]。 如果雲端電腦命名慣例變更,請變更篩選值以符合裝置名稱。
- 選 取 [完成 ] 以設定篩選準則。
您可以視需要在此原則中設定更多選項,但這類新增專案不在本文的範圍內。
選取 [授與) 區塊存取]底下的[ (選取的 > 0 個控件] [選取 > ]。
在[啟用原則) ] 底下,選取 [ (]。 此原則會限制使用者存取非雲端電腦裝置上的Office 365服務。 您可能想要選取 [僅限報表 ] 來監視原則,並在強制執行之前建立信賴度。
選 取 [建立 ] 以完成原則的建立。
注意事項
如果您已將布建原則設定為使用Microsoft Entra單一登入,您可能也需要將Microsoft 遠端桌面新增至步驟 6 中的排除清單,單一登入連線才能如預期般運作。
其他裝置
此範例原則可以擴充以符合其他使用案例,例如允許從使用者的行動裝置和 Tablet 裝置存取Office 365服務。 若要這樣做,請對原則進行下列變更:
- 在 [原則] 頁面上,選取 [裝置平臺] ) 下 [條件未設定 (] 底下的 > 文字。
- 選取 [是 ] 以開啟組態選項。
- 選取 [包含>任何裝置]。
- 選取 [排除>Android和iOS]。
- 選 取 [完成 ] 以設定篩選準則。
- 選取 [儲存]。