本文介绍基本移动性和安全性与 Intune 之间的映射详细信息。 具体而言,此页将Microsoft Purview 合规门户访问要求策略映射到 Microsoft Intune 中的等效策略。 Intune 提供了更大的策略灵活性。 因此,每个 Office 策略将转换为多个 Intune 和Microsoft Entra策略,以实现相同的结果。
如果要从 基本移动性和安全性 迁移到 Intune,可以使用迁移评估工具来自动执行大部分此映射。
若要在Microsoft Purview 合规门户中查看这些设置,请登录到 Purview 合规性门户。 然后,转到 “设备安全策略 ”列表,选择策略名称 >“编辑策略>访问要求”。
开始之前
若要在 Intune 策略中配置设置,请登录到 Microsoft Intune 管理中心。 基于角色的访问控制 (RBAC) Microsoft Intune 列表,并介绍了可以创建策略的内置角色。
如果设备不满足上述要求,则...
此设置确定是否应对所有访问要求设置使用 Intune 符合性策略或配置文件。 请确保先查看此设置的详细信息。
注意
基本移动性和安全性从不支持在 Windows 上强制实施条件访问。
仍强制实施一次性注册 (允许访问和报告冲突)
所有访问要求都部署在 Intune 设备配置文件中。
阻止访问并报告冲突
所有访问要求都部署在 Intune 合规性策略中。 分配的组将分配到经典条件访问策略:
- [GraphAggregatorService] 设备策略
- [Office 365 Exchange Online] 设备策略
- [Outlook Service for Exchange] 设备策略
- [Office 365 SharePoint Online] 设备策略
- [Outlook Service for OneDrive] 设备策略
要求使用密码
注意
所有与密码相关的设置仅影响 Windows 上的本地帐户。 这些策略不管理源自Microsoft Entra ID 的用户帐户。
如果设备不符合上述要求,则... 设置为“阻止访问并报告冲突”,请使用 Intune 符合性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。
三个合规性策略:
- 设备>按平台>窗户>管理设备>合规> 策略 name_O365_W >属性>符合性设置 编辑>系统安全性>需要密码才能解锁移动设备
- 设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>系统安全性>需要密码才能解锁移动设备
- 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>需要密码才能解锁移动设备
禁止使用简单密码
对于 Android 设备,此设置和其他多个 Office 设置由一个 Android 合规性设置覆盖。 因此,仅凭此设置并不能确定具体的 Android 合规性值。
如果设备不符合上述要求,则... 设置为“阻止访问并报告冲突”,请使用 Intune 符合性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。
三个合规性策略:
设备>按平台>窗户>管理设备>合规> 策略name_O365_W >属性>符合性设置 编辑>系统安全性>简单密码
设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>系统安全性>简单密码
设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>必需密码类型。
- 如果选择了“禁止使用简单密码”,请选择“数字复杂度”、“字母”、“字母数字”或“包含符号的字母数字”(基于其他 Office 设置)。
- 如果未选择“禁止使用简单密码”,请在列表中选择“数字”或更高类型(基于其他 Office 设置)。
需要字母数字密码
对于 Android 设备,此设置和其他多个 Office 设置由一个 Android 合规性设置覆盖。 因此,仅凭此设置并不能确定具体的 Android 合规性值。
如果设备不符合上述要求,则... 设置为“阻止访问并报告冲突”,请使用 Intune 符合性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。
三个合规性策略:
设备>按平台>窗户>管理设备>合规> 策略name_O365_W >属性>符合性设置编辑>系统安全性>要求密码类型
设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>系统安全性>要求密码类型
设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>必需密码类型。
- 如果选择了“禁止使用简单密码”,请选择“数字复杂度”、“字母”、“字母数字”或“包含符号的字母数字”(基于其他 Office 设置)。
- 如果未选择“禁止使用简单密码”,请在列表中选择“数字”或更高类型(基于其他 Office 设置)。
密码的长度必须至少为 [1-4] 个字符集
如果设备不符合上述要求,则... 设置为“阻止访问并报告冲突”,请使用 Intune 符合性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。
四个合规性策略:
设备>按平台>窗户>管理设备>合规> 策略name_O365_W >属性>符合性设置编辑>系统安全性>密码复杂性。
Office 值 Intune 值 1 需要数字和小写字母。 Windows 符合性策略不允许只设置一个字符,因此 Office 设置为 1 将转换为 “需要数字和小写字母”。 2 需要数字和小写字母 3 需要数字、小写字母和大写字母 4 需要数字、小写字母、大写字母和特殊字符 设备>按平台>iOS/iPadOS>管理设备>合规>策略name_O365_i>属性>符合性设置编辑>密码中非字母数字字符的系统安全性>数。
iOS 符合性策略不会强制实施字符集的数量,而只会强制执行必须使用的非字母数字字符数。 因此,Office 值会转换为与所需的非字母数字字符相同的数。
Office 值 Intune 值 已禁用 (0) 未配置 1 1 2 2 3 3 4 4 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>必需密码类型。
Android 不支持将小写和大写区分为不同的字符集,因此无法强制实施 Office 值 4。 相反,它将转换为至少“包含符号的字母数字”。
Office 值 Intune 值 1 至少为“数字”或“数字复杂度”(基于其他 Office 设置) 2 至少为“字母数字” 3 至少为“包含符号的字母数字” 4 至少为“包含符号的字母数字” 策略name_OfficeMDM >访问控制>授予>要求设备标记为合规
最短密码长度
如果设备不符合上述要求,则... 设置为“阻止访问并报告冲突”,请使用 Intune 符合性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。
三个合规性策略:
设备>按平台>窗户>管理设备>合规> 策略 name_O365_W >属性>符合性设置 编辑>系统安全性>最短密码长度
设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>系统安全性>最短密码长度
设备>按平台>人造人>管理设备>合规>策略name_O365_A>属性>符合性设置编辑>系统安全性>所需的密码类型和最短密码长度。
“需要字母数字密码”的 Office 值 “所需的密码类型”的 Intune 值 已选中 至少为“数字”(基于其他 Office 设置) 未选定 至少为“数字”(基于其他 Office 设置)
擦除设备前允许登录失败的次数
尽管此设置在 基本移动性和安全性 的访问要求下列出,但仍允许访问。 即使尚未在设备上启用此设置,也允许此设置,并且此设置不是设备符合性标准。
如果设备不符合上述要求,则... 设置为“阻止访问并报告冲突”,请使用 Intune 符合性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。
三个配置文件:
- 设备>按平台>窗户>管理设备>配置> 策略 name_O365_W >属性>符合性设置 编辑>密码>擦除设备前登录失败次数
- 设备>按平台>iOS/iPadOS>管理设备>配置> 策略 name_O365_i >属性>符合性设置 编辑>密码>擦除设备前登录失败次数
- 设备>按平台>人造人>管理设备>配置> 策略name_O365_A >属性>符合性设置编辑>密码>擦除设备前的登录失败次数
如果设备在以下分钟数内处于非活动状态,则将其锁定
Windows、iOS/iPadOS 和 Android 合规性策略不提供相同的值粒度,因此 Office 设置范围映射到较少的 Intune 值。
三个合规性策略:
设备>按平台>窗户>管理设备>合规> 策略name_O365_W >属性>符合性设置编辑>系统安全性>需要密码之前的最大非活动分钟数
Office 值 Intune 值 1 到 4 1 分钟 5 到 14 5 分钟 15 或者更多 15 分钟 设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>系统安全性>需要密码之前的最大非活动分钟数
Office 值 Intune 值 1 1 分钟 2 2 分钟 3 3 分钟 4 4 分钟 5 到 9 5 分钟(iOS 的最大值) 10 到 14 10 分钟(仅适用于 iPadOS) 15 或者更多 15 分钟(仅适用于 iPadOS) 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>必需密码类型。
Office 值 Intune 值 1 到 4 1 分钟 5 到 14 5 分钟 15 到 29 15 分钟 30 到 59 30 分钟 60 60 分钟
密码有效期
如果设备不符合上述要求,则... 设置为“阻止访问并报告冲突”,请使用 Intune 符合性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。
三个合规性策略:
- 设备>按平台>窗户>管理设备>合规> 策略name_O365_W >属性>符合性设置编辑>系统安全性>密码过期 (天)
- 设备>按平台>iOS/iPadOS>管理设备>合规> 策略 name_O365_i >属性>符合性设置 编辑>系统安全性>密码过期 (天)
- 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>系统安全性>密码过期之前的天数。
记住密码历史记录并禁止重复使用
如果设备不符合上述要求,则... 设置为“阻止访问并报告冲突”,请使用 Intune 符合性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。
三个合规性策略:
设备>按平台>窗户>管理设备>合规>策略name_O365_W>属性>符合性设置 编辑>以前密码的“系统安全性>”编号以防止重复使用
设备>按平台>iOS/iPadOS>管理设备>合规>策略name_O365_i>属性>符合性设置编辑>以前密码的系统安全>编号以防止重复使用
设备>按平台>人造人>管理设备>合规>策略name_O365_A>属性>符合性设置编辑>以前密码的“系统安全性>”编号,以防止重复使用和“必需密码类型”
“需要字母数字密码”的 Office 值 “所需的密码类型”的 Intune 值 已选中 至少为“数字”(基于其他 Office 设置) 未选定 至少为“数字”(基于其他 Office 设置)
需要对设备进行数据加密
在基本移动性和安全性方面,此设置从不支持配置 Windows 或 iOS/iPadOS。
如果设备不符合上述要求,则... 设置为“阻止访问并报告冲突”,请使用 Intune 符合性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。
一个合规性策略:
- 设备>按平台>人造人>管理设备>合规>策略name_O365_A>属性>符合性设置编辑>设备上数据存储的系统安全>加密
阻止已越狱或取得 root 权限的设备进行连接
在基本移动性和安全性方面,此设置从不支持配置 Windows。
对于 Android 设备,Intune 仅支持 Android 设备管理员设备的此设置。
重要
Android 设备管理员 (DA) 管理已弃用,不再可用于有权访问 Google 移动服务 (GMS) 的设备。 如果当前使用 DA 管理,建议切换到另一个 Android 管理选项。 某些没有 GMS 的 Android 15 及更早版本的设备仍可使用支持和帮助文档。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
如果设备不符合上述要求,则... 设置为“阻止访问并报告冲突”,请使用 Intune 符合性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。
两个合规性策略:
- 设备>按平台>iOS/iPadOS>管理设备>合规> 策略name_O365_i >属性>符合性设置编辑>设备运行状况>越狱设备
- 设备>按平台>人造人>管理设备>合规> 策略name_O365_A >属性>符合性设置编辑>设备运行状况>根设备
需要管理电子邮件配置文件(iOS 上的选择性擦除需要此设置)
在基本移动性和安全性方面,需要此设置从不支持 Windows 或 Android 合规性。
对于 Android,在基本移动性和安全性方面,此设置仅支持 Samsung Knox 设备。
在部署设备安全策略中不可用的电子邮件时,Intune 需要配置更多设置。 有关详细信息,请参阅 Intune 要求电子邮件配置文件的更多设置。
如果设备不符合上述要求,则... 设置为“阻止访问并报告冲突”,请使用 Intune 符合性策略,如下所示。 如果该设置设为“允许...”,请改用配置文件。
三个配置文件和一个符合性策略:
设备>按平台>窗户>管理设备>配置> 策略name_O365_W_Email >属性>配置设置编辑
设置 值 电子邮件服务器 Outlook.office365.com 帐户名 Office 365电子邮件 Microsoft Entra ID 中的用户名属性 用户主体名称 Microsoft Entra ID 中的Email地址属性 用户主体名称 SSL 启用 设备>按平台>iOS/iPadOS>管理设备>配置> 策略name_O365_i_Email >属性>配置设置编辑
设置 值 电子邮件服务器 Outlook.office365.com 帐户名 Office 365电子邮件 Microsoft Entra ID 中的用户名属性 用户主体名称 Microsoft Entra ID 中的Email地址属性 用户主体名称 身份验证名称 用户名和密码 SSL 启用 设备>按平台>iOS/iPadOS>管理设备>合规>策略name_O365_i>属性>符合性设置编辑>Email>无法在设备上>设置电子邮件需要
设备>Android ** >配置文件> 策略name_O365_A_Email >属性> ** 配置设置编辑
设置 值 电子邮件服务器 Outlook.office365.com 帐户名 Office 365电子邮件 Microsoft Entra ID 中的用户名属性 用户主体名称 Microsoft Entra ID 中的Email地址属性 用户主体名称 身份验证名称 用户名和密码 SSL 启用
Intune 需要针对电子邮件配置文件的更多设置
以下设置不是由设备安全策略部署的。 但在部署电子邮件配置文件时,Intune 要求设置具有值。
| 平台 | Setting | 迁移中的值 |
|---|---|---|
| Android | 需要 S/mime | false |
| Android | 同步联系人 | true |
| Android | 同步日历 | true |
| Android | 同步任务 | true |
| Android | 同步说明 | false |
| iOS | 阻止将邮件转移到其他电子邮件帐户 | false |
| iOS | 阻止从第三方地址发送电子邮件 | false |
| iOS | 阻止同步最近使用的电子邮件地址 | false |
| iOS | 需要 S/mime | false |
| Windows | 同步联系人 | true |
| Windows | 同步日历 | true |
| Windows | 同步任务 | true |