Управление совместной работой в Microsoft 365 (Office) для iOS и Android с помощью Microsoft Intune
Microsoft 365 (Office) для iOS и Android предоставляет несколько основных преимуществ, в том числе:
- Объединение Word, Excel и PowerPoint таким образом, чтобы упростить работу с меньшим количеством приложений, которые нужно загружать или переключаться между ними. Для этого требуется гораздо меньше места на телефоне, чем для установки отдельных приложений, сохраняя при этом практически все возможности существующих мобильных приложений, которые уже знают и используют пользователи.
- Интеграция технологии Microsoft Lens для разблокировки возможностей камеры с такими возможностями, как преобразование изображений в редактируемые документы Word и Excel, сканирование PDF-файлов и запись досок с автоматическими цифровыми улучшениями, чтобы упростить чтение содержимого.
- Добавление новых функциональных возможностей для распространенных задач, с которыми часто сталкиваются пользователи при работе с телефоном, такие как быстрое создание заметок, подписывание PDF-файлов, сканирование QR-кодов и передача файлов между устройствами.
Оформив подписку на набор Enterprise Mobility + Security, которая включает компоненты Microsoft Intune и Microsoft Entra ID P1 или P2, такие как условный доступ, вы обеспечиваете самую широкую и полнофункциональную защиту данных Microsoft 365. По крайней мере необходимо развернуть политику условного доступа, которая разрешает подключаться к Microsoft 365 (Office) для iOS и Android только с мобильных устройств, и политику защиты приложений Intune, обеспечивающую защиту возможностей совместной работы.
Применение условного доступа
Организации могут применять политики условного доступа Microsoft Entra, чтобы пользователи могли получать доступ к рабочей или учебной информации только с помощью Microsoft 365 (Office) для iOS и Android. Для этого потребуется политика условного доступа, распространяющаяся на всех потенциальных пользователей. Эти политики описаны в разделе Условный доступ: требовать утвержденные клиентские приложения или политику защиты приложений.
Выполните действия, описанные в разделе Требовать утвержденные клиентские приложения или политику защиты приложений на мобильных устройствах, которые разрешают Microsoft 365 (Office) для iOS и Android, но блокирует подключение сторонних клиентов мобильных устройств с поддержкой OAuth к конечным точкам Microsoft 365.
Примечание.
Эта политика гарантирует, что мобильные пользователи могут получить доступ ко всем конечным точкам Microsoft 365 с помощью соответствующих приложений.
Примечание.
Чтобы можно было применять политики условного доступа для приложений на устройствах с iOS, должно быть установлено приложение Microsoft Authenticator. Для устройств с Android требуется приложение "Корпоративный портал Intune". Дополнительные сведения см. в статье Условный доступ на основе приложений с помощью Intune.
Создание политик защиты приложений Intune
Политики защиты приложений (APP) указывают, какие приложения разрешены и какие действия эти приложения могут выполнять над данными вашей организации. Доступные в APP параметры позволяют организациям адаптировать систему безопасности в соответствии с конкретными потребностями. Однако они могут затруднить выбор параметров политик, необходимых для реализации полного сценария. Чтобы помочь организациям расставить приоритеты в отношении защиты клиентских конечных точек, корпорация Майкрософт представила новую таксономию для платформы защиты данных с APP для управления мобильными приложениями iOS и Android.
Платформа защиты данных c APP разделена на три разных уровня конфигурации, где каждый следующий уровень строится на предыдущем.
- Базовая защита корпоративных данных (уровень 1) обеспечивает защиту приложений с помощью ПИН-кода и шифрования и выполняет операции выборочной очистки. На устройствах Android этот уровень используется для проверки аттестации устройств. Это минимальная конфигурация, которая обеспечивает аналогичное управление защитой данных в политиках почтовых ящиков Exchange Online и предлагает ИТ-специалистам и пользователям возможности APP.
- Расширенная защита корпоративных данных (уровень 2) предоставляет механизмы APP для защиты от утечки данных и поддерживает минимальные требования к ОС. Эта конфигурация подходит большинству пользователей мобильных устройств, обращающихся к рабочим или учебным данным.
- Высокий уровень защиты корпоративных данных (уровень 3) предоставляет механизмы для расширенной защиты данных, улучшенную конфигурацию ПИН-кодов и политики защиты от угроз на мобильных устройствах. Эта конфигурация является рекомендуемой для пользователей, работающих с данными с высоким уровнем риска.
Конкретные рекомендации для каждого уровня конфигурации и минимальный список приложений, защиту которых необходимо обеспечить, см. в статье Использование политик защиты приложений на платформе защиты данных.
Вне зависимости от того, зарегистрировано ли устройство в решении единого управления конечными точками (UEM), политику защиты приложений Intune необходимо создать как для приложений iOS, так и для приложений Android. Для этого выполните действия, описанные в статье Как создать и назначить политики защиты приложений. Эти политики должны по крайней мере отвечать указанным ниже требованиям.
Они должны включать все мобильные приложения Microsoft 365, например Microsoft Edge, Outlook, OneDrive, Microsoft 365 (Office) или Teams. Это гарантирует, что пользователи могут безопасно получать доступ к рабочим и учебным данным, а также управлять ими в любом приложении Майкрософт.
Она назначена всем пользователям. Это гарантирует защиту всех пользователей независимо от того, работают ли они в Microsoft 365 (Office) для iOS или для Android.
Определите, какой уровень платформы соответствует вашим требованиям. Большинству организаций следует реализовать параметры, определенные в разделе Корпоративная расширенная защита данных (уровень 2), так как это обеспечивает управление требованиями к защите данных и доступу.
Дополнительные сведения о доступных параметрах см. в статьях Параметры политики защиты приложений Android и Параметры политик для защиты приложений в iOS.
Важно!
Чтобы применять политики защиты приложений с использованием Intune к приложениям на устройствах с Android, не зарегистрированных в Intune, пользователь также должен установить приложение "Корпоративный портал Intune". Для политик защиты приложений Android добавьте приложения Office Hub, Office Hub [HL] и Office Hub [ROW]. Дополнительные сведения см. в разделе Совет по поддержке: Включение политик защиты приложений Intune с помощью Office mobile.
Использование конфигурации приложения
Microsoft 365 (Office) для iOS и Android поддерживает параметры приложений, которые позволяют администраторам единого управления конечными точками, например Microsoft Intune, настраивать поведение приложения.
Конфигурация приложений может предоставляться через канал ОС управления мобильными устройствами (MDM) на зарегистрированных устройствах (канал конфигурации управляемых приложений для iOS или канал Android в корпоративной среде для Android) или через канал политики защиты приложений Intune. Microsoft 365 (Office) для iOS и Android поддерживает следующие сценарии конфигурации.
- Разрешение только для рабочих и учебных учетных записей
- Общие параметры конфигурации приложения
- Параметры защиты данных
Важно!
Для сценариев конфигурации, требующих регистрации устройств на Android, устройства должны быть зарегистрированы в Android Enterprise, а приложение Microsoft 365 (Office) для Android должно быть развернуто через корпоративный Магазин Google Play. Дополнительные сведения см. в статьях Настройка регистрации устройств с личным рабочим профилем Android Enterprise и Добавление политик конфигурации приложений для управляемых устройств Android Enterprise. Для конфигураций приложений Android добавьте приложения Office Hub, Office Hub [HL] и Office Hub [ROW]. Дополнительные сведения см. в разделе Совет по поддержке: Включение политик защиты приложений Intune с помощью Office mobile.
Каждый сценарий конфигурации подчеркивает свои конкретные требования. Например, что требуется сценарием конфигурации: регистрация устройства (а значит обеспечивается возможность работы с любым поставщиком UEM) или политики защиты приложений Intune.
Важно!
Ключи конфигурации приложений чувствительны к регистру. Используйте правильный регистр, чтобы конфигурация вступила в силу.
Примечание.
В Microsoft Intune конфигурация приложений, предоставляемая через канал ОС MDM, называется политикой конфигурации приложений (ACP) Управляемые устройства. Конфигурация приложений, предоставляемая через канал политики защиты приложений (APP), называется политикой конфигурации приложений Управляемые приложения.
Разрешение только для рабочих и учебных учетных записей
Соблюдение политик безопасности данных и соответствия требованиям наших крупнейших и строго регулируемых клиентов является ключевым элементом ценности Microsoft 365. Некоторые компании должны записывать всю информацию о коммуникациях в своей корпоративной среде, а также гарантировать, что устройства используются только для корпоративных коммуникаций. Для поддержки этих требований можно настроить Microsoft 365 (Office) и Android на зарегистрированных устройствах на разрешение подготовки только одной корпоративной учетной записи в приложении.
Дополнительные сведения о настройке режима разрешенных учетных записей организации см. здесь:
Этот сценарий конфигурации работает только с зарегистрированными устройствами. Однако поддерживается любой поставщик UEM. Если вы не используете Microsoft Intune, обратитесь к документации по UEM о развертывании этих ключей конфигурации.
Общие сценарии конфигурации приложений
Microsoft 365 (Office) для iOS/iPadOS и Android предоставляет администраторам возможность настраивать конфигурацию по умолчанию для нескольких параметров приложения с помощью политик конфигурации приложений iOS/iPadOS или Android. Эта возможность предоставляется как для зарегистрированных устройств с помощью любого поставщика UEM, так и для устройств, которые не зарегистрированы, если в Microsoft 365 (Office) для iOS и Android применена политика защиты приложений Intune.
Примечание.
Если политика защиты приложений ориентирована на пользователей, рекомендуется развернуть общие параметры конфигурации приложений в модели регистрации управляемых приложений. Это гарантирует, что политика конфигурации приложений будет развернута как на зарегистрированных, так и на незарегистрированных устройствах.
Microsoft 365 (Office) поддерживает следующие параметры конфигурации:
- Управление созданием записок
- Настройка предпочтений надстроек
- Управление приложениями Teams, работающими в Microsoft 365 (Office) для iOS и Android
- Включение или отключение веб-канала Microsoft 365 для iOS и Android
Управление созданием записок
По умолчанию Microsoft 365 (Office) для iOS и Android позволяет пользователям создавать записки. Для пользователей с почтовыми ящиками Exchange Online заметки синхронизируются с почтовым ящиком пользователя. Для пользователей с локальными почтовыми ящиками эти заметки хранятся только на локальном устройстве.
| Ключ | Значение |
|---|---|
| com.microsoft.office.NotesCreationEnabled |
Значение true (по умолчанию) включает создание записок для рабочей или учебной учетной записи Значение false отключает создание записок для рабочей или учебной учетной записи |
Настройка предпочтений надстроек
Для устройств iOS/iPadOS под управлением Office вы (как администратор) можете задать, включены ли надстройки Microsoft 365 (Office). Эти параметры приложения можно развернуть с помощью политики конфигурации приложений в Intune.
| Ключ | Значение |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableAllCatalogs |
Значение true (по умолчанию) отключает всю платформу надстроек Значение false включает платформу надстроек |
Если вам нужно включить или отключить часть платформы Microsoft 365 (Office) Store для устройств iOS, можно использовать следующий ключ.
| Ключ | Значение |
|---|---|
| com.microsoft.office.OfficeWebAddinDisableOMEXCatalog |
Значение true (по умолчанию) отключает только часть платформы Microsoft 365 (Office) Store. Значение false включает часть платформы Microsoft 365 (Office) Store ПРИМЕЧАНИЕ. Загруженные неопубликованные версии продолжат работать. |
Дополнительные сведения о добавлении ключей конфигурации см. в статье Добавление политик конфигурации приложений для управляемых устройств iOS/iPadOS.
Управление приложениями Teams, работающими в Microsoft 365 (Office) для iOS и Android
ИТ-администраторы могут управлять доступом к приложениям Teams, создавая настраиваемые политики разрешений и назначая эти политики пользователям с помощью Центра администрирования Teams. Теперь вы также можете запускать приложения личных вкладок Teams в Microsoft 365 (Office) для iOS и Android. Приложения личных вкладок Teams, созданные с помощью клиентского пакета SDK Для JavaScript для Microsoft Teams версии 2 (версия 2.0.0) и манифеста приложения Teams (версия 1.13), отображаются в Microsoft 365 (Office) для iOS и Android в меню "Приложения".
Могут существовать дополнительные требования к управлению, характерные для Microsoft 365 (Office) для iOS и Android. Возможные действия:
- Разрешить только определенным пользователям в вашей организации пробовать расширенные приложения Teams в Microsoft 365 (Office) для iOS и Android; или
- Запретить всем пользователям в вашей организации использовать расширенные приложения Teams в Microsoft 365 (Office) для iOS и Android.
Для управления ими можно использовать следующий ключ:
| Ключ | Значение |
|---|---|
| com.microsoft.office.officemobile.TeamsApps.IsAllowed |
True (по умолчанию) включает приложения Teams в Microsoft 365 (Office) для iOS и Android False отключает приложения Teams в Microsoft 365 (Office) для iOS и Android |
Этот ключ может использоваться как управляемыми устройствами, так и управляемыми приложениями.
Параметры защиты данных в Microsoft 365 (Office)
Включение или отключение автономного кэширования, если политика защиты приложений блокирует Сохранение как в локальное хранилище.
Важно!
Этот параметр применим только к приложению Microsoft 365 (Office) на Android. Чтобы настроить этот параметр, можно использовать следующий ключ:
| Ключ | Значение |
|---|---|
| com.microsoft.intune.mam.IntuneMAMOnly.AllowOfflineCachingWhenSaveAsBlocked |
Значение false (по умолчанию) отключает автономное кэширование при блокировке параметра Сохранение как в локальное хранилище. Значение true включает автономное кэширование при блокировке параметра Сохранение как в локальное хранилище. |
Включение или отключение веб-канала Microsoft 365 для iOS и Android
Теперь администраторы могут включать или отключать веб-канал Microsoft 365, настроив следующий параметр в Центре администрирования Intune. Чтобы развернуть этот параметр приложения, используйте политику конфигурации приложений в Intune.
Для управления веб-каналом Microsoft 365 можно использовать следующий ключ:
| Ключ | Значение |
|---|---|
| com.microsoft.office.officemobile.Feed.IsAllowed |
true (по умолчанию) Канал включен для клиента false отключает веб-канал для клиента |
Этот ключ может использоваться управляемыми устройствами и управляемыми приложениями.
Copilot с защитой коммерческих данных
Теперь администраторы могут включить или отключить Copilot в приложении Microsoft 365, настроив следующий параметр в Центре администрирования Intune. Чтобы развернуть этот параметр приложения, используйте политику конфигурации приложений в Intune.
Для управления Copilot в приложении Microsoft 365 можно использовать следующий ключ:
| Ключ | Значение |
|---|---|
| com.microsoft.office.officemobile.BingChatEnterprise.IsAllowed |
True (по умолчанию) Copilot включен для клиента false отключает Copilot для клиента. |
Этот ключ может использоваться управляемыми устройствами и управляемыми приложениями.